Transcript Presentatie Bewustwording Informatieveiligheid bij gemeenten

Bewustwording
Informatieveiligheid
bij gemeenten
Januari 2014
Copyright
© 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING).
Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van
deze uitgave voor het doel zoals vermeld in deze uitgave is met
bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit
document te bekijken, af te drukken, te verspreiden en te gebruiken onder de
hiernavolgende voorwaarden:
1. KING wordt als bron vermeld;
2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij
de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd
door KING;
4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn
voorzien van deze mededeling.
2
Informatiebeveiliging, belangrijker dan ooit?
Inhoud

Doel van de presentatie

Wat is informatie en in welke vorm kennen we het?

Wat is Informatiebeveiliging?

Informatiebeveiliging, wat zijn de principes?

Het belang van informatiebeveiliging in relatie tot het werken bij een
gemeente.

Inzicht in de risico’s, bedreigingen en maatregelen die nodig zijn om alle
vormen van informatie te beschermen.

Starten van een cultuur- en gedragsverandering.
1. Doel van de presentatie
•
Voor wie
 Iedere medewerker binnen de gemeente, ongeacht soort
arbeidsverhouding
•
Inhoud
 Informatiebeveiligingsmaatregelen
•
Doel
 Creëren van een hogere bewustwording van informatiebeveiliging met
als resultaat het verbeteren van de houding ten opzichte van
informatieveiligheid en het willen veranderen van onveilig gedrag naar
veilig gedrag.
2. Wat is informatie?
•
•
•
•
•
•
Gestructureerd
Logisch
Betekenisvol
Te gebruiken in een context
Waarde
Vorm
•
Denk aan:
– GBA gegevens
– BSN

