Informatiebeveiliging voor gemeenten: een helder

advertisement
Informatiebeveiliging voor gemeenten:
een helder stappenplan
Bewustwording
(Klik hier)
Structureren en borgen
(Klik hier)
Aanscherping en maatwerk
(Klik hier)
Continu verbeteren
(Klik hier)
Solviteers en Fox-IT bundelen hun krachten
Informatiebeveiliging voor gemeenten:
een helder stappenplan
Regelmatig verschijnen er berichten over informatielekken of over cybercriminelen die zich toegang hebben verschaft tot
data of systemen. Wilt u voorkomen dat binnen uw gemeente privacygevoelige informatie van burgers op straat belandt?
Dan is het belangrijk dat u weet wat u kunt doen. Wij helpen u graag verder op het gebied van informatiebeveiliging.
Solviteers en Fox-IT bundelen hun kennis en ervaring op het vlak van ICT in de overheidsmarkt en informatiebeveiliging.
Wij hebben een model ontwikkeld met een helder stappenplan waarmee u gestructureerd uw informatiebeveiliging op een
hoger niveau brengt. Na het doorlopen van het stappenplan heeft u de kans op informatielekken geminimaliseerd.
Het Cyber Security Maturity Model (CSMM) is ontwikkeld door Solviteers en gebaseerd op modellen voor volwassenheid van
organisaties en processen, best practices en gemeentelijke standaarden zoals de Baseline Informatiebeveiliging Gemeenten
(BIG). Het model onderscheidt vijf verschillende niveaus van volwassenheid in de informatiebeveiliging.
Voorafgaand aan het doorlopen van het stappenplan voert Solviteers een quickscan uit om te bepalen wat het uitgangsniveau
van uw gemeente op het gebied van informatiebeveiliging is. Afhankelijk van dit niveau helpen wij u, op basis van door Solviteers
en Fox-IT ontwikkelde stappen, op een efficiënte manier naar het volgende niveau. Tijdens iedere stap in het traject vergroten
en borgen wij de kennis binnen uw organisatie. Het behalen van een volgend niveau leggen wij vast met een certificaat.
Deze standaard werkwijze in stappen heeft als voordeel dat uw organisatie zelf het tempo bepaalt. U beslist zelf wanneer
u naar het volgende niveau toewerkt: u hoeft niet ineens van niveau een naar vijf.
Naast het stappenplan biedt Solviteers samen met Fox-IT een aantal diensten voor gemeenten op het gebied van
informatiebeveiliging. Zo bieden Solviteers en Fox-IT een monitoringdienst op afstand voor uw eigen netwerk en pentesten.
Informatiebeveiligingstraject op basis van CSMM
1.
Reactief
2.
Minimaal
3.
Tactisch
4.
Focus
5.
Strategisch
1.
Reactief
2.
Minimaal
3.
Tactisch
4.
Focus
5.
Strategisch
1. Reactief
Informatiebeveiligingsincidenten worden opgepakt wanneer ze zich voordoen en indien ze worden opgemerkt.
Risico’s worden beperkt voor zover ze worden overzien of overgedragen.
Kenmerken:
• Omgang met IB heeft een ad-hoc karakter. Er is geen beleid.
• Het management is niet betrokken bij IB.
• Er is weinig tot geen IB bewustzijn bij de medewerkers
• IB maakt geen onderdeel uit van de dagelijkse praktijk. Er is geen tijd en geld voor gereserveerd.
Niveau 1 naar 2
Bewustwording
Creëer bewustzijn in de hele organisatie, bepaal de uitgangspunten en start met het maken van beleid.
•
•
•
•
•
Volgen workshop IB bewustzijn voor management.
Volgen workshop IB bewustzijn voor medewerkers.
Inventariseren van beleid en bijstellen om te voldoen aan minimale normen.
Inventariseren van basale risico’s en maatregelen.
Ondernemen van acties om te voldoen aan minimale aanpak.
- Opstellen documentatie.
- Benoemen belang van organisatie en bekrachtiging door het management.
- Plannen van resources voor eventuele audits om te voldoen aan normen en regelgeving.
1.
Reactief
2.
Minimaal
3.
Tactisch
4.
Focus
5.
Strategisch
2. Minimaal
IB wordt alleen opgepakt voor zover normen en regels dit voorschrijven.
Er is een beperkte, algemene aanpak voor IB.
Kenmerken:
• Er is een inventarisatie geweest van geldende standaarden.
