Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Transcriptie

1 1

2 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE

3 Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3

4 Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van beleid, maatregelen, richtlijnen en procedures voor informatie en informatiesystemen, gericht op het waarborgen van de continuïteit en het minimaliseren van schade voor uw kritische systemen. 4

5 Wat is informatiebeveiliging? BIV Beschikbaarheid Is informatie aanwezig op de juiste plaats en tijd? Integriteit Is informatie correct en dus foutloos? Vertrouwelijkheid Is informatie alleen toegankelijk voor de juiste personen en systemen? 5

6 Wat is informatiebeveiliging? 30% IT-ICT systemen 70% Medewerkers 6

7 Wet- en regelgeving Data Protection Directive 95/46/EG Wet bescherming Persoonsgegevens Lokale Wet- en regelgeving Branche afhankelijke wetgeving - Wet Geneeskundige Behandel Overeenkomst - Bel Me Niet Register - Telecommunicatie Wet 7

8 Risico s en risicohouding Vaststellen van een risicomethodologie Risico s identificeren Risico s analyseren en beoordelen Beheers doelstellingen en maatregelen kiezen voor de behandeling van de benoemde risico s 8

9 Wat is een ISMS ISMS = Information Security Management System Het geheel van informatiebeveiliging afspraken in de organisatie Geborgd in een managementhandboek Met een Plan-Do-Check-Act mechanisme zodat continu wordt geleerd van ervaringen 9

10 Informatiebeveiliging Management Systeem Corr, prev. maatregelen nemen op basis van dir-beoordeling continu verbeteren Improvement Act Plan Beoordelen en meten prestaties ISMS beleid, doelstellingen etc. Evaluation Planning `Vaststellen ISMS beleid, doelstellingen, processen, procedures voor risicobeheer Check Implementation Implemeteren en uitvoeren van ISMS beleid Maatregelen Processen Procedures Do 10

11 Methodologie voor risicobeoordeling 11

12 Waar ligt u wakker van? Benoem de TOP 5 informatiebeveiligingsrisico s voor uw bedrijf: (advocatuur - oktober 2012) 1.Imago schade 2.Gehacked worden 3.Virussen 4.Geen bewustwording bij medewerkers 5.Geen internet 12

13 Risico s en risicohouding Analyseer en beoordeel de risico s KANS IMPACT RISICO

14 IB historie GGzE meting IB (in opdracht van RvB) 2009 start project IBIS Meerjarenbeleid IB ( ) 1e jaarplan ( ) e jaaplan ( ) Security Officer meting IB (test audit, waar staan we nu?) 3e jaarplan ) 2012 Afronden jaarplannen Afronden meerjarenbeleid Certificeringsaudit IB (ISO27001/NEN7510) 14 maart

15 ISMS (ISO/NEN) Management commitment Definitie van de scope Inventarisatie van de assets Zwakheden- en risicoanalyse Inrichten van controls Interne controle en internal audit Coördinatie van informatie security (Security forum)

16 ISMS (GGzE) Waarborgen van beschikbaarheid, vertrouwelijkheid en integriteit Implementatie van noodzakelijke maatregelen PDCA cyclus van IB maatregelen Sluitend verbeterproces Doelstelling: 2012 Certificaat behalen Ambitieus maar haalbaar. Vraag: Hoe heeft GGzE haar ISMS opgezet? Vraag: Kost het niet enorm veel tijd om een ISMS te implementeren?

17 Waar loop je tegen aan? Valkuilen? ISMS is geen heilige graal Cultuur: Zo doen we het altijd al Geen IT, maar INFORMATIE Onbewust onbekwaam/onbewust bekwaam personeel. IB op agenda directie & management? Willen we allemaal hetzelfde? Management belangrijker dan de uitvoering

18 Wat weten en wat doen? Eenvoudige situatie, eenvoudige oplossing Voorkom onzinnige maatregelen In praktijk: theoretische correctheid wint van praktische noodzaak CoSIM netwerk IB in alle processen en systemen Security by design

19 Awareness Ken je publiek CoSIM netwerk Gebruik alle middelen Bewustmaken van eigen verantwoordelijkheid Pas op: Ludiek is niet altijd leuk! Als je met een vinger naar een ander wijst, wijzen er drie naar jezelf!

20 Audit tot certificering Positieve ervaring GGzE & DNV werken al samen (HKZ) Samen zoeken en komen tot een positief resultaat

21 Belang van Certificeren Intern belang: Transparantie in de beveiligingsrisico s binnen uw organisatie. Bewustwording en betrokkenheid creëren bij medewerkers over de risico s en maatregelen. Extern belang: Voldoen aan wet- en regelgeving. Bewijs aan ketenpartners juiste manier van informatieverwerking en overdracht. Externe beoordeling maakt de kwaliteit van uw informatiebeveiliging aantoonbaar. 21

22 Proces van Certificeren Offerte / Contract Beoordeling Documentatie Initieel Bezoek Initiële Audit Uitgifte Certificaat Periodieke Audits Proefaudit / Nulmeting Corrigerende en Preventieve Maatregelen & Verificatie Verlenging Certificaat 22

23 Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 23

24 Zijn er vragen? 24

25 Awareness? Gebruik uw bon! Haal uw exemplaar op bij Onze DNV stand! (E.010) 25

26 Namens GGzE & DNV Business Assurance Dank voor uw aandacht! Voor vragen kunt u terecht bij: Informatie Informatie over certificering & training T: E: certificatie@dnv.com W: DNV Business Assurance NL Mike W. Wetters Lead Auditor DNV T: E: mike.wetters@dnv.com LinkedIn: mikewetters Albertho Albertho Bolenius Security Officer T: LinkedIn: alberthobolenius 26

27 Naslagwerk Kennis Whitepaper: Inspiratiesessies: Artikel KPN: Artikelen: informatiebeveiliging Diensten Proefaudit: factsheet Certificering: Training Normkennis ISO of Lead Auditor ISO (IRCA-erkend) Vrijblijvende offerte? 27