Informatierisico s en beveiliging: Een integrale benadering van beheersing (ERMplus)

Maat: px

Weergave met pagina beginnen:

Download "Informatierisico s en beveiliging: Een integrale benadering van beheersing (ERMplus)"

Stijn Kuiper
8 jaren geleden
Aantal bezoeken:

1 Informatierisico s en beveiliging: Een integrale benadering van beheersing (ERMplus) Drs Urjan Claassen RA RE CIA Vennoot Clascon 13 oktober 2010 Security-Congres 1

2 Urjan Claassen Opleiding Drs: Bedrijseconomie Tilburg RA: Universiteit van Tilburg RE: Erasmus Universiteit Rotterdam Loopbaan Philips Electronics Andersen Accountants KPMG IT Advisory 05- Clascon Risicomanagement Universitaire Docent 03-heden Business Universiteit Nyenrode, docent Advanced & Financial Auditing 04-heden Erasmus Universiteit Rotterdam, gastcolleges ICT Auditing en Risicomanagement Universiteit Maastricht, docent Management Control en Interne Beheersing Nevenfuncties 10-heden International Federation of Accountants (New York - USA) Advisory councel risk management & internal controls committee accountants in business 09-heden Hogeschool Arnhem Nijmegen, Raad van Advies post HBO opleiding Audit & Risicomgmt ISBN: Publicaties Contact 2010 Het hoe en waarom van risicomanagement claassen.urjan@clascon.nl Controllersmagazine Kantoor Handboek risicomanagement, een praktische Mobiel toepassing van COSO ERM Kluwer 2007 Van Sociale Zekerheid naar Sociale Assurance 13 oktober Reed 2010 Elsevier Security-Congres Handreiking samenwerking RA RE NOREA

Auditing en Risicomanagement 04-08 Universiteit Maastricht, docent Management Control en Interne Beheersing Nevenfuncties 10-heden International Federation of Accountants (New York - USA) Advisory

3 Waar gaan we het over hebben? Inleiding informatierisico s Strategische en operationele risico s Hoe houden we ze beheerst? Integraal In Control Framework 13 oktober 2010 Security-Congres 3

Inleiding Informatierisico s Hacking is greater threat than military attack Source ZDNet UK, 30 Mar 2001 Foreign secretary Robin Cook warns that the fabric of British life is at risk from viruses or

Twijfels over beveiliging Stadsdeel Centrum mogelijk slachtoffer cybercriminaliteit Van onze verslaggever Amsterdam, 3 november Bij de gemeente Amsterdam zijn waarschijnlijk tientallen uite gevoelige

4 Inleiding Informatierisico s Hacking is greater threat than military attack Source ZDNet UK, 30 Mar 2001 Foreign secretary Robin Cook warns that the fabric of British life is at risk from viruses or a hack attack The foreign secretary warned on Thursday that hacking and computer viruses present a bigger threat to Britain than a military attack. Twijfels over beveiliging Stadsdeel Centrum mogelijk slachtoffer cybercriminaliteit Van onze verslaggever Amsterdam, 3 november Bij de gemeente Amsterdam zijn waarschijnlijk tientallen uite gevoelige documenten ontvreemd. Vorige we circuleerden vertrouwelijke gegevens over burgers in verschillende nieuwsgroepen op internet. Volgens een woordvoerder van de gemeente de zaak in onderzoek en kunnen op dit mome geen mededelingen worden gedaan. Nog onbekend is of het incident het gevolg is gebrekkige beveiligingsmaatregelen of nalati van de eigen medewerkers. Volgens deskund laat de beveiliging bij veel organisaties te we over. 13 oktober 2010 Security-Congres 4

5 Strategische en operationele risico s Strategisch Reputatieschade door verlies data (bijv dossier rechtzaak) Tactisch IT HRM FACILITY Vernietiging hard disks (Werkplekken) Verlies USB stick Niet integer personeel Ongeautoriseerd toegang tot terrein Operationeel Proces: Configuratiemanagement Werving & Selectieproces Toegang tot locatie 13 oktober 2010 Security-Congres 5

USB stick Niet integer personeel Ongeautoriseerd toegang tot terrein Operationeel Proces:

6 Code voor Informatiebeveilig 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen voor personeel 5. Fysieke beveiliging 6. Beheer communicatie en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van systemen 9. Continuiteitsmanagement 10. Naleving 13 oktober 2010 Security-Congres 6

Fysieke beveiliging 6. Beheer communicatie en bedieningsprocessen 7. Toegangsbeveiliging 8.

Waar lopen we tegen aan?... IT IT Organisatie 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmid 4. Beveiligingseisen voor personeel 5.

7 Waar lopen we tegen aan?... IT IT Organisatie 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmid 4. Beveiligingseisen voor personeel 5. Fysieke beveiliging 6. Beheer communicatie en bedieningsp 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van system 9. Continuiteitsmanagement 10. Naleving 13 oktober 2010 Security-Congres 7

Beveiligingseisen voor personeel 5. Fysieke beveiliging 6.

8 Waar lopen we tegen aan?...hrm HRM afdeling 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Beveiligingseisen voor persone 4. Beheer communicatie en bedien 5. Toegangsbeveiliging 6. Naleving 13 oktober 2010 Security-Congres 8

9 Waar lopen we tegen aan?...facility Facility Management 1. Beveiligings- en Hospitality Diensten Receptie Catering (automaten, bedrijfsrestaurant, koffie, thee, lunches, evenementen, borrels, pantry s) Beveiligingsdiensten (toegangscontrole, bewaking, bedrijfshulpverlening, brandbeveiliging) 2. Werkplek Diensten (Facilitair) Werkplek (fysiek) Kantoorartikelen en computer supplies (papier enveloppen) Secretariaat (agendabeheer, correspondentie/post, telefoon, Vergaderingen, reserveringen, aanmelden (bezoekers, toegangsid) Documentaire informatievoorziening o Grafische vormgeving/ (DTP), Postkamer, Repro-Drukwerk, Archief, Bibliotheek (vakliteratuur & abonnementen) 3. Kantoor en Hygiëne Diensten Huisvestings- en ruimtebeheer inventaris, AV-middelen Kantoorinrichting/meubilair, hotel- en vergaderaccommodatie Groenvoorziening binnenbeplanting Schoonmaak, Afvalverwerking papiervernietiging Materiaal- en Materieel Diensten Materiaal Uitrusting, Kleding Materieel wagenpark Vervoer- en verhuisdiensten (vlieg)reizen, Transport, Koerier, Mailing Facility Management 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsm 4. Beveiligingseisen voor personeel 5. Fysieke beveiliging 6. Beheer communicatie en bedieningsp 7. Toegangsbeveiliging 8. Naleving 4. Huisvestings- en Vastgoed Diensten Gebouwen Terreinen Parkeren vergunningen Belastingen Verzekeringen 13 oktober Gas, water, 2010 licht (energie) Security-Congres 9

bedrijfshulpverlening, brandbeveiliging) 2.

10 Op strategisch en operationeel niveau RvB HRM Strateg ICT Facility Director Director Director Operat IT managers HRM managers Facility managers IT-proceseigenaren HRM-proceseigenaren Facilityproceseigenaren 13 oktober 2010 Security-Congres 10

managers Facility managers IT-proceseigenaren

11 Lines of Defense 13 oktober 2010 Security-Congres 11

12 Maar hoe waarborgen we de samenhang? 13 oktober 2010 Security-Congres 12

13 ERMplus (1) 13 oktober Security-Congres 13

14 ERMplus (2) Strategisch Management BETROKKEN MANAGEMENT NIVEAU Operationeel management Governance controls Control en mgt betrokkenheid Strategische Management Randvoorwaardelijke Proces Proces Soft controls Soft controls Soft controls Soft controls Soft controls In lage mate TRANSACTIEGERELATEERD In hoge mate In hoge mate RELATIE- / REPUTATIEGERELATEERD In lage mate 13 oktober 2010 Security-Congres 14

controls Soft controls Soft controls Soft controls Soft controls In lage mate TRANSACTIEGERELATEERD In

15 ERMplus (3) Kwadrant Omschrijving Type Interne beheersingsmaatregelen Kwadrant 1 Soft - Zachte beheersingsmaatregelen die de overige kwadranten versterken of verzwakken - Normen: COSO ERM, Quinn & Cameron e.d. Kwadrant 2 Interne management beheersing Strategische planning: -Beleidsvorming & Rapportage Management Control: - Organisatiestructuur - Inrichting bedrijfsprocessen - Resultaatgebieden managers - budgettering - Beoordeling en belonen Taakbeheersing: - Management toezicht o.b.v. rapportages uit de lijn - Stuurgroep en programmamanagement - KPI s en benchmarking - Auditrapportage Kwadrant 3 Randvoorwaarde procescontroles Functiescheidingen: - Binnen AO-beschrijvingen - Competentietabellen binnen applicaties Algemene ICT controles: - Change management - Continuiteitsmanagement - Beheer en onderhoud Kwadrant 4 Procescontroles - Handmatige controles - Applicatiecontroles 13 oktober 2010 Security-Congres 15

Kwadrant 2 Interne management beheersing Strategische planning: -Beleidsvorming & Rapportage Management Control: - Organisatiestructuur - Inrichting bedrijfsprocessen - Resultaatgebieden managers -

16 Control in samenhang Director Director Director IT managers HRM managers Facility managers IT-proceseigenaren HRM-proceseigenaren Mgmt Tactisch Task Operationeel Facilityproceseigenaren Randvoorwaardelijke Proces Proces Soft controls Soft controls Soft controls Soft controls 13 oktober 2010 Security-Congres 16

Operationeel Facilityproceseigenaren Randvoorwaardelijke Proces Proces Soft

17 Control in samenhang RvB HRM ICT Facility ICT Director HRM Director Facility Director Strategisch Tactisch Governance controls Strategic Mgmt Task Mgmt Task Soft controls Soft controls Soft controls Soft controls Soft controls Soft controls 13 oktober 2010 Security-Congres 17

Mgmt Task Mgmt Task Soft controls Soft controls Soft controls Soft

18 Vragen? Meer informatie: 13 oktober 2010 Security-Congres 18

19 Bedankt voor uw aandacht! 13 oktober 2010 Security-Congres 19

20 Clascon, hét adviesbureau voor risicomanagement. Clascon Audit & Consulting, De Neerheide 12D, 5581 TP Waalrre T: , F: , E: I: 13 oktober 2010 Security-Congres 20

Waalrre T: 040-2231030, F: 040 2231039, E:

Vergelijkbare documenten

Seriously Seeking Security

Seriously Seeking Security The Quest for the Holy Grail? Aart Bitter 27 november 2007 SBIT congres: Taking Security Seriously Aart.Bitter@information-security-governance.com Agenda Taking Security Seriously