Een set gegevens die zodanig bijeen zijn
gebracht en worden voorgesteld zodat er
betekenis of waarde aan kan worden
toegekend.
Voorbeeld:
Edwin de Vries
Kerkstraat 50
Amsterdam
Geboorte datum: 18-05-1925
Welke interessante of vertrouwelijke informatie heeft u?
3. En….in welke vorm kennen we het ?
•
•
•
•
•
•
Op papier (ook geschreven)
Mondeling
Elektronisch (netwerken)
Transport (signaal)
Transport (fysieke media, mobiele apparaten)
Kennis
4. Waarom hebben we informatiebeveiliging
nodig?
•
•
•
•
•
Informatie heeft waarde
Waardevolle informatie veilig stellen
Privacy beschermen
Aanpak om informatie te beschermen
Informatie heeft een bepaalde gevoeligheid
5. Wat is de waarde van informatie?
•
•
•
•
•
•
Geldelijke waarde
Aantrekkelijk voor anderen (insiders of outsiders)
Nut voor u
Nuttig voor anderen
De (potentiële) schade als gevolg van verkeerd
gebruik of compromitteren van de informatie
Tijdigheid
 Welke waarde heeft uw informatie?
6. Wat is informatiebeveiliging?
 Beschikbaarheid
• De mate waarin een informatiesysteem in een bedrijf
aanwezig is op het moment dat de organisatie het nodig
heeft
 Exclusiviteit (vertrouwelijkheid)
• De mate waarin de toegang tot en de kennisname van een
informatiesysteem en de informatie daarin is beperkt tot een
gedefinieerde groep van gerechtigden
 Integriteit
• De mate waarin een informatiesysteem zonder fouten is
7. Wat is het doel van het beveiligingsprogramma
bij de gemeente?
•
•
•
•
•
•
Herkennen van bedreigingen, zwakheden en risico’s ten opzichte van
gemeentelijke informatie
Tegengaan of verminderen van deze risico’s naar een acceptabel niveau
Verwijderen of verminderen van een zwakheid in een systeem
De kans verkleinen dat een bedreiging manifest wordt
Reduceren van de schade als er toch een incident optreedt
Herstellen van informatievoorziening
8. Balans
•
Er is een relatie tussen
gebruiksgemak en beveiliging
•
Als de beveiliging toeneemt, neemt
het gebruiksgemak af
•
Voorbeeld: IPAD,
schermbeveiliging.
9. Beveiliging is noodzakelijk
•
Beschikbaarheid, integriteit en exclusiviteit van onze informatie is zeer
belangrijk voor de doelstellingen van onze gemeente
•
Onze informatiesystemen moeten altijd worden beschermd
•
Onze informatie moet altijd worden beschermd
•
Onze burgers moeten er van uit kunnen gaan dat wij hun informatie
beschermen
Informatie opgeslagen in onze systemen
2013-11-19, Used with permission, [email protected]
10. Informatiebeveiliging is de taak van
iedereen binnen de gemeente
•
De gemeente is een informatieverwerkende organisatie
•
Burgers en ketenpartners geven hun (gevoelige) informatie aan ons,
en de gemeente heeft betrouwbare informatie nodig om haar taken uit
te kunnen voeren
•
Informatiebeveiliging is essentieel voor de continuïteit van onze
dienstverlening richting onze burgers
•
Informatiebeveiliging is essentieel om het vertrouwen van onze
burgers in de gemeente te versterken
11. Verantwoordelijkheid!
•
•
•
•
•
Het is de verantwoordelijkheid van iedere medewerker binnen de
gemeente om gemeentelijke informatiesystemen en informatie te
beschermen
U bent verantwoordelijk voor het veilig gebruik van
computerapparatuur, software en informatie welke onder uw
verantwoordelijkheid valt binnen uw werk
Het is alleen toegestaan om informatie te gebruiken die gerelateerd is
aan uw werk
De eigenaar van de informatie bepaalt de gevoeligheid van die
informatie en daarmee ook de mate van bescherming die nodig is. Op
basis daarvan wordt een classificatie toegekend
De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat
uit van vertrouwelijkheid
12. Informatiebeveiliging is de taak van
iedereen!
• Informatiebeveiliging kunt u lastig later toevoegen, het
moet er gewoon zijn
• Informatiebeveiliging is niet alleen de taak van de
beveiligingsspecialisten
• Informatiebeveiliging is de taak van iedereen!
• We moeten er allemaal voor zorgen dat gemeentelijke
informatie, -middelen en -ruimten goed zijn beveiligd
en dat ook blijven
• Wat kunt u daaraan bijdragen?