• De minimale acties hiervoor zijn in gang gezet of uitgevoerd.
• Het beleid is op de minimale aanpak afgestemd.
• Het management heeft geen actieve rol in IB.
•Er is een beperkt bewustzijn onder de medewerkers dat is ontstaan door algemene berichten
op intranet of korte toelichtingen tijdens overleggen.
• Er heeft nog geen Business Impact Analyse (BIA) plaatsgevonden voor IB risico’s.
• Er is weinig tijd en budget beschikbaar voor IB.
• Passieve beveiliging als virusscans zijn in gebruik maar zonder proactieve benadering.
Niveau 2 naar 3
Structureren en borgen
Beleg de verantwoordelijkheden op de verschillende niveaus in de organisatie, maak het beleid concreet en plan de verdere acties.
• Opstellen informatiebeheerplan.*
• Opstellen informatiebeleid met kaders voor gebruik van ICT middelen, op basis van risicoanalyse.
• Aanwijzen IB coördinator.
• Aanwijzen management verantwoordelijke en aanpassen standaard agenda management overleggen.
• Aanscherpen risico-inventarisatie.
• Opstellen technologie roadmap (met onderdelen als Firewalling, patchmanagement, netwerksegmentatie en backup).
• Realiseren inzet van actieve tools voor detectie en preventie inclusief architectuurreview.
• Opzetten basis IB meldingssysteem.
• Opzetten cyclus voor analyse van incidenten en bepalen vervolgacties (toetsing aan beleid).
•Realisatie datacollectie voor aanpassing (alle data zit in de monitoringdienst, gebruik van de informatie
op basis van gerichte vragen).
* Het informatiebeheerplan betreft verschillende onderdelen: organisatie, processen en techniek.
Structureren en borgen
1.
Reactief
2.
Minimaal
3.3.
Tactisch
Tactisch
4.
Focus
5.
Strategisch
3. Tactisch
IB wordt primair geregeld vanuit IT met verantwoording naar het management. Er zijn richtlijnen gebaseerd op best practices
waarbij is geleerd van vergelijkbare organisaties. Berichten over IB risico’s worden geregeld naar de organisatie gestuurd.
Kenmerken:
•IB beleid is opgesteld op basis van een Business Impact Analyse (BIA). Dit wordt uitgedragen door de organisatie
en het management.
• Er is een IB plan en de verantwoordelijkheid is belegd bij een IB coördinator.
•Medewerkers zijn op de hoogte van het belang. IB is een vast agendapunt bij afdelings- en managementoverleggen
en is onderdeel van de arbeidsvoorwaarden.
• Incidenten en risico’s worden gedocumenteerd.
• Op basis van IB principes wordt het gebruik en de configuratie van automatisering gestandaardiseerd.
• Actieve monitoring door middel van tools in huis of door derden.
Niveau 3 naar 4
Aanscherping en maatwerk
Toets of het plan zijn doelen haalt, scherp de doelen aan op basis van ervaring en zet de juiste middelen
in om de nieuwe doelen te behalen.
•
•
•
•
•
Aanscherpen van doelen organisatie op MT-niveau.
Aanpassen informatiebeheerplan.
Aanpassen technologie roadmap met gerichte inzet van tools voor detectie en preventie.
Opleiden/ inwerken IB Coördinator.
Opstellen eisen aan IT-leveranciers en aanpassen van SLA-overeenkomsten.
Aanscherping en maatwerk
1.
Reactief
2.
Minimaal
3.
Tactisch
4.
5.
Strategisch
Focus
4. Focus
IB verantwoordelijkheid is op verschillende niveaus in de organisatie belegd. Er is een opgeleide, ingewerkte IB coördinator.
Kenmerken:
• Gerichte inzet van techniek met als doel incident preventie, detectie en respons.
• Controle door datacollectie en –analyse.
• Controle over eigen processen.
• Medewerkers zijn bewust en actief betrokken bij IB en doen zelf meldingen van incidenten.
• Richtlijnen ten aanzien van IB worden regelmatig gecontroleerd en geëvalueerd.
Niveau 4 naar 5
Continu verbeteren
De organisatie evalueert en verbetert continue op alle niveaus, in alle processen.
•
•
•
•
Opzetten cyclus voor MT voor evaluatie en continu verbeteren beleid IB en inzet van middelen.
Opzetten cyclus voor inventarisatie verwachte veranderingen met bijbehorende veranderingen IB.
Aanpassen informatiebeheerplan.
Aanpassen technologie roadmap.
1.
Reactief
2.
Minimaal
3.
Tactisch
4.
Focus
5.
Strategisch
5. Strategisch
De doelen van IB worden door het management vastgesteld en aangepast. Er is autonomie voor IB functionarissen om te
auditen en te verbeteren. Er is een duidelijk samenhangend organisatiebreed IB beleid.
Kenmerken:
• IB processen worden continu aangepast op basis van hun meerwaarde voor de organisatie en zijn doelen
• IB processen worden continu gemonitord en verbeterd.
• Processen en monitoring zijn proactief en worden aangepast aan verwachte/aanstaande veranderingen in de organisatie.
• Inzet van de techniek wordt regelmatig geëvalueerd en aangepast.
• Richtlijnen ten aanzien van IB worden regelmatig gecontroleerd en geëvalueerd.
Continu verbeteren
Diensten in het kader informatiebeveiliging
Solviteers en Fox-IT bieden naast een begeleidingstraject om uw organisatie naar het volgende niveau te brengen
ook aanvullende diensten in het kader van informatiebeveiliging. Uw organisatie kan deze inzetten binnen het traject,
maar ook in de dagelijkse IB praktijk.
Informatiebeheercoördinator
Zolang u de rol van informatiebeheercoördinator nog niet hebt ingevuld kan Solviteers deze ad interim vervullen.
Nadat uw organisatie de rol heeft belegd bij een van uw eigen medewerkers, werkt Solviteers deze medewerker in
zodat deze zijn rol op een goede manier kan uitvoeren.
Automatische detectie, preventie & response
Middels de Managed Security Monitoring Service van Fox-IT kan Solviteers uw organisatie beschermen tegen
bedreigingen van buiten af. De definities op basis waarvan bedreigingen en aanvallen bepaald worden, worden
dagelijks geanalyseerd en verfijnd. Hierdoor is uw organisatie maximaal beschermd tegen nieuwe risico’s die uw
informatie bedreigen. Indien er sprake is van een serieuze bedreiging neemt Solviteers pro-actief contact op
met uw organisatie zodat u passende maatregelen kunt nemen.
Responseteam
Bij acute problemen biedt Fox-IT uw organisatie ondersteuning. Indien uw organisatie het slachtoffer wordt van
een hack die uw dagelijkse bedrijfsvoering bedreigd kan Fox-IT een groep specialisten sturen die er zo snel
mogelijk voor zorgt dat u weer verder kunt werken.
Pentesten
Om de kwetsbaarheid en weerbaarheid van uw organisatie te kunnen bepalen kunnen experts van Solviteers en
Fox-IT deze testen. Hierbij komen, afhankelijk van uw wensen, zowel de procedurele kant (social engineering) als
de technische kant (hackpogingen van uw netwerk en applicaties) aan bod. Deze testen vinden altijd in overleg
met uw organisatie op maat plaats.
Solviteers en Fox-IT ontwikkelen doorlopend diensten in het kader van informatiebeveiliging.
Zie voor het actuele overzicht van onze diensten www.solviteers.nl/informatiebeveiliging.
Solviteers en Fox-IT bundelen hun krachten op
het gebied van informatiebeveiliging voor gemeenten.
Solviteers brengt organisatie en automatisering bij elkaar voor lokale
Fox-IT is een internationaal opererend IT-securitybedrijf dat slimme ideeën
overheden, zorg en in de sociale zekerheid. Vanuit de kerncompetenties:
en technologieën omzet naar innovatieve oplossingen op het gebied van
Advies & Implementatie, Softwareontwikkeling en Cloud & Infradiensten
cyberbeveiliging. Organisaties uit de gehele wereld, waaronder overheden,
biedt Solviteers op pragmatische wijze werkende oplossingen aan klanten.
veiligheidsdiensten, politie en commerciële bedrijven maken gebruik
van onze producten en diensten. Ons doel is oplossingen te maken die
De Bouw 117
3991 SZ Houten
E [email protected]
T 030 2803655
www.solviteers.nl
bijdragen tot een veiligere samenleving.
Download
Random flashcards
fff

2 Cards Rick Jimenez

mij droom land

4 Cards Lisandro Kurasaki DLuffy

Create flashcards