Taskforce Bestuur, Informatieveiligheid en Dienstverlening(BID)

Download Report

Transcript Taskforce Bestuur, Informatieveiligheid en Dienstverlening(BID) 

INFORMATIEVEILIGHEID
een uitdaging van ons allemaal
Douwe Leguit – @Surfcert & Surfibo
Compilatie
Filmpje DigiNotar
Game changer - 1
Game changer - 2
Aanbevelingen OOV
1. Zorg dat bestuurders van alle overheidsorganisaties hun
verantwoordelijkheid nemen voor het beheersen van digitale
veiligheid.
2. Schep voorwaarden zodat overheidsorganisaties hun digitale
veiligheid systematisch beheersen.
3. Realiseer een veiliger uitgifte en gebruik van digitale certificaten.
Taskforce
Bestuur & Informatieveiligheid Dienstverlening
 Geïnitieerd door minister Plasterk
 Interbestuurlijk
 Gestart per 13 februari 2013
 Actief voor een periode van twee jaar
 Focus op bestuur & topmanagement
 Inzet op verplichtende zelfregulering
Dit doen we niet alleen…
De (overheids)ketting…
…is zo sterk als de zwakste schakel…
…en dat zien we helaas nog al te vaak terugkomen…
Verlies van data
Overname op afstand
Remote Bediening door een hacker
Financiële schade door uitlekken van informatie
Informatieveiligheid gaat over…
Maar ook over…
Wat zijn aandachtsgebieden voor bestuurders?
Aantasting
persoonlijke veiligheid
Moraal
medewerkers
Aantasting imago
Juridische schade
Aantasting publiek
vertrouwen
Waar liggen de belangrijkste risico’s?
• Wat zijn de meest kritieke processen en systemen
in uw organisatie?
• Wat zijn de belangrijkste bedreigingen voor deze
systemen?
Informatieveiligheid is meer dan techniek alleen
Het is niet:
 Een afvinklijst afwerken
 Iets wat ‘dicht’ geregeld moet zijn.
Maar wel:
 Verantwoord omgaan met risico’s
 Op de plek waar het thuishoort: op de agenda van de bestuurder
 Informatieveiligheid verankeren in mens én organisatie
 Blijven leren
 Van hoog tot laag, door de organisatie heen
Breed werkveld met eigen verantwoordelijkheid
Scope werkveld Taskforce BID
Interbestuurlijke gremia
Koepelorganisaties
Overheidsorganisaties
Bestuurders
Rijksoverheid
Gemeenten
Provincies
Waterschappen
Topmanagement
(secretarissen, directeuren)
CIO , CISO,
ICT-management
ZBO’s
Lijnmanagement
Medewerkers
Aanpak langs vier lijnen
Strategische actielijnen in vier pijlers
Dialoog als basis voor
een proactieve coalitie
Rijksoverheid
Gemeenten
Provincies
Waterschappen
ZBO’s
Gerichtheid
Verankering
Stelsel Informatieveiligheid
Het perspectief

Alle overheidslagen en organisaties hebben over twee jaar een solide
basis voor verplichtende zelfregulering op informatieveiligheidsvlak

In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin
ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid
plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd
Verplichtende zelfregulering
Verplichtende zelfregulering houdt in dat bestuur of overheid vraagt om
bepaalde mate van zelf verantwoordelijk zijn voor invoering van weten/of regelgeving.
De organisatie maakt zelf beleid en een externe partij monitort. De
externe partij neemt waar nodig stappen om effectiviteit te waarborgen.
Verplichtende zelfregulering bij informatieveiligheid
Zelfregulering betekent:
 maken van een risicoanalyse
 maken van beleid en toepassing van normen
 sturing op uitvoering van beleid
 controle, verantwoording en toezicht op beleid en de uitvoering
daarvan
 bijstelling en leren waar nodig.
Invulling langs twee lijnen

Verplichtende Zelfregulering per overheidslaag inrichten, door:

Te voorzien in voldoende gerichtheid:
 Aangepast leeraanbod bestuurders en topmanagers
 Gericht op een leer- en ontwikkelproces
 En afgestemd op de volwassenheid van de overheidslaag

In te zetten op verankering:
 Producten t.b.v. inregeling zelfregulering
 Producten t.b.v. noodzakelijke stappen op
informatieveiligheid
Opbouw opleidingsaanbod
Leeraanbod









