Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Transcriptie

1 Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1!

2 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten aanvallen, verschillende soorten verweer? 4. Techniek, maar ook proces en mens (gedrag) 5. Security centraal of waarde centraal? 6. Pragmatisch advies, eerste stappen 7. Q&A Ik heb nog wat meegenomen voor de deelnemers 2!

3 Introductie Marcel Woltjes! Partner sinds 2008 bij Orange Oaks Audit & Advisory! Voorgaand gewerkt bij Ernst & Young, IBM! Lid van NOREA, IIA, ISACA in verschillende commissies, waaronder de cyber security assessment! Presenteert / schrijft regelmatig op het Cyber Security vakgebied! - Eerder verschenen blog op de IIA Linked-IN/E-Dialoque website: Internal Audit! moeite met het verwerken van cybercrime dreigingen.! Marcel Woltjes RE EMITA CISA! Partner Audit & Security! Orange Oaks Audit & Advisory! Amsterdam! Marcel.Woltjes@OrangeOaks.nl! twitter.com/doclink!!

4 De stand van zaken eind 2014! Cybercrime groeit hard Focus verlegd van Banken naar andere financiële instellingen en hightech Nieuwe spelers, nieuwe spelregels, wetgeving?

5

6 Verschillende soorten aanvallen,! verschillende soorten verweer?! Verkenning Bekende gebreken SQL injectie Phishing Spear Phishing Malware aanvallen Zwakke authenticatie

7 Techniek, maar ook proces & gedrag! Bouwstenen voor het vertrouwen: IT General Controls Toegangsbeveiliging (Pen-test) Changemanagement Additioneel: Operations, Back-up & Recovery Standaard processen, standaard gedrag

8 Security centraal of waarde centraal?! Cyberrisico management Detectie! Reactie! Recuperatie! Verdediging! * Deloitte Audit Committee brief 2013! Waardeanalyse, direct of in de keten als opmaat voor de risicoanalyse!

9 Pragmatisch advies! toezien dat de volgende zaken geadresseerd worden in de organisatie als maat voor volwassenheid op het gebied van cybersecurity! Leiderschap & governance Tone of the top directie toont zorgvuldigheid, eigenaarschap en effectief managen van risico s Informatie riskmanagement Holistische aanpak van risk management op waardevolle informatie door de hele organisatie en aangesloten partners Specifieke inzet van Operations en technologie De mensen factor

10 -vervolg! Niveau en inzet van maatregelen om de geïdentificeerde risico s aan te pakken en de impact ervan te minimaliseren Het niveau en de integratie van een beveiligingscultuur die bekrachtigd en ondersteund wordt door de juiste mensen met de juiste kennis. Business Continuïteit & Crisis management Voorbereiding op security calamiteiten en de mogelijkheden om deze tegen te gaan of te minimaliseren door een succesvol crisis en stakeholder management Betrokkenheid van Juridische zaken en compliance De banksector laat zien dat het doorvoeren van relevant toezicht en internationale standaarden de dreiging van cybercrime kan indammen, beheersen en tegengaan. Verzekeraars zouden op vergelijkbare wijze hun aanpak kunnen aanpassen om vergelijkbare verdedigingsmechanismes te ontwikkelen.

11 Q&A! Stelling 1 Stelling 2

12 Ik heb nog iets voor deelnemers...! Office of the Superintendent of Financial Institutions Canada! 1 2!