Embed Size (px)
Citation preview
BewustwordingInformatieveiligheid
bij gemeenten
Januari 2014
Copyright
© 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING).
Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. KING wordt als bron vermeld;
2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING;
4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van deze mededeling.
2
Informatiebeveiliging, belangrijker dan ooit?
Inhoud
Doel van de presentatie
Wat is informatie en in welke vorm kennen we het?
Wat is Informatiebeveiliging?
Informatiebeveiliging, wat zijn de principes?
Het belang van informatiebeveiliging in relatie tot het werken bij een gemeente.
Inzicht in de risico’s, bedreigingen en maatregelen die nodig zijn om alle vormen van informatie te beschermen.
Starten van een cultuur- en gedragsverandering.
1. Doel van de presentatie
• Voor wie Iedere medewerker binnen de gemeente, ongeacht soort
arbeidsverhouding
• Inhoud Informatiebeveiligingsmaatregelen
• Doel Creëren van een hogere bewustwording van informatiebeveiliging met
als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van onveilig gedrag naar veilig gedrag.
2. Wat is informatie?
• Gestructureerd• Logisch• Betekenisvol• Te gebruiken in een context• Waarde• Vorm
• Denk aan:– GBA gegevens– BSN
Welke interessante of vertrouwelijke informatie heeft u?
Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend.
Voorbeeld:Edwin de VriesKerkstraat 50AmsterdamGeboorte datum: 18-05-1925
3. En….in welke vorm kennen we het ?
• Op papier (ook geschreven)• Mondeling• Elektronisch (netwerken)• Transport (signaal)• Transport (fysieke media, mobiele apparaten)• Kennis
• Informatie heeft waarde• Waardevolle informatie veilig stellen • Privacy beschermen• Aanpak om informatie te beschermen• Informatie heeft een bepaalde gevoeligheid
4. Waarom hebben we informatiebeveiliging nodig?
5. Wat is de waarde van informatie?
• Geldelijke waarde• Aantrekkelijk voor anderen (insiders of outsiders)• Nut voor u• Nuttig voor anderen• De (potentiële) schade als gevolg van verkeerd
gebruik of compromitteren van de informatie• Tijdigheid
Welke waarde heeft uw informatie?
6. Wat is informatiebeveiliging?
Beschikbaarheid• De mate waarin een informatiesysteem in een bedrijf
aanwezig is op het moment dat de organisatie het nodig heeft
Exclusiviteit (vertrouwelijkheid)• De mate waarin de toegang tot en de kennisname van een
informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden
Integriteit• De mate waarin een informatiesysteem zonder fouten is
7. Wat is het doel van het beveiligingsprogramma bij de gemeente?• Herkennen van bedreigingen, zwakheden en risico’s ten opzichte van
gemeentelijke informatie• Tegengaan of verminderen van deze risico’s naar een acceptabel niveau• Verwijderen of verminderen van een zwakheid in een systeem• De kans verkleinen dat een bedreiging manifest wordt• Reduceren van de schade als er toch een incident optreedt• Herstellen van informatievoorziening
Beveiliging
8. Balans
• Er is een relatie tussen gebruiksgemak en beveiliging
• Als de beveiliging toeneemt, neemt het gebruiksgemak af
• Voorbeeld: IPAD, schermbeveiliging.
Gebruiksgemak
9. Beveiliging is noodzakelijk
• Beschikbaarheid, integriteit en exclusiviteit van onze informatie is zeer belangrijk voor de doelstellingen van onze gemeente
• Onze informatiesystemen moeten altijd worden beschermd
• Onze informatie moet altijd worden beschermd
• Onze burgers moeten er van uit kunnen gaan dat wij hun informatie beschermen
Informatie opgeslagen in onze systemen2013-11-19, Used with permission, [email protected]
10. Informatiebeveiliging is de taak van iedereen binnen de gemeente
• De gemeente is een informatieverwerkende organisatie
• Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren
• Informatiebeveiliging is essentieel voor de continuïteit van onze dienstverlening richting onze burgers
• Informatiebeveiliging is essentieel om het vertrouwen van onze burgers in de gemeente te versterken
11. Verantwoordelijkheid!
• Het is de verantwoordelijkheid van iedere medewerker binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen
• U bent verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie welke onder uw verantwoordelijkheid valt binnen uw werk
• Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan uw werk
• De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is. Op basis daarvan wordt een classificatie toegekend
• De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van vertrouwelijkheid
12. Informatiebeveiliging is de taak van iedereen!
• Informatiebeveiliging kunt u lastig later toevoegen, het moet er gewoon zijn
• Informatiebeveiliging is niet alleen de taak van de beveiligingsspecialisten
• Informatiebeveiliging is de taak van iedereen!
