praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 ›...
TRANSCRIPT
![Page 1: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/1.jpg)
Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director
Voorzitter ISACA Belgium vzw
Lid van Vlaamse Toezichtcommissie (VTC)
September 2017
Praktijkgerichte aanpak van
informatieveiligheid:
hoe overeenstemmen met GDPR?
![Page 2: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/2.jpg)
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
![Page 3: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/3.jpg)
Opstellen van een informatie-veiligheidsplan !!! Eenzelfde kader voor alle organisaties:
Richtsnoeren informatieveiligheid CBPL http://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200_3.pdf
! risico-analyse ! continue bewustmaking (“awareness”) ! voldoende middelen voorzien ! stappenplan: meerjaren-planning ! contract met alle verwerkers
(software-leveranciers, (onder)aannemers met toegang tot informatie)
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
![Page 4: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/4.jpg)
Informatieveiligheidsplan: Risico inschatting 1. Beleid 2. Organisatie: intern + externe partijen 3. Personeelsbeleid 4. Bedrijfsmiddelen: informatie classificatie 5. Toegang tot persoonsgegevens 6. Cryptografie 7. Fysieke beveiliging 8. Operationele beveiliging 9. Communicatiebeveiliging 10. Aanschaffen, ontwikkelen en onderhouden toepassingen & informatie-
systemen 11. Leveranciersrelaties 12. Incidenten 13. Continuïteit 14. Naleving
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
![Page 5: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/5.jpg)
Belgische Gids voor Cyberveiligheid https://www.b-ccentre.be/wp-content/uploads/2014/05/B-CCENTRE-BCSG-NL.pdf
De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan
zeker ook zijn nut bewijzen in een overheidscontext. Het is een technologie-
neutrale en beknopte handleiding die verhelderend wil zijn voor het
management en die zo ook bruikbaar is voor de CISO.
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
![Page 6: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/6.jpg)
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
![Page 7: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/7.jpg)
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
Principes + Visie + Beleid + Richtsnoeren
Processen & Procedures
Organisatie Risicobeheer &
Controle
Informatie & Data
Architectuur Diensten,
Infrastructuur, Toepassingen
Cultuur, Ethiek & Gedrag
Kennis & Competenties
Communicatie & Rapportering
![Page 8: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/8.jpg)
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
![Page 9: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/9.jpg)
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
![Page 10: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/10.jpg)
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
![Page 11: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/11.jpg)
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
Informatieveiligheid niet alleen persoonsgegevens maar ook
o andere vertrouwelijke informatie
o beschikbaarheid & betrouwbaarheid van informatie voor de werking van de organisatie, voor uitwisseling met andere organisaties en overheden
o ook informatie op papier!!!
![Page 12: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/12.jpg)
CISO = DPO mag
mogelijkheden
oIntern (niet ICT verantwoordelijke of directeur of jurist!)
oExtern (niet software-leverancier!)
oPer groep (minimum aantal uren per
maand)
16 uur per maand!
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
![Page 13: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/13.jpg)
„Positie van de functionaris voor gegevensbescherming” a) naar behoren en tijdig wordt betrokken bij alle
aangelegenheden die verband houden met de bescherming van persoonsgegevens;
b) toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid;
c) onafhankelijk werken en geen instructies ontvangt met betrekking tot de uitvoering van die taken.
d) rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
e) kan andere taken en plichten vervullen zonder belangenconflict.
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
![Page 14: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/14.jpg)
„Taken van de functionaris voor gegevensbescherming”
a) Verwerker informeren en adviseren over verplichtingen;
b) toezien op naleving van deze verordening met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
c) advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan;
d) met de toezichthoudende autoriteit samenwerken;
e) optreden als contactpunt voor de toezichthoudende autoriteit;
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
![Page 15: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/15.jpg)
Belgische Gids voor Cyberveiligheid
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 16: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/16.jpg)
Continu bewustmaking van personeel,
leveranciers en klanten
Voorbeeld: wachtzinnen - Strikt persoonlijk => dus niet doorgeven
- Degelijk = hoe langer hoe beter, niet gemakkelijk te raden
- Regelmatig wijzigen (vb. 1x/jaar)
- Niet volledig opschrijven
- Niet automatisch opslaan in browsers
- Verschillende wachtzinnen voor verschillende toepassingen
- wachtzin generatoren gebruiken
(LastPass, Dashlane, KeePass, 1Password)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 17: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/17.jpg)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
https://privacypatterns.org/patterns/
![Page 18: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/18.jpg)
Waar wordt alle data bijgehouden?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 19: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/19.jpg)
Hoe wordt alle data bijgehouden?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 20: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/20.jpg)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
https://www.owasp.org/index.php/Security_by_Design_Principles
1. Minimalizeer “aanvalgebied”
2. Security by default
3. Least privilege
4. Defense in depth
5. Misluk op veilige manier
6. Vertrouw niets
7. Scheiding van functies
8. Vermijd “security by obscurity”
9. Hou informatieveiligheid zo eenvoudig mogelijk
10. Los veiligheidsproblemen en incidenten correct op
![Page 21: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/21.jpg)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
http://docs.oasis-open.org/pbd-se/pbd-se-annex/v1.0/cnd01/pbd-se-annex-v1.0-cnd01.html
![Page 22: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/22.jpg)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
PRIVACY
BY
DESIGN
![Page 23: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/23.jpg)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 24: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/24.jpg)
Communicatie & opslag van data in
“the cloud”?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 25: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/25.jpg)
o Gratis beoordelingstool van Smals: Cloud Security model
om het beveiligingsniveau van een aangeboden
clouddienst te evalueren.
o https://www.smalsresearch.be/tools/cloud-security-model-nl/
Dropbox for business Dropbox free
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
![Page 26: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/26.jpg)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
http://appsvc.wolterskluwer.be/gdpr
![Page 27: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/27.jpg)
4. Wat moet je doen
bij informatie-incidenten,
zoals hacking of gegevenslekken?
![Page 28: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/28.jpg)
Aanbeveling van de privacycommissie
omtrent datalekken (Januari 2013) http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2013.pdf
4. Wat moet je doen
bij informatie-incidenten,
zoals hacking of gegevenslekken?
![Page 29: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/29.jpg)
4. Wat moet je doen
bij informatie-incidenten,
zoals hacking of gegevenslekken?
http://www.cybersecuritycoalition.be/cyber-security-incident-management-guide/
![Page 30: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/30.jpg)
Informatieveiligheid is
een zaak van iedereen!
Besluit
![Page 31: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/31.jpg)
![Page 32: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/32.jpg)
http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm
![Page 33: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/33.jpg)
https://www.privacycommission.be/nl/nieuws/algemene-verordening -gegevensbescherming-privacycommissie-lanceert-themadossier-en
![Page 34: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/34.jpg)
https://www.ksz-bcss.fgov.be/nl/veiligheid-en-privacy/general-data-protection-regulation
![Page 35: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/35.jpg)
http://shop.wolterskluwer.be/shop/nl_BE/navigation/10/Naar-een-ge-ntegreerde-privacybescherming-in-de-onderneming?p=BPYUSHIBI17001
![Page 36: Praktijkgerichte aanpak van informatieveiligheid: … › wp-content › uploads › 2017 › 09 › Marc-VAEL...Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director](https://reader033.vdocuments.pub/reader033/viewer/2022053000/5f0485307e708231d40e609a/html5/thumbnails/36.jpg)
Contact gegevens
Mr. Marc Vael
ISACA BELGIUM vzw
Koningsstraat 109 b5
1000 Brussel
www.isaca.org/privacy
0473 99 30 31
http://www.linkedin.com/in/marcvael
@marcvael