Workshops Informatiebeveiliging en Privacy
De IBD heeft in de afgelopen jaren een groot aantal workshops ontwikkeld voor o.a. de regiobijeenkomsten. Op verzoek kan de IBD één van deze workshops geven op een bijeenkomst die door de gemeente zelf georganiseerd wordt.
Wilt uw gemeente één van deze workshops organiseren, en heeft u minimaal 10 deelnemers van verschillende gemeenten (of intergemeentelijke sociale diensten en belastingsamenwerkingen)? Stuurt u dan een verzoek aan [email protected] met daarin een voorkeursdatum, het aantal deelnemers en de deelnemende organisaties.
De IBD biedt hierbij de keuze uit de volgende workshops op het gebied van informatiebeveiliging:
Workshop 1: Help, ik ben CISO!
In de workshop ‘Help, ik ben CISO!’ behandelen we de verantwoordelijkheden van de CISO. Als (beginnend) CISO loopt u in valkuilen en tegen beren op de weg aan: het verkrijgen van bestuurlijk draagvlak en de noodzakelijke middelen voor een optimaal informatiebeveiligingsbeleid zijn de belangrijkste. Hoe gaat u om met deze valkuilen en hoe creëert u als CISO draagvlak voor uw belangen? In deze workshop wordt dieper ingegaan op deze vragen. Aan de hand van vier casus-beschrijvingen voeren we de discussie met de deelnemers over de het werkaanbod, de rol en taken, de planning en de persoonlijke eigenschappen van de CISO. Tijdens deze interactieve sessie worden deze onderwerpen verdiepend behandeld en beantwoord en krijgt u praktische handvatten aangereikt.
Workshop 2: Informatiebeveiligingsplan, de kunst van het kiezen
In de workshop ‘Informatiebeveiligingsplan, de kunst van het kiezen’ behandelen we de opzet, invulling en afstemming in verband met het gemeentelijke informatiebeveiligingsplan. In de workshop verkennen we de manieren om informatiebeveiligingsmaatregelen te implementeren en te prioriteren op basis van een reële risico-inschatting bij de eigen gemeente. Aan de hand van drie casussen wordt een discussie gevoerd over hoe de BIO hierbij kan helpen en welke instrumenten nodig zijn om het geheel beheersbaar te houden. Als eerste worden de kritische processen en risico’s bepaald aan de hand van de ‘Diepgaande risicoanalyse methode gemeenten’. Daarna wordt aan de hand van zes vooraf bepaalde risico’s nagedacht over welke controls er nodig zijn om die risico’s af te dekken. Tot slot wordt nagedacht over welke hoofdstukken in het informatiebeveiligingsplan dienen terug te komen, en hoe u vanuit de risico’s en controls tot een plan kunt komen.
Workshop 3: Implementeren van informatiebeveiligingsmaatregelen
In de workshop ‘Implementeren van Informatiebeveiligingsmaatregelen’ gaan we in op de fase nadat een informatiebeveiligingsplan is opgesteld en vastgesteld. Dan gaat een CISO aan de slag met de maatregelen die in het plan zijn benoemd. Hierbij staan de kritische processen en essentiële systemen van de gemeente zoals BRP/GBA, SUWI, decentralisaties en PUN centraal en ligt de nadruk vooral op de procesmatige implementatie en niet op de technische invulling. In de workshop gaan we in op de volgende vragen: Wat is de samenhang tussen de verschillende normen. Wat zijn de overeenkomsten in aanpak bij de verschillende beleidsdomeinen? Deelnemers leren over de aanpak binnen deze beleidsdomeinen en verkennen de manieren waarop deze gemeente-breed hergebruikt kunnen worden.
Workshop 4: Rapporteren over informatiebeveiligingsmaatregelen
In de workshop ‘Rapporteren over informatiebeveiligingsmaatregelen’ gaan we in op het meten van de effectiviteit van het ISMS en de effectiviteit van de informatiebeveiliging. Dit kan gedaan worden door het vaststellen van normen, rapportage hierover en controle op de rapportages. De invoering van de BIO vereist transparantie en verantwoording, zowel intern als extern. In de workshop gaan we in op de volgende vragen: Welke activiteiten moet de CISO uitvoeren om inzicht te krijgen en houden in de effectiviteit van de beveiligingsmaatregelen? Welke instrumenten en rapportages kunnen hierbij ondersteunen en hoe kunnen tekortkomingen worden verholpen?
Workshop 5: Ken uw kroonjuwelen
In de workshop ‘Ken uw kroonjuwelen’ bespreken we met de deelnemers hoe gemeenten dataclassificatie kunnen inzetten bij het vaststellen en beschermen van hun kroonjuwelen. Hierbij behandelen we de volgende vraagstukken: Wat is dataclassificatie? Waarom doen we het? Wat zijn de relaties met de baselinetoets BIO en de diepgaande risicoanalyse. Ook zal worden ingegaan op de vraag hoe dataclassificatie ingezet kan worden om focus aan te brengen bij het implementeren van de BIO.
Workshop 6: De BIO en Bedrijfscontinuïteitsmanagement (BCM)
In de workshop ‘De BIO en BCM’ bespreken we met de deelnemers het inrichten van een adequaat beheerproces van bedrijfscontinuïteit. Hiermee borgt de gemeente dat de gevolgen van een omvangrijke storing of ramp en het herstel daarvan acceptabel worden gemaakt. We bespreken met de deelnemers hoe de BIO helpt bij het opstellen van een BCM-plan. Ook behandelen we hoe voorkomen kan worden dat tijdens een calamiteit moet worden gebouwd op ad hoc maatregelen. Tot slot gaan we in op de noodzaak van oefenen, testen en actueel houden van de plannen.
Workshop 7: Opdrachtgeverschap 2.0: toezien op de afspraken in de standaard verwerkersovereenkomst
Deze workshop gaat in op het toezien op de afspraken die in de verwerkersovereenkomst door de afnemer met de leverancier gemaakt zijn. We zullen eerst starten met een korte samenvatting van wanneer een verwerkersovereenkomst nodig is. Daarna gaan we aan de slag met het toezien op de afspraken in de standaard verwerkersovereenkomst. Hoe krijgt u zekerheid of voldaan wordt aan de gemaakte afspraken? Wanneer moet ik ingrijpen en inkoop, of het bestuur informeren over de risico’s die ze lopen? Waar moet u op letten bij het beoordelen van certificaten en verklaringen? Naast het behandelen van theorie zullen we ook ruim de tijd nemen voor een aantal praktijkvoorbeelden. In de komende workshop Opdrachtgeverschap 2.0 zal de IBD u meenemen aan de hand van een inleidende theorie en met voldoende ruimte voor de praktijk en discussie. Neemt u allen uw hoofdovereenkomsten, documenten en certificaten mee!
Workshop 8: Crisiscommunicatie en informatiebeveiliging
In de workshop ‘Crisiscommunicatie en informatiebeveiliging’ behandelt de woordvoerder van de IBD de interne en externe communicatie rond incidenten aan de hand van enkele recente voorvallen die het nieuws haalden. De deelnemers krijgen inzicht in de opbouw van de communicatie en achtereenvolgens worden de doelstellingen, de doelgroepen, de boodschap en de bijbehorende middelen behandeld. De workshop is interessant voor woordvoerders / communicatieadviseurs van gemeenten die meer willen weten van crisiscommunicatie in het digitale domein. Deelnemende CISO’s leren tijdens de workshop hoe ze de gemeentelijke woordvoerders kunnen adviseren tijdens een informatiebeveiligingsincident.
Workshop 9: Crisisgame – Train de Trainer sessie
Gemeente De Natte Meren is gehackt. U staat voor de taak deze hack samen met andere gemeentelijke deelnemers zo efficiënt mogelijk te bestrijden. Analyseer de risico’s, voorkom dat de data bij onbevoegden terechtkomt, beperk de schade en achterhaal wie de dader is. Maar let op! De tijd dringt en consequenties van verkeerde beslissingen kunnen verstrekkend zijn. De game kan worden gebruikt om een (informatiebeveiligings-) crisis te oefenen. De train de trainer sessie stelt gemeenten in staat om de game zelf te houden in de eigen organisatie en zo het bewustzijn te verhogen. Meer informatie vindt u hier.
Workshop 10: Adviesvaardigheden
De CISO zit als spin in het ISMS web van de gemeente, er zijn erg veel touwtjes om aan te trekken en de CISO is een ware duizendpoot. Alle onderwerpen hebben recht op aandacht en de CISO is ook nog eens verantwoordelijk voor het effectief neerzetten van informatieveiligheid. Maar nu dan de hamvraag: Hoe effectief bent u als CISO, lukt alles of zou het beter kunnen, hoe communiceert u, waarom begrijpen anderen u niet? De CISO communiceert met lijnmanagers en de top, dat vereist onder andere dat de boodschap anders wordt gegeven. Na deze workshop heeft u handvatten om de lijnmanager te mobiliseren en activeren meer met informatieveiligheid te doen. Ook wordt u effectiever in de boodschap overbrengen aan de top. Het eindresultaat is dan ook dat de informatieveiligheid van de gemeente als geheel verbeterd. Bij deze workshop wordt u een spiegel voorgehouden, gaan we in discussie met andere CISO’s en gaat u ook zelf aan het werk.
