Welkom bij parallellijn 1 On the Move uur

Maat: px

Weergave met pagina beginnen:

Download "Welkom bij parallellijn 1 On the Move 14.20 15.10 uur"

Erna Cools
8 jaren geleden
Aantal bezoeken:

1 Welkom bij parallellijn 1 On the Move uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1

2 IBD-Praktijkdag Work IT Out

3 Hoe stel ik vast of de IBmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? Jule Hintzbergen Adviseur informatiebeveiliging IBD

4 Programma Introductie Casus 1 Inzicht in effectiviteit van maatregelen Casus 2 Continue verhelpen van tekortkomingen Samenvatting & Afsluiting 4

5 Hoe stel ik vast of de IB-maatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? Welke activiteiten moet je als CISO uitvoeren om inzicht te krijgen en houden in de effectiviteit van de beveiligingsmaatregelen? Welke instrumenten en rapportages kunnen hierbij ondersteunen en hoe zorg je dat tekortkomingen worden verholpen? 5

6 6 Casus1: Inzicht in effectiviteit van maatregelen

7 Inzicht in informatiebeveiliging Drie hoofdstromen te onderkennen: Meetbaar maken van het effect van beveiligingsmaatregelen Meetbaar maken van kwantiteit en kwaliteit van beveiliging Meetbaar maken van het beveiligingsniveau 7

8 Meten van de effectiviteit van het ISMS en de effectiviteit van de informatiebeveiliging Waarom: Investeringen in informatiebeveiliging te rechtvaardigen en te prioriteren. Vaststellen of er ISMS-activiteiten zijn, die verbeterd dienen te worden omdat ze niet het beoogde effect hebben. Aantonen dat de gemeente informatieveiligheid beheerst op een niveau die past bij de BIG ( In control zijn). Hoe: vaststellen van normen, Hierover rapporteren uitvoeren van controle over die rapportages. 8

9 Bent u in staat om onderstaande vragen te beantwoorden? Waarom zijn de beveiligingsmaatregelen geïmplementeerd? Welke informatie is nodig om processen te sturen zodat wordt voldaan aan de vooraf vastgestelde kwaliteitskenmerken en normen? Met betrekking tot Security Metrics: Wat moet worden gemeten? Waarom het moet worden gemeten? Voor wie het wordt gemeten? Door wie moet het worden gemeten? Wanneer / hoe vaak moet het worden gemeten? 9

10 10 Processen

11 Casus 1a: Logische toegangsbeveiliging Doel: Uw ICT-systemen adequaat beschermen tegen ongeautoriseerde toegang door het waarborgen van gecontroleerde toegang. Vraag: Weet u zeker dat degene met toegang tot de ICTsystemen ook geautoriseerd zijn? Hoe kun je dit vaststellen (testen)? 11

12 Casus 1a: Logische toegangsbeveiliging - Test De actuele stand van zaken van de toegekende autorisaties wordt periodiek gecontroleerd. Deze controle vindt plaats op geldigheid en rechtmatigheid van de verstrekte actuele autorisaties (medewerkers, gebruikersnamen, bevoegdheden). Tijdens deze controle dient te worden vastgesteld dat de vastgestelde actuele autorisatiematrix in overeenstemming is met het, door de autorisatiebeheerder verstrekte, overzicht van autorisaties. 12

13 Casus 1b: Veilig programmeren Doel: Programmeerstandaarden of een (Secure) Software Development Life Cycle (SDLC) op- en vaststellen waarbij specifiek wordt beschreven hoe de website afdoende dient te worden beveiligd tegen bekende risico s zoals beschreven in de OWASP top 10 of de CWE/SANS TOP 25 Most Dangerous Software Errors. Vraag: Weet u zeker dat uw webapplicatie veilig is? Hoe kun je dit vaststellen (testen)? 13

14 Casus 1b: Veilig programmeren - Test Webapplicatie scan en/of penetratietest uitvoeren met als doel het inventariseren van risico s in de website waarbij specifiek wordt vastgesteld of de website afdoende is beveiligd tegen bekende risico s zoals SQL injectie en Cross-site scripting. 14

15 Casus 1c: Patchmanagement en hardening Doel: Zorgdragen dat ICT-systemen up-to-date zijn en bekend is wat precies op systemen geconfigureerd en geïnstalleerd is. Vraag: Weet u zeker dat uw ICT-systemen voorzien zijn van de meest recentste (beveiligings)updates? Hoe kun je dit vaststellen (testen)? 15

16 Casus 1c: Patchmanagement en hardening - Test Om vast te stellen of er nog bekende zwakheden in de eigen ICT-infrastructuur of applicaties aanwezig zijn kan men een zwakhedenscan of vulnerability scan (laten) uitvoeren. Meestal wordt daarbij speciale tooling gebruikt. Deze tooling kent van iedere soort hardware en software wat de laatste updates zijn en kan ook toetsen op het aanwezig zijn van bekende zwakheden. 16

17 Effectiviteit beveiligingsmaatregelen? Hoe krijg je als CISO inzicht in de effectiviteit van de geïmplementeerde beveiligingsmaatregelen? Beantwoord hiervoor per beveiligingsmaatregel onderstaande vragen. Welke activiteiten dien je als CISO hiervoor uit te voeren? Waarom deze activiteit? Wanneer en hoe vaak (planning) dient deze activiteit uitgevoerd te worden? Wie is verantwoordelijk? Wie en welke (hulp)middelen heb je daarvoor nodig? Wat zijn mogelijke risico s? 17

18 18 Casus 2: Continue verhelpen van tekortkomingen

19 Doelstellingen meten van informatiebeveiliging in het kader van een ISMS Het evalueren van de effectiviteit: van de geïmplementeerde beheersmaatregelen; van het geïmplementeerde ISMS; Het controleren in welke mate wordt voldaan aan de geïdentificeerde informatiebeveiligingseisen Het mogelijk maken (faciliteren) van het doorvoeren van prestatieverbeteringen op het gebied van informatiebeveiliging aangaande de bedrijfsrisico s van de organisatie Het leveren van input voor de management review zodat ISMS gerelateerde besluitvorming en de rechtvaardigingen voor noodzakelijke verbeteringen van het geïmplementeerde ISMS mogelijk wordt gemaakt. 19

20 Verbetercyclus PLAN - Opstellen verbeterplan: verbetervoorstellen om de tekortkomingen op te heffen. DO - Uitvoeren verbeterplan: invoeren van de verbetervoorstellen. CHECK - Evalueren: om mogelijke tekortkomingen vast te stellen. ACT - Update processen: input van de check fase. 20

21 Tekortkomingen verhelpen? Hoe zorg je als CISO dat (mogelijke) tekortkomingen worden verholpen (non-compliancy)? Beantwoord hiervoor per beveiligingsmaatregel onderstaande vragen. Welke activiteiten dien je als CISO hiervoor uit te voeren? Waarom deze activiteit? Wanneer en hoe vaak (planning) dient deze activiteit uitgevoerd te worden? Wie is verantwoordelijk? Wie en welke (hulp)middelen heb je daarvoor nodig? Wat zijn mogelijke risico s? 21

22 22 IBD Producten

23 23 Vragen

24 Contactinformatie 24 Bezoek ook

25 Einde sessie Wij vragen u naar de volgende sessie te gaan 25

Vergelijkbare documenten

Welkom bij parallellijn 1 On the Move uur. Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?

Welkom bij parallellijn 1 On the Move 10.10 11.00 uur Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO? 1 IBD-Praktijkdag Work IT Out Valkuilen en beren op de weg, hoe gaat