• We moeten er allemaal voor zorgen dat gemeentelijke informatie, -middelen en -ruimten goed zijn beveiligd en dat ook blijven
• Wat kunt u daaraan bijdragen?
13. Gemeentelijke informatie moet worden behandeld in overeenstemming met de classificatie
Proces Beschikbaarheid Integriteit VertrouwelijkheidBurgerzaken (klantbegeleiding, afspraken) Belangrijk Absoluut VertrouwelijkBasisregistratie persoonsgegevens Essentieel Absoluut GeheimOverige basisregistraties Essentieel Absoluut OpenbaarIndienen en behandelen beroep en bezwaarschriften Noodzakelijk Absoluut Openbaar/
vertrouwelijkSociale Zaken — Uitvoering / verstrekking voorzieningen Essentieel Hoog Geheim
Sociale Zaken — Handhaving en controle Noodzakelijk Absoluut GeheimOpenbare orde en veiligheid (brandweer, preventie, rampbestrijding) Essentieel Absoluut Geheim
Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI eisen kan per gemeente anders zijn.
14. Beveiliging binnen onze gemeentelijke organisatie
• Integraal verantwoordelijke• Gedelegeerd verantwoordelijke• Iedere manager • Information Security Officer• ICT-servicedesk (telefoonnummer)• Overige beveiligingsnummers
Wat zijn bedreigingen?
2013-11-19, Used with permission, Kevin Siers, The Charlotte Observer
15. Wat zijn bedreigingen?
• Malware via websites• Verouderde software• Mobile devices• Cybercrime, DDoS, phishing• Digitale spionage• Werknemers
• Buitenlandse wetgeving• Verlies van data, BYOD• Stroomstoring• Verlies van kennis• Apps van derden• Identiteitsdiefstal
Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. Er wordt vaak onderscheid gemaakt naar interne en externe bedreigingen maar ook naar opzettelijk en onopzettelijk handelen.
16. Externe bedreigingen
• Hackers• Crackers• Scriptkiddies
17. Welke motivatie?
• Vandalisme• Boosheid• Politiek• Nieuwsgierigheid• Schade willen toebrengen• Persoonlijk gewin
18. Voorbeelden externe bedreigingen
• Natuurrampen:– Aardbeving, overstroming, tornado en bliksem
• Stroomstoring• Geen Airco• Terrorisme• Brand en waterschade• Personeelstekort• Digitale aanvallen van buitenaf
– Hacken, digitale inbraak– DDOS-aanval– SAAS, toegang tot applicatie– Spionage
19. Nog meer bedreigingen…
• Diefstal of verlies van:
- Laptops
- Desktops
- PDA’s / tablets
- Telefoons / Smartphones
- Data (fysiek) DVD, CD-ROM, harddisks, USB-sticks etc.
- Data (logisch) draadloos, Man-in-the-middle (MITM)
• Social Engineering
20. Interne bedreigingen (1/2)• Onoplettendheid (verkeerde informatie geven)• Slordigheid (typo’s, clean desk?)• Onwetendheid (de regels niet kennen)• Onbewust handelen (aannemen dat iets zo is)• Je niet houden aan gemeentelijke regels (gewoon de regels bewust
overtreden)
Bijvoorbeeld: Gebruiken van onveilige software E-mailen van gemeentelijke informatie naar privé e-mail, opschrijven
wachtwoorden Je niet houden aan de clean desk Policy Over gevoelige informatie praten in openbare ruimten
20. Interne bedreigingen (2/2) In een recent onderzoek geven meer dan de helft van de partijen aan
dat beveiligingsincidenten van binnenuit zijn opgetreden Diverse onderzoeken lopen uiteen, maar 30% tot meer dan 60% van
de incidenten komt van binnenuit de eigen organisatie
28
21. Interne bedreigingen, wat maakt ons kwetsbaar?• Eenvoudige wachtwoorden: te kort, te makkelijk of gewone woorden (uit
woordenboek)
• Niet in staat om geheimen te bewaren: opschrijven van wachtwoorden, vertrouwelijke informatie versturen via e-mail, lekken van informatie
• Impliciet vertrouwen van dingen die we van anderen krijgen: openen e-mailbijlagen van onbekende mensen die een virus of een andere kwaadaardige code kunnen bevatten
• Klikken op links van ‘phishing’ e-mails
22. Hoe informatie op papier te beschermen?
• Opbergen van papieren in een kast of andere geschikte container (Clean Desk Policy)
• Geen informatie of wachtwoorden op ‘post-its’ of briefjes en andere informatie, zoals cd-roms, laten rondslingeren
• Maak gebruik van shredders (verplicht voor gevoelige informatie)
• Sluit uw deur van het kantoor
23. Informatie op papier (vervolg)
• Altijd afdrukken van printers en faxapparaten halen, met name aandacht besteden aan gemeenschappelijke printers• Verwijder de afdrukken uit gemeenschappelijke printers direct
(Let op: Sommige printers en faxapparaten slaan kopieën van documenten op, die later kunnen worden opgehaald)
• Gebruik bij voorkeur speciale enveloppen (sealed) voor persoonlijke of gevoelige interne post
• Gebruik een procedure om gevoelige informatie te verzenden (dubbele enveloppen, koeriers etc.)
