Business Impact Assessment m.b.v. SABSA Business Attributes

Transcriptie

1 Business Impact Assessment m.b.v. SABSA Business Attributes Pieter Jan Visser, 30 maart 2017

2 Business Impact Assessment m.b.v. SABSA Business Attributes De plek van de BIA in een informatiebeveiliging advies SABSA en Business Attributes BIA o.b.v. Business Attributes, een casus: De Goede Doelen Organisatie: PBB

3 BIA in de context van een Informatiebeveiliging advies Beschikbaarheid Integriteit Vertrouwelijkheid Business Attributes Business Impact Assessment Vaststellen Informatie landschap Scoping Vaststellen Organisatorische en IT context Dreigingen, gebeurtenissen, kwetsbaarheden en inherente kans Risico s analyseren Aanvullende maatregelen benoemen Advies

4 SABSA (Sherwood Applied Business Security Architecture) SABSA: Methodologie voor het ontwikkelen van een risico gedreven Security en Enterprise architectuur SABSA is Business Driven => business requirements staan centraal Bappen : Van Business Requirements naar Business Attributes

5 Bappen: Van Business Requirement naar Business Attribute Business Requirements Voor het leveren van diensten is de organisatie zeer afhankelijk van de ITinfrastructuur. 99% van de tijd moet de IT infrastructuur gebruikt kunnen worden. Business Drivers ICT-infrastructuur 99% beschikbaar Business Attributes Availability (Beschikbaarheid)

6 Van Business Requirement naar Business Attribute

7 Een Casus BIA op basis van SABSA Business Attributes uitgewerkt a.d.h.v. een casus De Goede Doelen Organisatie: PBB Vraagstelling: Is onze informatiebeveiliging op orde en zo niet, wat moeten we doen om het op orde te krijgen?

8 Een Casus Paashaas Bevrijdingsbond (PBB) Motto: Geen haas met een mand in Nederland! Doelstelling: Een Nederland waarin hazen niet langer worden gedwongen om als paashaas onbetaald werk te verrichten! De Ideas to PBB Interconnect krijgt B.V. geen subsidie Pieter en Jan Visser volledig afhankelijk

9 Scoping Paashaas Bevrijdingsbond Processen: Finance & Control Logistiek Communicatie (website) Beheer donateurs Verzenden (e-)mailings naar (potentiele) donateurs Hazen Alarm Centrale Hazenopvang Informatiesystemen: KA VoIP telefonie Mobiele telefonie Mobiele werkplek Website Finanzs PromoPlus Donatio

10 Van Business Requirement naar Business Attributes Business Requirements Voor het leveren van diensten is de organisatie zeer afhankelijk van de ITinfrastructuur. 99% van de tijd moet de IT infrastructuur gebruikt kunnen worden. Donateurs zijn alleen bereid om hun geld te doneren aan een organisatie die open en transparant is over de werkwijze en de besteding van het geld Business Drivers ICT-infrastructuur 99% beschikbaar Maximale transparantie voor donateurs Business Attributes Availability (Beschikbaarheid) Transparant (Transparantie)

11 Business Attributes Paashaas Bevrijdingsbond (PBB) type Business Attribute Stelling: "Het is van belang dat " User attribute Accessible de medewerker of donateur de benodigde informatie eenvoudig kan vinden en gebruiken. User attribute Transparent het voor de medewerker en donateur duidelijk is waarom bepaalde handelingen binnen het proces plaats moeten vinden. Management Costattribute effective dat donateursgeld effectief en zonder verspilling wordt besteed. Operational het bedrijfsproces beschikbaar is (hoe lang kan het bedrijfsproces 'uit de lucht' zijn en wat is Available attribute de impact als dat langer is?) Risk de vertrouwelijkheid van de informatie is gegarandeerd. De informatie mag niet in handen management Confidential vallen van ongeautoriseerde personen. attribute Risk management attribute Legal and regulatory attribute Integrityassured Regulated de juistheid van de informatie is gegarandeerd: de informatie mag niet ongeautoriseerd gewijzigd worden. het bedrijfsproces voldoet aan geldende wet- en regelgeving.

