Nieuwe richtlijnen beveiliging webapplicaties NCSC
|
|
- Bruno Lemmens
- 2 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Nieuwe richtlijnen beveiliging webapplicaties NCSC Jan Matto Praktijkervaringen en gevolgen voor ICT certificering. Van beren op de weg, naar knuffelberen Rotterdam, 12 juni
2 Introductie: Jan Matto Bij Mazars sinds 1981 Sinds 1998 partner Mazars Paardekooper Hoffman Mazars Management Consultants Informaticus en Register EDP auditor Projectleider SBR/XBRL --- MazarsOnline Andere nevenactiviteiten: Partime docent bij verscheidene opleidingsinstituten Projectgroep internationale ontwikkelingen IT en IT auditing van de NOREA Lid stuurgroep Voortgezette Educatie Register Accountants IT en Assurance Redactielid Handboek EDP-auditing Kluwer/NBA Lid projectgroep XBRL van de NBA Commissie Zeker Online Belastingdienst Commissie Zekere Afrekensystemen Belastingdienst Regelmatig spreker op congressen Publicaties op terrein van ICT en controle Reviewer richtlijn beveiliging webapplicaties Nationaal Cyber Security Centrum 2
3 Mazars Management Consultants Enkele recente opdrachten : Onderzoek veiligheid Electronische Nederlandse Identiteitskaart (enik), opdracht Ministerie BZK, Justitie en Veiligheid (PET en PbD) Ontwikkeling van framework en auditaanpak voor toepassing Wet op de Politiegegevens, opdracht van Politie Nederland Uitvoering van diverse audits (WPG) bij politieorganisaties / inlichtingendiensten ISAE3402 certificering voor IAAS, PAAS, SAAS- / WEB toepassingen Privacycertificeringen / audits : ASR, QIY, Ministerie van Verkeer en Waterstaat, Equens, Onderzoek voor Ministerie van Justitie & Veiligheid naar het No-Q systeem Diagnose falende IT systemen en falend IT beleid Review en advies bij National Cyber Security Centrum: richtlijn beveiliging webapplicaties Uitvoering pilots DigiD beveiligingsassessments (nalv Diginotar en Lektober) 3
4 IT Risico s en Compliance Mazars 4
5 5
6 IT Audit normenkaders Bron 6
7 CobiT framework 7
8 Measuring Progress CMM IT Governance I.S. Governance Assessment Maturity Model Applied: CobiT 3 Management Guidelines 5 GLI Governance Maturity Risk Management Non- Existent Initial Repeatable Defined Managed Optimized Legend for symbols used Legend for rankings used Starting Point 0 - Management processes are not applied at all 1 - Processes are ad hoc & disorganized 2 - Processes follow a regular pattern 1 Interim Target states 3 - Processes are documented and Organization s strategy for communicated improvement - where the 4 - Processes are monitored and organization wants to be measured Best practices are followed and automated 2 Year 1 Year 2 Year 3 Year 4 Year 5 Bron: Cobit
9 IT Governance / compliance normen (I) Sector Norm Instituut Beheers- aspect Alle sectoren European Privacy Seal EuroPrise Beveiliging Alle sectoren WBP en sectorale wetten informatieverwerking Overheid/ CBP Privacy Credit Card gegevensver werkingen Meldplicht verlies persoonsgegevens, PCI Overheid / PCI Beveiliging Zorg NEN 7510,1,2,3,4 NEN/NNI Beveiliging data Overheid NORA (Nederlandse Overheid Referentie Architectuur) ICTU Systeemarchitectuur Alle sectoren Cobit, ITIL, CMM, Diverse instituten Alle sectoren Privacy Audit Proof NIVRA & NOREA Beheersdoel stellingen IT Privacy 9
10 IT Governance / compliance normen (II) Sector Norm Instituut Beheers- aspect Overheid/ IT service providers Richtlijn beveiliging webapplicaties NCSC Beveiliging Online Boekhouden ZekerOnline Belasting Dienst / ECP-EPN Beveiliging Betrouwbaarheid POS leveranciers Zekere Afrekensystemen Belasting Dienst / ECP-EPN Beveiliging Betrouwbaarheid Hosting Providers Keurmerk Hosting Branche, (IO) DHPA Beveiliging Betrouwbaarheid 10
11 ICT systeemcrisis en toezichthouders College Bescherming Persoonsgegevens 11
12 ICT systeemcrisis Consumenten, klanten, communities, en media zijn ook toezichthouders 12