Workshop 11: De factor mens, waarom bewustwordingscampagnes niet werken
U heeft al regelmatig een bewustwordingscampagne gedaan, iedereen is er positief over, maar toch lijken alle medewerkers alle tips en trucs al na een paar weken te zijn vergeten. Herkent u dit? Dan is deze workshop voor u bedoeld. We gaan in op de factor mens en behandelen de meest voorkomende misverstanden over de beïnvloeding van gedrag. In de workshop leert u waarom uw campagnes in het verleden maar zo kort effect hebben gehad en werkt u samen met de andere deelnemers aan een checklist voor een bewustwordingscampagne met blijvend effect.
Workshop 12: Mobile Device Management (MDM)
In de workshop MDM krijgen deelnemers, met behulp van een voorbeeldcasus, informatie aangereikt om tot een gedegen informatiebeveiligingsadvies over mobiel werken te komen. De aspecten beleid, techniek en organisatie komen hierin aan de orde. Deelnemers krijgen een inzicht in de verschillende vormen van mobiel werken en de risico’s die hiermee samenhangen. Op basis van dit inzicht kunnen deelnemers een advies schrijven voor de eigen organisatie en zijn goed op de hoogte van de verschillende mogelijkheden omtrent mobiel werken.
Workshop 13: Tien geboden voor de CISO
In de workshop Tien geboden voor de CISO benoemen we de valkuilen en geven wij u aan de hand van ‘tien geboden’ tips hoe u deze valkuilen vermijdt. Het doel is u vanaf de start in de juiste positie binnen de beveiligingsorganisatie te plaatsen en te zorgen dat u de beveiligingsorganisatie voor u laat werken in plaats van dat u de beveiligingsorganisatie op uw schouders neemt. Tijdens de workshop gaan we ook in op de vraag wat de Informatiebeveiligingsdienst voor u kan betekenen. Deze workshop is ontwikkeld voor nieuwe CISO’s, maar ook voor CISO’s die al langer zijn aangesteld.
Workshop 14: Risicoregister en Risicoacceptatieovereenkomst
Van maatregelmanagement naar risicomanagement, als maatregelen niet genomen worden betekent dat eigenlijk dat er een risico ontstaat, of niet gemitigeerd wordt. In plaats van te praten over technische maatregelen is het beter om te praten over risico’s die de business begrijpt. Het risicoregister is de centrale plaats waarin alle risico’s op het vlak van onder andere informatiebeveiliging en de AVG kunnen worden bijgehouden en gemanaged en waar vanuit kan worden gerapporteerd. De Risico-acceptatieovereenkomst (RAO) is een verklaring aan een (lijn)manager dat er een risico is, wat de gevolgen zijn en wat de afspraken daarover zijn.
Workshop 15: BIO voor kleine gemeenten
De implementatie van de BIO vraagt meer dan bij de BIG het geval was, om een risicogerichte benadering van informatiebeveiliging. Hierin speelt het vaststellen van het basisbeveiligingsniveau van processen door het lijnmanagement een grote rol. De grootte van de ambtelijke organisatie van een kleine gemeente vereist een pragmatische aanpak, welke tijdens deze workshop wordt toegelicht.
Rondom privacy en gegevensbescherming kan de IBD de volgende workshop verzorgen:
Workshop 1: Tien geboden voor de FG
Naast de workshop Tien geboden voor de CISO is er ook de workshop Tien geboden voor de FG. In deze workshop gaan we in op de valkuilen die aan de rol en positionering van de FG zijn verbonden en geven wij u aan de hand van ‘tien geboden’ tips hoe u deze valkuilen vermijdt. Het accent ligt in deze workshop op de toezichthoudende functie van de FG in de gemeentelijke organisatie, maar we gaan ook in op de rol van de Privacy Officer als materiedeskundige binnen de organisatie. Daarnaast gaan we in op wat de privacyadviseurs van de Informatiebeveiligingsdienst voor u kunnen betekenen. Deze workshop is bedoeld voor zowel nieuwe als ervaren FG’s.
Eigen invulling
Heeft u een eigen invulling voor de workshop of wilt u dat de IBD aanwezig is als toeschouwer of onafhankelijke deelnemer? Neem contact op met de IBD om te zien wat hiervoor in uw geval de mogelijkheden zijn: [email protected].