• Gebruik ‘de dubbele enveloppen techniek’ voor gevoelige externe (inkomende of uitgaande) post
• Voor ‘zeer gevoelige informatie’ overwegen gebruik te maken van • ‘tamper-proof’ of verzegelde enveloppen
24. Hoe mondelinge informatie te beschermen?
• Wees u bewust van uw omgeving
• Ga er niet vanuit dat in het gebouw altijd een veilige plek is om alle soorten informatie te bespreken (burgers, bezoekers, aannemers, derden)
• Handhaaf het ‘need to know’-principe
• Adopteer een minimalistische benadering met betrekking tot het verstrekken van informatie aan derden als u niet zeker weet of iets iemand anders aangaat
• Vermijd specifieke details met betrekking tot operationele procedures, beveiligingsprocedures of de computersystemen van de gemeente
24. Hoe mondelinge informatie te beschermen? (vervolg)
• Zeer gevoelige informatie kan beter niet over de telefoon besproken worden
• Wees voorzichtig bij de bespreking van gemeentelijke vertrouwelijke informatie op een mobiele telefoon (omgeving, afluisteren etc.)
25. Informatiesysteem-specifieke uitdagingen
• Aggregatie – toenemende datavolumes• Gebrek aan zichtbaarheid• Gebruiksgemak versus beveiliging• Software en hardware installatie• Portabiliteit• Snelheid• Technologische vooruitgang• Gebruikers kennis / competenties
26. Hoe kun je informatie beschermen?
• Gezond verstand• Veilige wachtwoorden• Antivirus maatregelen• Software uit bekende bronnen• Nadenken over mobiele apparaten• Goed gebruik van media• Voorzichtigheid met het web en e-mail• Log on / log off• Opslaan van documenten/ back-up• Juiste toegangsrechten
27. Gezond verstand!
• Ziet iets er vreemd uit/ is er iets veranderd ?
• De computer of het systeem gedraagt zich anders dan anders
• Noteer de datum en tijd waarop de problemen zich voordeden
• Geloof niet alles wat u op het Internet vindt
• Zoek hulp / bel de helpdesk als u twijfelt
28. Wachtwoorden
• Schrijf wachtwoorden nergens op
• Als het toch nodig is, bewaar opgeschreven wachtwoorden op een veilige plaats
• Vernieuw regelmatig uw wachtwoorden
• Kies een sterk wachtwoord
• Deel nooit uw wachtwoord met anderen
• U bent verantwoordelijk voor misbruik van uw wachtwoord
• Verander uw wachtwoord direct als u misbruik vermoedt
29. Wachtwoord problemen
• Als u een wachtwoord goed kunt onthouden is het waarschijnlijk ook makkelijk te raden voor anderen
• Moeilijke wachtwoorden zijn zonder een geheugensteuntje moeilijk te onthouden
• Opschrijven van wachtwoorden
• Korte wachtwoorden zijn makkelijk te kraken
• Niet voor alles hetzelfde wachtwoord gebruiken
30. Goede wachtwoorden
• Wat is een goed wachtwoord?
– Alfabetisch – A tot Z en a tot z– Nummers – 0 tot 9– Speciale letters / leestekens –
• ~ ! @ # $ % ^ & * ( ) + = [ ] { } / ? < > , ; : \ | ` ’ ” .
Een goed wachtwoord moet
minimaal 8 tekens lang zijn en
naast (hoofd)letters een nummer
en een leesteken bevatten.