12 Proces: Communicatie (website) Business Attribute Accessible Transparent Costeffective Available Confidential Integrityassured Stelling: "Het is van belang dat " de medewerker of donateur de benodigde informatie eenvoudig kan vinden en gebruiken. het voor de medewerker en donateur duidelijk is waarom bepaalde handelingen binnen het proces plaats moeten vinden. dat donateursgeld op de juiste wijze wordt besteed. het bedrijfsproces beschikbaar is (hoe lang kan het bedrijfsproces 'uit de lucht' zijn en wat is de impact als dat langer is?) de vertrouwelijkheid van de informatie is gegarandeerd. De informatie mag niet in handen vallen van ongeautoriseerde personen. de juistheid van de informatie is gegarandeerd: de informatie mag niet ongeautoriseerd gewijzigd worden. Ideas het to bedrijfsproces Interconnect B.V. voldoet aan Regulated geldende wet- en regelgeving. relevant voor proces? (ja/nee)? Ja Ja Ja Ja Ja Ja Business Impact score Toelichting bij falen 4. Zeer groot gevolg 3. Aanmerkelijk gevolg 4. Zeer groot gevolg 3. Aanmerkelijk gevolg 4. Zeer groot gevolg 4. Zeer groot gevolg Pieter Jan 2. Visser Klein Ja gevolg Alvorens ze kunnen doneren moeten nieuwe donateurs eerst een account aanmaken op de 'Mijn Paashaas' omgeving. Als het lastig is om een account aan te maken, dan haakt een donateur af. Hierdoor nemen de inkomsten af en komt uiteindelijk het bestaansrecht van de organisatie in gevaar. Donateurs geven bij het registreren persoonlijke informatie vrij. Als het niet duidelijk is waarom dit gebeurt of wat de PBB met deze informatie doet, dan zal een donateur mogelijk afhaken of onvolledig registreren. Het budget voor communicatie moet zo effectief mogelijk worden aangewend. Als naar buiten zou komen dat geld van donateurs bij communicatie wordt verspild, dan kan dit hele grote gevolgen hebben op zowel de toekomstige donaties als de bereidheid van vrijwilligers om zich in te zetten. Op termijn heeft dit dan ook zeer grote gevolgen voor het redden van Paashazen. Maximaal 15 minuten onbeschikbaar. Daarna wordt het wel vervelend als potentiele donateurs zich niet kunnen aanmelden en bestaande donateurs hun gegevens niet kunnen inzien en wijzigen. Op den duur kan dit negatieve gevolgen hebben op het vertrouwen dat mensen in de PBB hebben. Donateurs laten confidentiele informatie achter op de website. Als deze informatie grootschalig uitlekt, dan zal dit het vertrouwen in de PBB zeer ernstig schaden en zullen donateurs zich in grote getalen terugtrekken en komt het voortbestaan van de organisatie serieus De informatie die donateurz achterlaten op de website is van groot belang voor een juiste communicatie met de donateurs. Mocht deze informatie op de een of andere wijze in het ongerede raken, dan loopt de inforamtie verkeerd en haken donatuers af. Bij communicatie moet met name rekening gehouden worden met de Wet Bescherming Persoonsgegevens.

13 BIA Matrix Paashaas Bevrijdingsbond (PBB) Business Attributes Available max. Onbeschikbaar (uur) Integrity assured Confidential Accessible Transparant Regulated Proces Finance & Control 2 72, x x Logistiek 1 24, x x Communicatie (website) 4 0, x x x Beheer donateurs 2 1, x x x x x Verzenden (e-)mailings 2 72, x x x Hazen Alarm Centrale 4 0, x x x Hazenopvang 4 0, x x KA VoIP telefonie Mobiele telefonie Mobiele werkplek Website Finanzs PromoPlus Donatio Maximale onbeschikbaarheid (uur) Hoogste score Beschikbaarheid Hoogste score Integriteit Hoogste score Vertrouwelijkheid 0,15 0,15 1 0,15 0, Hoogste score Accessible Hoogste score Transparant Hoogste score Regulated Pieter Jan 4 Visser

14 BIA in de context van een Informatiebeveiligingadvies Business Attributes Beschikbaarheid Integriteit Vertrouwelijkheid Business Impact Assessment Available Business Attributes Business Attributes max. max. Onbeschikbaar (uur) (uur) Integrity assured assured Confidential Accessible Transparant Regulated Proces Finance Proces & Control 2 72, x x Finance Logistiek & Control 21 72,00 24, x x x x Communicatie Logistiek (website) 14 24,00 0, x x x x Communicatie Beheer donateurs (website) 42 0,15 1, x x x x x x x Verzenden Beheer donateurs (e-)mailings 2 72,00 1, x x x x x x Verzenden Hazen Alarm (e-)mailings Centrale 24 72,00 0, x x x x x Hazen Hazenopvang Alarm Centrale 4 0,15 0, x x x Hazenopvang 4 0, x x Maximale onbeschikbaarheid (uur) 0,15 0,15 1 0,15 0, Maximale Hoogste onbeschikbaarheid score Beschikbaarheid (uur) 0,15 4 0, ,15 4 0, Hoogste score Hoogste Beschikbaarheid score Integriteit Hoogste score Hoogste Vertrouwelijkheid score Integriteit Hoogste score Vertrouwelijkheid Hoogste score Accessible Hoogste score Transparant Accessible Hoogste score score Transparant Regulated Hoogste score Regulated KA KA VoIP telefonie VoIP telefonie Mobiele telefonie Mobiele telefonie Mobiele werkplek Mobiele werkplek Website Website Finanzs Finanzs PromoPlus PromoPlus Donatio Donatio Vaststellen Informatie landschap Vaststellen Organisatorische en IT context Risico s analyseren Aanvullende maatregelen benoemen Advies Dreigingen, gebeurtenissen, kwetsbaarheden en inherente kans