Meten is Weten Evaluatie van Informatiebeveiliging Balanced Scorecard

Transcriptie

1 Meten is Weten Evaluatie van Informatiebeveiliging Balanced Scorecard Robert Veenstra Projectleider Informatiebeveiliging Nederlands Forensisch Instituut

2 Presentatie 1. Nederlands Forensisch Instituut (NFI) 2. NFI en Informatiebeveiliging 3. Informatiebeveiliging in Control? 4. INK en Balanced Scorecard 5. Ontwikkeling Balanced Scorecard Informatiebeveiliging 6. Toekomst

3 Nederlands Forensisch Instituut Ontstaan uit fusie Gerechtelijk Laboratorium & Laboratorium Gerechtelijke Pathologie (1999) Het NFI wil een toonaangevend instituut zijn op het gebied van toepassing, ontwikkeling en overdracht van de forensische wetenschap

4 Kerntaken & Cijfers Verdovende Middelen Milieu Milieu Chemie Zaakonderzoek Biologie Pathologie Digitale Digitale Technologie Toxicologie Fysische Technologie Aanvragen SVO s Personeel 319 Budget 30 mln R&D Kennis &Expertise

5 NFI en Informatiebeveiliging Wettelijke eisen (VIR, VIR-BI,WBP, ) Voorschriften vanuit Ministerie van Justitie Maar ook: Maatschappelijke verantwoordelijkheid (belemmering van de rechtsgang) Imagoschade Stagnatie van processen

6 NFI en Informatiebeveiliging Doelstelling van informatiebeveiliging voor het NFI is het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van alle vormen van informatie die het NFI gebruikt voor de uitoefening van haar taken. Informatiebeveiliging vormt een onderdeel van de kwaliteitszorg voor bedrijfsprocessen en ondersteunende informatiesystemen

7 Informatiebeveiliging: In Control? Meten is weten! Informatiebeveiliging slechts op ad-hoc basis gemeten Geen éénduidige evaluatiemethodiek Geen duidelijke vaste meetdoelstellingen Geen duidelijke vaste meetmomenten. Dus Wat/Hoe/Hoe Vaak Meten?

8 Informatiebeveiliging: In Control? Traditioneel - Checklists/normen (ISO17799, WBP, Justitie) - Nadruk op stand van zaken implementatie, weinig procesgericht - Zijn de elementen die anderen belangrijk vinden ook belangrijk voor het NFI? - Financiële aspecten (ROI, terugverdientijd,..) - Risico s, kosten en opbrengsten informatiebeveiliging meetbaar? - Afname beveiligingsincidenten - Toeval of gevolg van? Dus Wat/Hoe/Hoe Vaak Meten?

9 INK, Informatiebeveiliging en Balanced Scorecard Waarom informatiebeveiliging koppelen aan INK? Bekendheid bij de directie en het management van het NFI. Aansluiting maakt beter inzichtelijk welke effort nodig is en waarom. Informatiebeveiliging integraal onderwerp binnen kwaliteitszorg. Gebruik als ontwikkelmodel voor informatiebeveiliging Gebruik als sturingsmodel. Regelmatig evalueren van informatiebeveiliging.

10 INK-management model Medewerkers Waardering door medewerkers Leiderschap Strategie & beleid Processen Waardering door klanten Eindresultaten Middelen Waardering door maatschappij

11 INK en Balanced Scorecard Doelformulering: We willen een ketengerichte organisatie zijn, wat zijn de kenmerken van de diverse organisatievelden. Ontwikkelmodel: Hoe moeten we de organisatievelden inrichten, gegeven de eindresultaten. Sturingsmodel: Doen we dingen zoals afgesproken. Balanced Scorecard gebruikt als meetinstument voor sturing!!

12 Ontwikkeling Balanced Scorecard Stappen : Inventarisatie stakeholders: eisen, wensen en verwachtingen t.a.v. informatiebeveiliging Directie en lijnmanagement NFI Sub-Informatiebeveiligingsambtenaar Afdelingshoofden Automatisering en Facilitaire Zaken Medewerkers Vaststelling perspectieven (v Grembergen) Medewerkers Directie Operatie Toekomst Vaststellen visie en strategieën per perspectief Vaststellen maatstaven per strategie

13 Ontwikkeling Balanced Scorecard Stappen : Detaillering maatstaven: Beschrijving van de maatstaf (wat meten) Doel van de maatstaf (voor wie meten?) Frequentie (hoe vaak meten) Wijze van informatieverzameling (hoe meten) Wat betekent een verandering in de maatstaf Welke acties zijn noodzakelijk Presentatie indicatoren (stoplicht, radar, barcharts )

14 Ontwikkeling Balanced Scorecard 1. Inventarisatie eisen, wensen van stakeholders 2. Voorstel Balanced Scorecard (eerste versie 15 strategieen, ca. 30 maatstaven) 3. Discussie maatstaven met stakeholders 4. Aangepast voorstel Balanced Scorecard (9 belangrijkste strategieën, 17 maatstaven) 5. Accordering door stakeholders

15 Visie, Strategie en Maatstaven: Voorbeeld Directieperspectief: Visie Informatiebeveiliging vormt een onderdeel van de kwaliteitszorg voor bedrijfsprocessen en ondersteunende informatiesystemen. Informatiebeveiliging dient zodanig gemanaged te worden dat wordt voldaan aan de relevante wet- en regelgeving. De kosten van informatiebeveiliging dienen beheerst te worden, en in verhouding te staan tot de potentiële schade van beveiligingsincidenten.

16 Visie, Strategie en Maatstaven: Voorbeeld Directieperspectief: Strategieën 1. Voldoen aan Basisvoorzieningen Informatiebeveiliging Justitie 2. Voldoen aan eisen VIR-Bijzondere Informatie 3. Voldoen aan eisen Wet Bescherming Persoonsgegevens 4. Beheersing beveiligingsuitgaven 5. Aantoonbare risicoreductie

17 Visie, Strategie en Maatstaven: Voorbeeld Directieperspectief: Maatstaven 1. Jaarlijkse assessment van de Basisvoorzieningen Informatiebeveiliging op basis van de selfassessmentmethodiek van het Ministerie van Justitie. 2. Jaarlijks self-assessment WBP 3. Informatiebeveiligingsuitgaven maximaal 6% ICT-budget 3. Uitgaven boven/onder budget 4. Aantoonbare risicoreductie van maatregelen

18 Visie, Strategie en Maatstaven: Voorbeeld Maatstaf: Voldoen aan basisvoorzieningen Informatiebeveiliging Beschrijving: Assessment o.b.v. Excel-sheet met maatregelen Doel: Frequentie: Informatie via: Indicator: Rapportage directie NFI en Ministerie Jaarlijks Interviews afdelingshoofden Directe inspectie sub-ibva Radar

19 Visie, Strategie en Maatstaven: Voorbeeld Maatstaf: Voldoen aan basisvoorzieningen Informatiebeveiliging Doelstelling: blauw wegwerken. Vergroting groene deel betekent betere confirmatie aan het VIR.

20 Toekomst Balanced Scorecard 1. Introductie Balanced Scorecard in de organisatie. 2. Verzameling van meetgegevens stroomlijnen 3. Vaststellen presentatievorm Balanced Scorecard (dashboard, radar etc.) 4. Borgen van continue ontwikkeling/onderhoud Balanced Scorecard

21 Een mogelijke cockpit Implementatie VIR ImplementatieWBP Nieuwe maatregelen Projectkosten Onderhoud Uitgaven informatiebeveiliging Risicoreductie Kosten incidenten

22 Informatie? Ministerie van Justitie a Postbus AA Den Haag Laan van Ypenburg GB Den Haag Telefoon (070) Fax (070) r.veenstra@nfi.minjus.nl Nederlands Forensisch Instituut Robert Veenstra Projectleider Informatiebeveiliging

23 Literatuur? The Balanced Scorecard; Kaplan/Norton De cockpit van de organisatie; Kerklaan/Kingma/van Kleef Keeping Score; Using the right metrics to drive worldclass performance Approaches to Security Metrics, NIST Information Security Metrics, an audit based approach; J.L.Bayuk Security Metrics Guide for Information Technology Systems, NIST, Marianne Swanson et al. Aligning Security with the Business: The Balanced Scorecard, Giga Information Group, 2004