31. Gemakkelijk te onthouden wachtwoorden?
• Neem een zin die u kunt onthouden
• Neem van ieder woord de eerste letter en vervang letters voor tekens
• Bijvoorbeeld: Onze gemeente is een veilige organisatie in 2014:
Og=€V0!2o14
32. Antivirus
• Open geen e-mail die u niet vertrouwt
• Open nooit bijlagen van e-mails die u niet verwacht
• Klik niet op links in e-mails die u niet vertrouwd
• Zorg voor een up-to-date antivirusscanner
• Download geen uitvoerbare programma’s en installeer zelf geen software
• Bij twijfel een handmatige extra virusscan uitvoeren
• Check voor gebruik media van anderen
33. Software en Hardware installatie
• Installeer geen ongeautoriseerde hard- en software
• Gebruik geen eigen software of download deze niet van een onbekende bron of van het Internet
• Installeer zelf geen modems of draadloze toegangspunten
• Wijzig geen netwerk componenten
• Gebruik alleen gelicenseerde software
34. Mobiele telefoons en tablets
• Bescherm zowel telefoon en SIM met een Pincode• Bewaar mobiele apparaten die niet in gebruik zijn in een afgesloten
kast of op een andere veilige plaats• Let op met opvallend gebruik van mobiele apparatuur, bijvoorbeeld op
straat• Behalve dat het apparaat waarde heeft kan ook de informatie die erop
staat waarde hebben voor een ander• Gebruik encryptie om informatie op het apparaat te beschermen• Maak gebruik van mogelijkheden om een apparaat terug te vinden, de
meeste hebben dit tegenwoordig
35. Laptops en opslagmedia
• Geen gevoelige informatie plaatsen op laptop computers of draagbare opslagmedia zonder encryptie
• Overweeg het verkrijgen van een kabelslot voor laptops• Behandel draagbare opslagmedia met dezelfde zorg als het equivalent
papieren document - berg het op• Laptops worden bij voorkeur volledig versleuteld.• Draagbare opslagmedia moet goed worden geëtiketteerd en de
gevoeligheid (classificatie) van de inhoud daarvan duidelijk worden gemarkeerd
• Laat de laptop niet in de auto achter en vervoer deze niet op de achterbank (in het zicht)
• Laat de laptop niet in een onbeheerde auto liggen
36. E-mail
• Gebruik niet ‘unsubscribe’ voor junk mail• Zend geen gevoelige informatie met (Internet) e-mail, dit is niet veilig • Gebruik geen gemeentelijke e-mailvoorzieningen voor privé e-mails• Alle e-mail, ook privé e-mail, kan worden onderschept, wees u daarvan
bewust en wees voorzichtig met wat u schrijft• Forward geen virus informatie of verdachte e-mails, gebruik de telefoon
en bel de helpdesk• Wees ervan bewust dat e-mail makkelijk vervalst kan worden
(Virus, Hoaxes, afzenders etc.)• Negeer kettingbrieven en wees u bewust van criminele toepassingen met
37. Web Browsing
• Alle activiteiten op Internet zijn te traceren, intern en extern - wees voorzichtig• Het is niet toegestaan om illegale content te bekijken• Het is niet toegestaan om naar sites te gaan met adult-materiaal• Vermijd controversiële locaties• Vermijd overtollig gebruik van resources
38. Log on / log off
• Controleert u wie de laatste gebruiker was op uw werkstation?
• Aan het einde van de dag afmelden
• Als dat niet automatisch gebeurt, instellen van de schermbeveiliging op 5 minuten
• Even weg bij de computer, gebruik ctrl-alt-delete,
gevolgd door enter om het werkstation te vergrendelen
39. Password-beveiliging
Bij een vergeten wachtwoord of een geblokkeerd account, alleenvolgens de juiste procedure handelen
Er is geen beveiligingspatch beschikbaar voor ‘stommiteit’
40. Document opslag
• Sla werk-gerelateerde documenten op het netwerk op, bij voorkeur in groeps- directories
• Bewaar nooit documenten op de C-schijf, deze krijgt geen back-up
• Vermijd langdurige opslag van gegevens op cd-roms, USB tokens, geheugenkaartjes, et cetera
41. Social Engineering
42. Draag uw toegangspas!
• Draag uw toegangspas tijdens het werk
• Begeleid mensen zonder toegangspas naar de receptie
• Vraag iedereen zonder zichtbaar gedragen pas om deze zichtbaar te dragen
• Geef nooit iemand toegang door de deur open te houden zonder u af te vragen of die persoon wel naar binnen mag. Bij twijfel: begeleiden naar de receptie
43. Wat kan er tegen Social Engineering ondernomen worden?
Laat mensen zonder badge niet meelopen bij het naar binnengaan. Breng bezoekers naar de receptie
Er zijn diverse onderzoeken geweest waarbij mensen hun wachtwoord gaven voor bijvoorbeeld een ballpoint!
Draag altijd uw toegangspas binnen de werkruimten
Bij bellen, bij twijfel vragen om een terugbelnummer dat geverifieerd kan worden
Vraag u af waarom een bepaald verzoek aan u wordt gedaan!
44. Bedrijfsinformatie
Dus…Bescherm gemeentelijke informatie
alsof uw baan er vanaf hangt,
omdat…
uw baan er ook vanaf hangt!
Vragen?