13. Gemeentelijke informatie moet worden
behandeld in overeenstemming met de
classificatie
Proces
Burgerzaken (klantbegeleiding, afspraken)
Basisregistratie persoonsgegevens
Overige basisregistraties
Indienen en behandelen beroep en
bezwaarschriften
Sociale Zaken — Uitvoering / verstrekking
voorzieningen
Sociale Zaken — Handhaving en controle
Openbare orde en veiligheid (brandweer,
preventie, rampbestrijding)
Beschikbaarheid
Belangrijk
Essentieel
Essentieel
Essentieel
Integriteit Vertrouwelijkheid
Absoluut
Vertrouwelijk
Absoluut
Geheim
Absoluut
Openbaar
Openbaar/
Absoluut
vertrouwelijk
Hoog
Geheim
Noodzakelijk
Absoluut
Geheim
Essentieel
Absoluut
Geheim
Noodzakelijk
Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI eisen kan per gemeente
anders zijn.
14. Beveiliging binnen onze gemeentelijke
organisatie
•
•
•
•
•
•
Integraal verantwoordelijke
Gedelegeerd verantwoordelijke
Iedere manager
Information Security Officer
ICT-servicedesk (telefoonnummer)
Overige beveiligingsnummers
Wat zijn bedreigingen?
2013-11-19, Used with permission, Kevin Siers, The Charlotte Observer
15. Wat zijn bedreigingen?
•
•
•
•
•
•
Malware via websites
Verouderde software
Mobile devices
Cybercrime, DDoS, phishing
Digitale spionage
Werknemers
•
•
•
•
•
•
Buitenlandse wetgeving
Verlies van data, BYOD
Stroomstoring
Verlies van kennis
Apps van derden
Identiteitsdiefstal
Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt.
Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of
situatie zelf. Er wordt vaak onderscheid gemaakt naar interne en externe
bedreigingen maar ook naar opzettelijk en onopzettelijk handelen.
16. Externe bedreigingen
•
•
•
Hackers
Crackers
Scriptkiddies
17. Welke motivatie?
•
•
•
•
•
•
Vandalisme
Boosheid
Politiek
Nieuwsgierigheid
Schade willen toebrengen
Persoonlijk gewin
18. Voorbeelden externe bedreigingen
•
Natuurrampen:
– Aardbeving, overstroming, tornado en bliksem
•
•
•
•
•
•
Stroomstoring
Geen Airco
Terrorisme
Brand en waterschade
Personeelstekort
Digitale aanvallen van buitenaf
–
–
–
–
Hacken, digitale inbraak
DDOS-aanval
SAAS, toegang tot applicatie
Spionage
19. Nog meer bedreigingen…
•
Diefstal of verlies van:
Laptops
Desktops
PDA’s / tablets
Telefoons / Smartphones
Data (fysiek) DVD, CD-ROM, harddisks, USB-sticks etc.
Data (logisch) draadloos, Man-in-the-middle (MITM)
•
Social Engineering
20. Interne bedreigingen
•
•
•
•
•
(1/2)
Onoplettendheid (verkeerde informatie geven)
Slordigheid (typo’s, clean desk?)
Onwetendheid (de regels niet kennen)
Onbewust handelen (aannemen dat iets zo is)
Je niet houden aan gemeentelijke regels (gewoon de regels bewust
overtreden)
Bijvoorbeeld:
 Gebruiken van onveilige software
 E-mailen van gemeentelijke informatie naar privé e-mail, opschrijven
wachtwoorden
 Je niet houden aan de clean desk Policy
 Over gevoelige informatie praten in openbare ruimten
20. Interne bedreigingen
(2/2)
 In een recent onderzoek geven meer dan de helft van de partijen aan
dat beveiligingsincidenten van binnenuit zijn opgetreden
 Diverse onderzoeken lopen uiteen, maar 30% tot meer dan 60% van
de incidenten komt van binnenuit de eigen organisatie
28
21. Interne bedreigingen, wat maakt ons
kwetsbaar?
• Eenvoudige wachtwoorden: te kort, te makkelijk of gewone woorden
(uit woordenboek)
• Niet in staat om geheimen te bewaren: opschrijven van wachtwoorden,
vertrouwelijke informatie versturen via e-mail, lekken van informatie
• Impliciet vertrouwen van dingen die we van anderen krijgen: openen
e-mailbijlagen van onbekende mensen die een virus of een andere
kwaadaardige code kunnen bevatten
• Klikken op links van ‘phishing’ e-mails
22. Hoe informatie op papier te beschermen?
• Opbergen van papieren in een kast of andere geschikte container
(Clean Desk Policy)
• Geen informatie of wachtwoorden op ‘post-its’ of briefjes en andere
informatie, zoals cd-roms, laten rondslingeren
• Maak gebruik van shredders (verplicht voor gevoelige informatie)
• Sluit uw deur van het kantoor