13 Bevindingen onderzoek Diginotar & Lektober (1) Verschillende onderzoeksrapporten opgesteld in opdracht van Minister Spies zijn inmiddels beschikbaar. Enkele conclusies: Te veel eenzijdige aandacht aan stelsels van interne beheersing / management processen Verwaarlozing van de IT werkelijkheid Technische kennis ontbreekt veelal Spreiding van IT verantwoordelijkheden door de keten Standaarden zijn te star ten opzichte van de dynamiek van de techniek De beveiliging van ICT vereist een dynamisch proces Eenmalige audits zijn onvoldoende Monitoring is noodzakelijk om op nieuwe risico s te kunnen anticiperen. 13
14 Bevindingen onderzoek Diginotar & Lektober (2) Samenvatting & conclusies certificering voor de verandering: Doel en doelgroep van certificering moet voldoende helder zijn Is toekomstgerichte certificering een houdbare situatie? Gangbare normen en standaarden kennen beperkingen Control frameworks vereisen voortdurend aanpassing aan context / verandering Integraal oordeel is gewenst over gehele keten, terwijl veelal sprake is van een gefragmenteerd oordeel verdeeld over ketenpartners / deel verantwoordelijke en systeemlagen. Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multi-disciplinaire benaderingen zijn nodig. Zonder de juiste tools gaat het niet 14
15 HighLights Richtlijnen Beveiliging Webapplicaties NCSC 15
16 HighLights Richtlijnen Beveiliging Webapplicaties NCSC Focus uitsluitend op veiligheid van client facing webapplicaties Start project in oktober 2011 Draft beschikbaar eind december 2011 Definitief 1 februari 2012 Eerste toepassing is op DigiD gebruikende organisaties Zijn generiek bedoeld voor alle webapplicaties 16
17 HighLights Richtlijnen Beveiliging Webapplicaties NCSC Scope bepaling: Raamwerk Beveiliging Webapplicaties Specifieke Maatregelen Generieke Maatregelen Alle lagen Beveiligingsintegratie Achterliggende systemen (Web)applicatie Vertrouwelijk- & onweerlegbaarheid Toegangsbeheer Identiteitbeheer Applicatiebeveiliging Platformbeveiliging Monitoring, Aufiting, Alerting, Informatiebeveiligingsbeleid Uit Scope Netwerkbeveiliging Client 17
18 HighLights Richtlijnen Beveiliging Webapplicaties NCSC Algemene beveiligingsrichtlijnen: B01= Informatiebeveiliging als proces B02 = Actief risicomanagement B03 = Documenteer maatregelen en onderhoud documentatie B04 = Actueel overzicht ICT componenten en services en de relaties daartussen B05 = Wijzigingenbeheer B06 = Hardening B07 = Actuele beveiligingspatches B08 = Penetratie tests B09 = Vulnerability assessments B010 = Policy compliance checks B011 = Backup en recovery proces B012 = Toegangsbeveiliging B013 = Verwijderen niet gebruikte websites B014 = Overeenkomsten met leveranciers 18
19 HighLights richtlijn Nationaal Cyber Security Centrum Enkele voorbeelden specifieke maatregelen: Adoptie van OWASP https://www.owasp.org/index.php/main_page Periodieke Penetratie testen Hardening Code reviews Invoervalidatie Error Handling Change management / release beleid Systeemontwikkelproces OWASP: Open Web Application Security Program 19
20 OWASP Top Ten (2010 Edition) 20
21 HighLights richtlijn Nationaal Cyber Security Centrum Uitstekende samenhang in document: Risico s en beheerdoelstellingen Te treffen maatregelen (behoorlijk concreet) Onderbouwing met een rationale Concreetheid en systeemgerichtheid is van een nieuw hoog niveau (Gericht op de ICT werkelijkheid) Krijgt al behoorlijk navolging: Adoptie door andere initiatieven Krijgt tot nu toe brede steun Wordt nu al gebruikt bij selectie en inkoopprocessen 21
22 Beperkingen Richtlijn Beveiliging Webapplicaties Alleen beveiliging webapplicaties! Gaat niet over beveiliging back office systemen Gaat niet over de rol van ICT Gaat niet over functionaliteit of architectuur Behoorlijke technische kennis is nodig Zonder tools gaat het niet Geen aandacht voor Soft Controls 22
23 Ervaringen DigiD-beveiligingsassessments De verantwoordelijke organisatie ontbreekt de kennis De verantwoordelijke organisatie heeft niet voldoende documentatie over inrichting systemen / weinig is geregeld Tot nu toe altijd sprake van uitbesteding Gemiddeld 3 webapplicaties per organisatie Gemiddeld 5 betrokken ICT leveranciers! Bepaling scope is eerste uitdaging Het betreft een ketenaudit! Realisatie vanuit de userorganisaties is lastig Actieve betrokkenheid ICT- leveranciers is noodzakelijk Als systeemcomponenten en systeemlagen zijn toebedeeld aan leveranciers is uitvoering goed te doen Inzet van tools maakt eea beter haalbaar 23