Zelftest
Simulatie
Confrontatieworkshop
Dialoogsessie bestuur/topmanagement – CISO
Risicobewustzijn sessie
Verankersessies
Procesworkshops
Informatieveiligheidoefening
Management game
Zelftest
Confrontatieworkshop
Dialoogsessie
Risicobewustzijn sessie
Risicobewustzijn sessie
Impact
Failliet
€ 1.000.000
€ 100.000
GAT
€ 10.000
€ 1.000
1x vijf jaar
jaarlijks
maand
wekelijks
dagelijks
Kans
Procesworkshop
Actor:
• Waterschappen
• Eventueel
uitbesteed
Meten
Data over
waterkwaliteit, b.v.
zwemwaterkwaliteit
Actoren:
• Waterschappen
• Onafhankelijke labs
Afnemers:
• Waterschappen
• Provincies
• Gemeenten
• Omgevingsdiensten
• Drinkwaterbedrijven
• Particulieren
•…
Analyseren & Oordelen
Distribueren
rapportages
Initiëren
maatregelen
Informatie over overschrijding
alarmwaarden zwemwaterkwaliteit
Informatie wel/niet
waarden
overschreden
naar afnemers
Gebruikte
informatie
afhankelijk van
reactie
ICT-infrastructuur
Meetnet
(automatisch,
handmatig)
Netwerk
Laboratorium /
automatisch
Communicatiemiddelen
(tel, e-mail)
Bedrijfsnetwerk
Opbouw verankeringinstrumenten
Verankeringinstrumenten
Best practices:
 Risicoanalyses
 Beleidsplannen
 Implementatieplan
Handreikingen:
 Handboek optimalisatie processen en procedures
 Top 10 stuurvragen voor informatieveiligheid
 Top 10 stuurvragen bij incidenten en calamiteiten
 Crisishandboek
 Oefenscenario’s calamiteiten en incidenten
Systematieken:
 Voor melden van incidenten
 Voor controlemechanismen (verantwoording en toezicht)
 Voor veranderen en bijstellen (inzicht en leren)
Datum
Bestuur & Informatieveiligheid Dienstverlening
Stelsel Informatieveiligheid overheid
Drie samenhangende ontwikkelingen
• Stroomlijning IT-auditlast (single audit)
 Een procesaanpak om te komen tot single audit
 Voorzien in bestuurlijke (wettelijke) randvoorwaarden
• Normatiek en maturity
 Een kwalitatieve verbeterslag van bestaande normatiek
 Draagt bij aan stroomlijning baselines
 Borging van dit proces: continu in beweging
• Monitoring
 Zicht op implementatie zelfregulering
 En informatieveiligheid
 Inzicht voor leren en verbeteren
 Maar ook voor verantwoording en toezicht
Audits (gemeentelijke situatie)
Verschillende regimes
Toezicht
Verantwoording
en Audit
Specifiek
G
B
A
Generiek
B
A
G
S
U
W
I
D
I
G
I
D
F
A
V
S
I
D
?
Introductie Baseline
Toezicht
Verantwoording
en Audit
Specifiek
G
B
A
Generiek
B
A
G
S
U
W
I
D
I
G
I
D
Baseline
F
A
V
S
I
D
?
Introductie ENSIA
Eenduidige Normatiek en Single Information en Audit
Toezicht
Verantwoording
en Audit
Verantwoording en Audit
Specifiek
G
B
A
Generiek
B
A
G
S
U
W
I
D
I
G
I
D
Baseline
F
A
V
S
I
D
?
Continue dialoog over informatieveiligheid
Technologische
ontwikkelingen
Ontwikkelingen
binnen het
openbaar
bestuur
Coalitie van
bestuurders
&
topmanagers
Overheidsorganisaties
Maatschappelijke
ontwikkelingen
Stavaza

De rijksoverheid heeft een aantal verbeteringstrajecten reeds eerder in
gang gezet en zet in op de BIR

Waterschappen hebben 2 oktober 2013 een aanpak neergelegd voor uitrol
en implementatie en zetten in op de BIWA

Gemeenten hebben een resolutie informatieveiligheid aangenomen,
waarin de verbeterstappen beschreven staan en zetten in op de BIG

Provincies hebben reeds een aantal initiatieven lopen en werken nu aan
een sluitende aanpak en zetten in op de IBI

ZBO’s zijn met de rijksoverheid in gesprek over het hanteren van
eenzelfde aanpak (waaronder BIR)
Waar vindt u ons: www.taskforcebid.nl
Delen: www.informatieveiligheid.pleio.nl
Filmpje Heukelom