23. Informatie op papier
•
•
•
•
•
•
•
(vervolg)
Altijd afdrukken van printers en faxapparaten halen, met name
aandacht besteden aan gemeenschappelijke printers
Verwijder de afdrukken uit gemeenschappelijke printers direct
(Let op: Sommige printers en faxapparaten slaan kopieën van
documenten op, die later kunnen worden opgehaald)
Gebruik bij voorkeur speciale enveloppen (sealed) voor persoonlijke of
gevoelige interne post
Gebruik een procedure om gevoelige informatie te verzenden (dubbele
enveloppen, koeriers etc.)
Gebruik ‘de dubbele enveloppen techniek’ voor gevoelige externe
(inkomende of uitgaande) post
Voor ‘zeer gevoelige informatie’ overwegen gebruik te maken van
‘tamper-proof’ of verzegelde enveloppen
24. Hoe mondelinge informatie te beschermen?
• Wees u bewust van uw omgeving
• Ga er niet vanuit dat in het gebouw altijd een veilige plek is om alle
soorten informatie te bespreken (burgers, bezoekers, aannemers,
derden)
• Handhaaf het ‘need to know’-principe
• Adopteer een minimalistische benadering met betrekking tot het
verstrekken van informatie aan derden als u niet zeker weet of iets
iemand anders aangaat
• Vermijd specifieke details met betrekking tot operationele
procedures, beveiligingsprocedures of de computersystemen van
de gemeente
24. Hoe mondelinge informatie te beschermen?
(vervolg)
• Zeer gevoelige informatie kan beter niet over de telefoon besproken
worden
• Wees voorzichtig bij de bespreking van gemeentelijke vertrouwelijke
informatie op een mobiele telefoon (omgeving, afluisteren etc.)
25. Informatiesysteem-specifieke uitdagingen
•
•
•
•
•
•
•
•
Aggregatie – toenemende datavolumes
Gebrek aan zichtbaarheid
Gebruiksgemak versus beveiliging
Software en hardware installatie
Portabiliteit
Snelheid
Technologische vooruitgang
Gebruikers kennis / competenties
26. Hoe kun je informatie beschermen?
•
•
•
•
•
•
•
•
•
•
Gezond verstand
Veilige wachtwoorden
Antivirus maatregelen
Software uit bekende bronnen
Nadenken over mobiele apparaten
Goed gebruik van media
Voorzichtigheid met het web en e-mail
Log on / log off
Opslaan van documenten/ back-up
Juiste toegangsrechten
27. Gezond verstand!
• Ziet iets er vreemd uit/ is er iets veranderd ?
• De computer of het systeem gedraagt zich anders dan anders
• Noteer de datum en tijd waarop de problemen zich voordeden
• Geloof niet alles wat u op het Internet vindt
• Zoek hulp / bel de helpdesk als u twijfelt
28. Wachtwoorden
• Schrijf wachtwoorden nergens op
• Als het toch nodig is, bewaar opgeschreven wachtwoorden op een veilige
plaats
• Vernieuw regelmatig uw wachtwoorden
• Kies een sterk wachtwoord
• Deel nooit uw wachtwoord met anderen
• U bent verantwoordelijk voor misbruik van uw wachtwoord
• Verander uw wachtwoord direct als u misbruik vermoedt
29. Wachtwoord problemen
• Als u een wachtwoord goed kunt onthouden is het waarschijnlijk ook makkelijk te
raden voor anderen
• Moeilijke wachtwoorden zijn zonder een geheugensteuntje moeilijk te onthouden
• Opschrijven van wachtwoorden
• Korte wachtwoorden zijn makkelijk te kraken
• Niet voor alles hetzelfde wachtwoord gebruiken
30. Goede wachtwoorden
•
Wat is een goed wachtwoord?
– Alfabetisch – A tot Z en a tot z
– Nummers – 0 tot 9
– Speciale letters / leestekens –
• ~ ! @#$%^&*( )+=[ ]{}/?<>,;:\|`’”.
31. Gemakkelijk te onthouden wachtwoorden?
•
Neem een zin die u kunt onthouden
•
Neem van ieder woord de eerste letter en vervang letters voor tekens
•
Bijvoorbeeld: Onze gemeente is een veilige organisatie in 2014:
Og=€V0!2o14
32. Antivirus
• Open geen e-mail die u niet vertrouwt
• Open nooit bijlagen van e-mails die u niet verwacht
• Klik niet op links in e-mails die u niet vertrouwd
• Zorg voor een up-to-date antivirusscanner
• Download geen uitvoerbare programma’s en installeer zelf geen
software
• Bij twijfel een handmatige extra virusscan uitvoeren
• Check voor gebruik media van anderen
33. Software en Hardware installatie
• Installeer geen ongeautoriseerde hard- en software
• Gebruik geen eigen software of download deze niet van een onbekende
bron of van het Internet
• Installeer zelf geen modems of draadloze toegangspunten
• Wijzig geen netwerk componenten
• Gebruik alleen gelicenseerde software
34. Mobiele telefoons en tablets
• Bescherm zowel telefoon en SIM met een Pincode
• Bewaar mobiele apparaten die niet in gebruik zijn in een afgesloten
kast of op een andere veilige plaats
• Let op met opvallend gebruik van mobiele apparatuur, bijvoorbeeld op
straat
• Behalve dat het apparaat waarde heeft kan ook de informatie die erop
staat waarde hebben voor een ander
• Gebruik encryptie om informatie op het apparaat te beschermen
• Maak gebruik van mogelijkheden om een apparaat terug te vinden, de
meeste hebben dit tegenwoordig
35. Laptops en opslagmedia
• Geen gevoelige informatie plaatsen op laptop computers of draagbare
opslagmedia zonder encryptie
• Overweeg het verkrijgen van een kabelslot voor laptops
• Behandel draagbare opslagmedia met dezelfde zorg als het equivalent
papieren document - berg het op
• Laptops worden bij voorkeur volledig versleuteld.
• Draagbare opslagmedia moet goed worden geëtiketteerd en de
gevoeligheid (classificatie) van de inhoud daarvan duidelijk worden
gemarkeerd
• Laat de laptop niet in de auto achter en vervoer deze niet op de
achterbank (in het zicht)
• Laat de laptop niet in een onbeheerde auto liggen
36. E-mail
•
•
•
•
Gebruik niet ‘unsubscribe’ voor junk mail
Zend geen gevoelige informatie met (Internet) e-mail, dit is niet veilig
Gebruik geen gemeentelijke e-mailvoorzieningen voor privé e-mails
Alle e-mail, ook privé e-mail, kan worden onderschept, wees u daarvan
bewust en wees voorzichtig met wat u schrijft
• Forward geen virus informatie of verdachte e-mails, gebruik de telefoon
en bel de helpdesk
• Wees ervan bewust dat e-mail makkelijk vervalst kan worden
(Virus, Hoaxes, afzenders etc.)
• Negeer kettingbrieven en wees u bewust van criminele toepassingen met
e-mail
37. Web Browsing
•
•
•
•
•
Alle activiteiten op Internet zijn te traceren, intern en extern - wees voorzichtig
Het is niet toegestaan om illegale content te bekijken
Het is niet toegestaan om naar sites te gaan met adult-materiaal
Vermijd controversiële locaties
Vermijd overtollig gebruik van resources
38. Log on / log off
• Controleert u wie de laatste gebruiker was op uw werkstation?
• Aan het einde van de dag afmelden
• Als dat niet automatisch gebeurt, instellen van de schermbeveiliging op
5 minuten
• Even weg bij de computer, gebruik ctrl-alt-delete,
gevolgd door enter om het werkstation te vergrendelen
39. Password-beveiliging
Bij een vergeten wachtwoord of
een geblokkeerd account, alleen
volgens de juiste procedure
handelen
Er is geen beveiligingspatch
beschikbaar voor ‘stommiteit’
40. Document opslag
• Sla werk-gerelateerde documenten op het netwerk op, bij voorkeur in groepsdirectories
• Bewaar nooit documenten op de C-schijf, deze krijgt geen back-up
• Vermijd langdurige opslag van gegevens op cd-roms, USB tokens,
geheugenkaartjes, et cetera
41. Social Engineering
42. Draag uw toegangspas!
•
Draag uw toegangspas tijdens het werk
•
Begeleid mensen zonder toegangspas naar de receptie
•
Vraag iedereen zonder zichtbaar gedragen pas om deze zichtbaar te dragen
•
Geef nooit iemand toegang door de deur open te houden zonder u af te
vragen of die persoon wel naar binnen mag. Bij twijfel: begeleiden naar de
receptie
43. Wat kan er tegen Social Engineering
ondernomen worden?
Laat mensen zonder badge niet
meelopen bij het naar binnengaan.
Breng bezoekers naar de receptie
Bij bellen, bij twijfel
vragen om een
terugbelnummer dat
geverifieerd kan
worden
Vraag u af waarom een bepaald
verzoek aan u wordt gedaan!
Er zijn diverse onderzoeken geweest
waarbij mensen hun wachtwoord
gaven voor bijvoorbeeld een
ballpoint!
Draag altijd uw
toegangspas binnen de
werkruimten
44. Bedrijfsinformatie
Dus…
Bescherm gemeentelijke informatie
alsof uw baan er vanaf hangt,
omdat…
uw baan er ook vanaf hangt!
Vragen?