24 Ervaringen DigiD-beveiligingsassessments Scope bepaling: Audit objecten SaaS PaaS Architectuur User Organisatie (Web)applicatie Identity management system Netwerk Besturingssysteem Control framework IT Governance model IaaS Database Data Hardware Fysieke omgeving 24
25 Andere fricties toepassing richtlijn bij DigiD systemen Logius heeft de helft van de richtlijn als verplicht geschrapt voor de DigiD beveiligingsassessments(?!) Dit betreft met name de onderdelen gericht op de ICTwerkelijkheid (voorbeeld code reviews) Toch weer het gevaar van schijnzekerheid Relevantie van de audit (en de auditor) dreigt dan een discussie te worden Oproep aan ICT leveranciers is om het voortouw te nemen! 25
26 Overwegingen bij soorten certificering (1) Certificering toekomstgericht met een geldigheidsduur? Certificering alleen retrospectief? Certificering met uitspraak mate van zekerheid of niet? Alleen rapportage feitelijke bevindingen / afwijkingen van de norm TPM, ISAE 3000, 4400 (agreed upon procedures) Wel/ geen oordeel en mate assurance? Wel / geen management assertion? (ISAE3402 is met) Certificering van opzet en bestaan (ISAE3402 type I) Of ook de werking van maatregelen (ISAE3402 type II) Dominante focus op Management Proces? Dominante focus op IT werkelijkheid? 26
27 Overwegingen bij soorten certificering (2) Techniek is dynamisch (zo ook gerelateerde risico s / denk aan OWASP) Systemen zijn dynamisch ( ) Gebruik van systemen is dynamisch ( ) Kan volstaan worden met een jaarlijkse controle? Frequenter controle en continuous monitoring nodig? Alleen general controls? Of ook application controls / functionaliteiten? Wel management assertion? Verspreidingskring certificaat? Rapportage van auditor naar auditor? Opdrachtgeverschap (audittee, toezichthouder, user organisation, service organisation,.?) OWASP= Open Web Application Security Program 27
28 Overwegingen bij soorten IT Audits & certificering (I) A) Single Aspect Audits / Multi Aspect Audits Heldere norm Minder heldere norm Vergelijkbaarheid goed Vergelijkbaarheid minder goed B) Single Entity Audits / Multi Entity Audits Framework eenduidig Meervoudig (ketenverantwoordelijkheden) C) Single Responsibility / Multi Responsibility Frictie kan ontstaan indien elke ketenpartner een eigen deel audit laat uitvoeren met eigen normenkaders. Bewaking van geheel is dan een issue. (Blinde vlekken, onontdekte risico s etc.) Vooral Cloud Computing vraagt om een Multi-benadering 28
29 Omgevingsfactoren ICT Risicogebieden en kijkrichtingen Maatschappelijke Ontwikkelingen Technologische Ontwikkelingen Best Practices Juridische aspecten Veranderend gebruik van ICT ICTsysteem Laagdrempeligheid gebruik ICT Financiële monitoring RvB Interne Beheersing Omgevingsfactoren RvC Besturing Beleid Compliance Bedrijf Waarde creatie Wet- en regelgeving Toezichthouders & Auditors Normen & standaarden Markt Stakeholders Omgevingsfactoren SAAS, PAAS, IAAS, Omgevingsfactoren Mazars Management Consultants 29
30 De context bepaalt de norm Toenemende complexiteit Systeemtechnische overgangen in ICTarchitectuur Verschuivingen van dominante macht Houdbaarheidsduur neemt af Herbezinning besturingsmodel bedrijfsvoering en van ICT-funtie I. II. III. Processen IV. Commercieel/ PMC s Externe integratie CRM SOA Cloud Toename:: - automatiseringsgraad - afhankelijkheid ICT - noodzaak alignment business en ICT - aard en omvang risico s - complexiteit - differentiatie systemen - portfolio aan applicaties en interfaces Financieel Financieel pakket ERP / PSA Toenemende dynamiek 30
31 Audit en Certificering in The Cloud anno 2012: Bundeling van juiste kennis is essentieel voor een relevante en effectieve audit: Kennisgebieden: Audit, risico s en interne beheersing Juridische aspecten Systemen en techniek Beveiliging Organisatorische aspecten. Audit vereist multidisciplinaire aanpak Audit vereist samenwerkingsverbanden 31
32 32
33 Nieuwe richtlijnen beveiliging webapplicaties NCSC Dank voor uw aandacht! Jan Matto Twitter: Jan_Matto Mobiel:
Certificering voor de Verandering
EuroCloud Certificering voor de Verandering (We doen de audit goed, maar doen we ook de goede audit?) Van beren op de weg, naar knuffelberen Jan Matto Onderwerpen: Achtergrond certificering Certificeringsoorten
IT & Audit in het Volgende Decennium. Verbetert Digital Assurance de relevantie én de kwaliteit van het oordeel van de RE?
IT & Audit in het Volgende Decennium Verbetert Digital Assurance de relevantie én de kwaliteit van het oordeel van de RE? Jan Matto, Mazars Vrije Universiteit, Amsterdam 14 September 2015 Even voorstellen:
Vertrouwen in ketens. Jean-Paul Bakkers
Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management
Databeveiliging en Hosting Asperion
Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend
ICT Accountancy. Praktijkdag Webwinkels en Boekhouden
ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst
Jacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Bijeenkomst DigiD-assessments
Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen
Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014
Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor
Van IT audit naar Digital Trust en Digital Assurance. Jan Matto, Mazars. ISACA, Round Table Breukelen, 7 maart 2016
Van IT audit naar Digital Trust en Digital Assurance Jan Matto, Mazars ISACA, Round Table Breukelen, 7 maart 2016 1 INHOUD 1) Introductie casusposities / Setting the scene 2) We doen de audit goed, maar
Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed
Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting
DigiD beveiligingsassessment
DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 2 1.1 Achtergrond 2 1.2 Opdrachtomschrijving 2 1.3 Reikwijdte
Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND
DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT
III Stream IT Auditing. UWV / CIP / VU- IT auditing
III Stream IT Auditing UWV / CIP / VU- IT auditing Wiekram Tewarie 22-04-2009 Agenda Inleiding/IT auditing Relatie : Accountant IT auditor Context IT audit omgeving Carrièremogelijkheden WT/14 april 2015
H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging
Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting
Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:
Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit
Ontwikkelingen inzake Privacy-audits, keurmerken, eherkenning en DigiD-assessments. de beroepsorganisatie van IT-auditors
Ontwikkelingen inzake Privacy-audits, keurmerken, eherkenning en DigiD-assessments 1 Privacy Audit Proof (NIVRA/NOREA keurmerk) 2 Privacy Audit Proof (NIVRA/NOREA keurmerk) Kenmerken: Assurance-rapport
Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie
Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau
Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014
1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld
IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag
André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen
3-daagse praktijktraining. IT Audit Essentials
3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen
Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin
www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis
THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1
THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 KENMERK: 1603R.AH46 DATUM: 30 MAART 2016 INHOUDSOPGAVE 1. Assurancerapport van de onafhankelijke auditor...
Factsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals
Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School
Gemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.
Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten. Paul Harmzen ControlSolutions Peter Potters - Informer 16 juni 2016 1. Actuele stand van zaken 2. Datalekken en Privacy Shield
Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online dienstverlening (cloud services) Achtergrond normenkader
Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online dienstverlening (cloud services) Achtergrond normenkader Eerste versie 1.0 : sept 2013 Herziene versie 2.0 juni 2014 Inhoudsopgave...
SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation
SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool
Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor
Beveiliging is meer dan een slot op je computerruimte Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Doel en Agenda Aan de hand van de ontwikkelingen in de zorg wordt een globaal en praktisch beeld
Sebyde AppScan Reseller. 7 Januari 2014
Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten
I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.
Cloud computing Kennismaking Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Onze kennis, ervaring, methodieken en ons netwerk levert aantoonbare toegevoegde waarde en
ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017
ENSIA Het audit perspectief René IJpelaar Achmed Bouazza Werkgroep ENSIA 4 juli 2017 Agenda Even voorstellen Uitgangspunten ENSIA Auditproces ENSIA voor de IT auditor Aandachtspunten bij het auditproces
NS in beweging, Security als business enabler september 2008
NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,
Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL
Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness
Handleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
MKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
makkelijke en toch veilige toegang
voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,
BABVI/U201200230 Lbr. 12/015
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari
ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007
ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS
IT risk management voor Pensioenfondsen
IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,
Trends in de Campusinfrastuctuur. In samenwerking met Stratix
Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security
Offshore Outsourcing van Infrastructure Management
Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies
Informatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN
DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN Inleiding CRM Resultants biedt aan haar klanten de keuze om Microsoft Dynamics CRM in huis te installeren, of om de
Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem
Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie
Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA
Zwaarbewolkt met kans op neerslag
8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Naar een nieuw Privacy Control Framework (PCF)
Naar een nieuw Privacy Control Framework (PCF) Ed Ridderbeekx 22 november 2017 Een stukje geschiedenis 2001: Raamwerk Privacy Audit (door Samenwerkingsverband Audit Aanpak onder verantwoordelijkheid CPB)
CERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Meer Business mogelijk maken met Identity Management
Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent
De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR
De transparante compliance keten De maatschappelijke betekenis van XBRL / SBR De maatschappelijke context (verandert) Control framework In control Trust TAX als deel van CR/MVO Governance Transparency
Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance
Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance 2011 Perceptie Als Leidraad Voor Verbeteringen Perceptie is realiteit. Perceptie is persoonlijk. Perceptie is leidend
SURFmarket O365 propositie
SURFmarket O365 propositie MAART 2017 Carl Reitsma, O365 Service Deliver Manager Agenda 1. Ambitie SURFmarket 2. Regie 3. Groeipad 4. Dienstbeschrijving 5. Ontwikkelscenario 6. Vragen/feedback Ambitie
Digitale Veiligheid 3.0
Digitale Veiligheid 3.0 Wat betekent dit voor het MKB? Amsterdam Arena Donderdag 1 juni 2017 Joris Geertman Director Portfolio & Innovation KPN Consulting Digitalisering Internationaal en digitalisering
iiiiiiiiiiiiiiiiiiiniiiiiiiiii
Postregisírator Van: Verzonden: Aan: Onderwerp: IN12.05316 VNG [VNG@VNG.NL] donderdag 6 september 2012 16:07 iiiiiiiiiiiiiiiiiiiniiiiiiiiii gemeente Ledenbrief 12/081: Stand van zaken informatiebeveiliging
i-l ;EP 20i Stuknummer: AI12.08083 pagina 1 van 1 Inlichten instantie via e-mail * 'jaar DER
Inlichten instantie via e-mail pagina 1 van 1 Info Den Helder - Leden brief 12/081: Stand van zaken informatiebeveiliging DER Van: VNG Aan: "'info@denhelder.nl'" Datum:
Factsheet DATALEKKEN COMPLIANT Managed Services
Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.
Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen
Public briefing Certificering van de Cloud Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen Nan Zevenhek Bestuurslid EuroCloud Nederland EDP-Auditor 25-11-11 Opzet
RISICOMANAGEMENT IN DE PRAKTIJK
RISICOMANAGEMENT IN DE PRAKTIJK 16-3-2017 Michel Kee 10e Nationale Dag van Commissarissen en Toezichthouders Doorn Discussie over hoe risicomanagement waardevol vorm te geven aan de hand van praktijkvoorbeelden
Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013
Het ICT beveiligingsassessment DigiD Bas Colen CISSP CISA Eindhoven 17 september 2013 Deze dertig minuten Onze situatie Hoe? En welke aanpak is gevolgd De normen / beveiligingsrichtlijnen Ervaringen, lessen
De Next Practice. Wilbert Teunissen Management Consultant Informatiemanagement
De Next Practice Wilbert Teunissen Management Consultant Informatiemanagement Sogeti & ontwikkeling van FB 2005 De Uitdaging 4 e industriële revolutie NU!! Digitale Economie 27% heeft op dit moment een
Norm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 2.0 Datum 16 december 2016 Status Definitief Colofon Projectnaam DigiD Versienummer 2.0 Contactpersoon Servicecentrum Organisatie Logius Bezoekadres Wilhelmina
The Next Step in Infrastructure
The Next Step in Infrastructure Uitdagingen op weg naar een toekomstgerichte IT infrastructuur 24 november 2016 Ruud Alaerds Dutch Hosting Provider Association Introductie DHPA: Onze deelnemers DHPA: Het
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.
"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Cloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl
MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl DE TOOLS DIE WIJ GEBRUIKEN DATA- ANALYSE TOOLS DATA- ANALYSE SUPPORT PROCESS MINING TOOLS PROCESS MINING SUPPORT DATA- ANALYSE
Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011
Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Cloud computing Waar begin je aan? Piloot Martin van den Berg, Sogeti NL 3 Agenda 4 Kijkje achter de wolken Yes, het werken in de cloud heeft
Application Services. Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten
Application Services Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten Application Services van KPN Afdelingen smelten samen, markten verschuiven, klanten willen
BABVI/U201201301 Lbr. 12/081
-3700 MG //oor Brief aan de leden T.a.v. het college en de raad Vereniging van Nederlandse landse Gemeenten Gemeenten U. *^ ' :3ort. A;nt.;.; 076101 Stre.-ttJat.: informatiecentrum tel. uw kenmerk bijlage
Onderdelen module 3 (gesplitst in delen 1 en 2)
Onderdelen module 3 (gesplitst in delen 1 en 2) Deel 1 1. Prelude 8 13 2. Achtergrond en Context MARIJ (leerdoel 3; duur 1-2 uur) 14-25 3. Eén architectuur voor de Rijksdienst (leerdoel 3; duur 1 uur)
Workshop transitie naar de cloud SaMBO-ICT & KZA. 21 November 2013 Utrecht
Workshop transitie naar de cloud SaMBO-ICT & KZA 21 November 2013 Utrecht Agenda Introductie Aanleiding Cloud in het onderwijs Veranderingen voor de organisatie Interactieve workshop Afsluiting 2 Aanleiding
Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research
Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie
Norm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810
HET GAAT OM INFORMATIE
Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie
BENT U ER KLAAR VOOR?
ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP
Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)
Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA) Agenda Over uw sprekers; De toezichtaanpak van DNB: Focus! IT risico in Focus!
Dé cloud bestaat niet. maakt cloud concreet
Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.
Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV
Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie
IAM en Cloud Computing
IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips
Factsheet SECURITY CONSULTANCY Managed Services
Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal
NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013
NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met
Sr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
BABVI/U201300696 Lbr. 13/057
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting
Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009. Trudie Seegers
Identity & Access Management (IAM) Verleden, heden en toekomst 24 maart 2009 Trudie Seegers Stand van zaken IAM Verleden: tot 1-3-2008 Heden: van 1-3-2008 tot 1-3-2009 Toekomst: na 1-3-2009 Vragen en discussie
Onderzoeksbureau GBNED Cloud computing en pakketselectie. Door Gerard Bottemanne, GBNED. 29-11-2012 ICT Financials
Door Gerard Bottemanne, GBNED 29-11-2012 ICT Financials Soort pakket Stand alone > Best of Breed Losstaand (beste) financieel administratiesysteem Attentiepunten: - Meer leveranciers (systeembeheer) -
Data Governance van visie naar implementatie
make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS
Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Service management stuurt de verandering
Service management stuurt de verandering Presentator: Nick Bakker Business consultant Auteur Gebruiker van cloud computing Trackrecord Service Manager Service ontwerp en transitie Publicaties, reviews
Klant. Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy
Klant Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen Specifiek - Profitabele, kosten gedreven strategy IT characteristics - Constante verandering: organsiatie, techniek, processen.
THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV
THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt