Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Maat: px

Weergave met pagina beginnen:

Download "Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014"

Joris Smeets
8 jaren geleden
Aantal bezoeken:

1 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

2 Inhoud 2 Inleiding: enige trends in de markt In het speelveld van gemeenten De Ordina filosofie Wat kunt u er aan doen? Hoe pakt u het aan: tips & trucs voor een GCR Een voorbeeld Wat levert GCR u op? GCR: hoe ziet de markt het? De uitdagingen?

3 Inleiding: enige trends in de markt 3 Gemeenten krijgen vanuit het Rijk steeds meer taken toebedeeld Verdere digitalisering van taken in ketens en netwerken Tientallen richtlijnen en wetten waaraan voldaan moet worden (regeldruk) Complexiteit van de controleomgeving neemt toe Aantoonbaar in control of compliant wordt belangrijker Soms moet u een redelijke mate van zekerheid geven (Assurance) Veel tijd gemoeid met het managen van audits of compliant worden Steeds meer toezichthouders Stijgende kosten om compliant te worden en te blijven Beheersing wordt meer gezien als iets dat MOET i.p.v. dat het gericht is op verhoging van de efficiency of verlaging van kosten

Soms moet u een redelijke mate van zekerheid geven (Assurance) Veel tijd gemoeid met het managen van audits of compliant worden Steeds meer toezichthouders Stijgende

4 In het speelveld van gemeenten 4

5 De Ordina filosofie 5 Een aanpak waarbij d.m.v. integratie van ICT en interne controles wordt gekomen tot de optimale mix van gegevensgerichte- en systeemgerichte controles om compliant te worden en te blijven. Een bijdrage leveren aan een betere beheersing van de operationele-, financiële- en ICT risico s ter ondersteuning van de doelen van de organisatie. Het verbeteren van de efficiency van de (beheersings)processen van uw organisatie (w.o. compliance). Daarbij hebben preventieve en geprogrammeerde key-controls de voorkeur boven repressieve en handmatige key-controls, die veel energie vragen. DOEL: kwalitatief hoogwaardige beheersing maar niet tegen te hoge kosten.

Een bijdrage leveren aan een betere beheersing van de operationele-, financiële- en ICT risico s ter ondersteuning van de doelen van de organisatie.

6 Hoe pakt u het aan: tips & trucs voor een GCR 6 1. Inventariseren: wat komt er op mij af, welke zekerheid moet ik geven? 2. Stroomlijnen: maak de impact van wetten en richtlijnen eenduidig 3. Denk in (beheers)doelstellingen (o.a. voor IT): wat moet ik afdekken? 4. Duidelijk vastleggen welke doelstellingen van belang zijn (control objectives) 5. Maak gebruik van een op risico s gebaseerde aanpak 6. Koppel daaraan maatregelen: zoek naar grote gemene delers (key controls) 7. Leg vast in een Geïntegreerd Controle Raamwerk (GCR) 8. Creëer awareness (user adoption) Hoe ziet dat er in de praktijk dan uit?

Duidelijk vastleggen welke doelstellingen van belang zijn (control objectives) 5. Maak gebruik van een op risico s gebaseerde aanpak 6.

7 I. VIR SUWI- NET BIR e- Herken ning BIG DigiD Toezicht houders WBP e-handtekening WPG II. Kaders: ISO 27001, COBIT, NCSC, BIR, ETSI III. Geïntegreerd (IT) Controle Raamwerk (GCR) IV. IT Beheer Doel Gebruiker Doel IT mngmt Doel Audit Risk mngmt V. Supply controls Demand controls IT mngmt controls Audit controls Risk mngmt controls

Geïntegreerd (IT) Controle Raamwerk (GCR) IV.

8 I. Doel/ control objective: Toegangsbeheer voor netwerken dient adequaat ingeregeld te zijn Komt o.a. vanuit BIR, BIG, DigiD, NCSC (webapplicaties) Authenticatie van gebruikers bij externe verbindingen: Er moeten geschikte authenticatiemethoden worden gebruikt om toegang van gebruikers op afstand te beheersen (b.v. Certificaten) II. ISO norm A DigiD/NCSC normen B0-12, B1-1 ETSI. III. IV. IT beheer Mapping: Kies de key control obv risico analyse: b.v. B0-12 NCSC normen kader Objectives Gebruiker Objectives IT mngmt Objectives Audit Risk mngmt V. User accounts Certificaat uitgifte Beheer rechten Audit Authenticatie Risk mngmt controls

equaat ingeregeld te zijn Komt o.a. vanuit BIR, BIG, DigiD, NCSC (webapplicaties) Authenticatie van gebruikers bij externe verbindingen: Er moeten geschikte

9 De selectie van key controls voorbeeld NCSC B0-12 9

10 Voorbeeld: De selectie van key controls NCSC B BIR WBP ISO DigiD BIG WPG PKIoverheid Wet Elektronische handtekening Selectie key controls o.b.v scoring en in het licht van bijvoorbeeld: Doelstelling van de organisatie Aantal keren dat een controle doelstelling (control objective) is gekoppeld aan wet- en regelgeving Testen: Niet 7x maar 1 x: Hou het simpel en voorkom dubbel werk! Maak de teststeekproef zodanig dat in 1 x doelstellingen & eisen worden afgedekt.

v scoring en in het licht van bijvoorbeeld: Doelstelling van de organisatie Aantal keren dat een controle doelstelling

11 Wat levert GCR u op? 11 Een efficiënter en effectiever beheersingsmodel gebaseerd op risicomanagement en key-controls.

12 GCR: hoe ziet de markt het? 12 Belangrijkste motieven voor organisaties om een geïntegreerd controle raamwerk te realiseren: 1. Meer grip op het speelveld van wetten en regels 2. Inzicht in ketenafhankelijkheden 3. Het vermogen om een goede dienstverlening te kunnen leveren 4. Verhoging van de effectiviteit van (IT) beheersingsmaatregelen 5. Efficiency verbeteringen 6. Verhoging van zekerheid over het in control / compliant zijn in de organisatie 7. Aantoonbaar / transparantie over het compliant zijn naar buiten toe 8. Minder audits / kostenverlaging audits/reviews

Het vermogen om een goede dienstverlening te kunnen leveren 4. Verhoging van de effectiviteit van (IT) beheersingsmaatregelen 5.

13 De uitdagingen? 13 Begrip en doorgronden van wetten, regels en onderliggende normenstelsels kost tijd Investeren in nieuwe kennisgebieden, vooral op het gebied van ICT en opleiding van medewerkers: Awareness en User Adoption Het beoordelen van welke key controls van belang zijn om een overkill aan beheersingsmaatregelen te voorkomen (hou het simpel!) Kennisuitwisseling over risico s en beheersingsgebieden is noodzakelijk Ook (IT) leveranciers van diensten dienen aangestuurd te worden op uw eisen/randvoorwaarden om compliant te worden en te blijven (zogenaamde aansluitvoorwaarden)

van ICT en opleiding van medewerkers: Awareness en User Adoption Het beoordelen van welke key controls van belang zijn om een overkill aan

14 Vragen/ discussie 14?

15 15 Contact informatie Ordina Security & Risk Management Drs D.J. van der Poel RE RA Partner T: E: Dirk.Jan.van.der.Poel@ordina.nl

Vergelijkbare documenten

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement