Agenda. Even voorstellen. Visie, trends en andere zorgen over information security & risk management NGI Jan 2009



Vergelijkbare documenten
BEVEILIGINGSARCHITECTUUR

Authentication is the key

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Dé cloud bestaat niet. maakt cloud concreet

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

Big Data en Testen samen in een veranderend speelveld. Testnet 10 april 2014 Paul Rakké

Vertrouwen in ketens. Jean-Paul Bakkers

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Informatiebeveiliging & Privacy - by Design

Privacy Policy v Stone Internet Services bvba

Visie en Trends in information security & risk management NGI - Mei 2008

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Sr. Security Specialist bij SecureLabs

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Kennissessie Information Security

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

"Baselines: eigenwijsheid of wijsheid?"

IT risk management voor Pensioenfondsen

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Visie op Cloud & ICT Outsourcing

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Security manager van de toekomst. Bent u klaar voor de convergentie?

Cloudsourcing onder Architectuur. Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011

Identity & Access Management & Cloud Computing

Security Starts With Awareness

Meer Business mogelijk maken met Identity Management

Mastersessies 2015 Blok 6. Levering, Regie en Governance

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

BeCloud. Belgacom. Cloud. Services.

Een alledaags gegeven

Building effective IT demandsupply

End-note. Sven Noomen Wouter Heutmekers

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei

Digitale Veiligheid 3.0

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Offshore Outsourcing van Infrastructure Management

ICT-Risico s bij Pensioenuitvo ering

Investment Management. De COO-agenda

HET GAAT OM INFORMATIE

Seriously Seeking Security

Invalshoek Vertrouwen, veiligheid en privacy

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Ad Hoc rapportage of constante sturing. Presentatie door: Paul Brands Regional Account Executive

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

E X P O N E N T I A L T I M E S L E A D TO E X P O N E N T I A L

Hackers; Hoe wordt je een doelwit? De consument in de keten

Topmanagement en IT Ontwikkelingen en trends voor in samenwerking met

Van idee tot ICT Oplossingen

Geleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Achtergrond. Obama over IT-beveiliging. Beatrix over IT beveiliging. Fox-IT. Vandaag. pptplex Section Divider

Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland

BeCloud. Belgacom. Cloud. Services.

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november Remco Schaar Consultant UL Transaction Security service

Ready healthcare. Actieplan gezondheidszorg. Vodafone Power to you

Workshop Low Cost High Value Service Delivery Models

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Presentatie Rapportage Met SAP Business Objects

Informatieveiligheid, de praktische aanpak

Security theorie. Omdat theorie heel praktisch is. Arjen Kamphuis & Menso Heus arjen@gendo.nl menso@gendo.nl

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

Klant. Klant - Branche: Industrie - > employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Waarde creatie door Contract Management

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Berry Kok. Navara Risk Advisory

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Hoe fysiek is informatiebeveiliging?

InforValue. Laat de waarde van Informatie uw bedrijfsdoelstellingen versterken. Informatie Management

DE CIO VAN DE TOEKOMST

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

De weg naar SOA bij de Gemeente Rotterdam

Efficiënt en veilig werken met cliëntgegevens. Zorg & ICT beurs 15 maart 2017

Meldplicht Datalekken

IAM en Cloud Computing

owncloud centraliseren, synchroniseren & delen van bestanden

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR

ISACA NL C**** in a day Inspiratiesessie CRISC

Digitale innovatie: where is the money?

Factsheet DATALEKKEN COMPLIANT Managed Services

In Control op ICT in de zorg

Het Sebyde aanbod. Secure By Design

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Oplossingen overzicht voor Traderouter > 02/11/2010

Cloud Security Summit Privacy en IoT

Advocatuur en informatie beveiliging Een hot topic

Transcriptie:

Visie, trends en andere zorgen over information security & risk management NGI Jan 2009 Trends: ontwikkelingen in risico s Visie: doelen voor de beroepsgroep De praktijk als toetssteen en kristallen bal Dr. ir. Paul Overbeek RE Paul.Overbeek @ Ois-NL.EU 06-53786475 Agenda Wie bent U en wie ben ik Trends Toekomst van onze beroepsgroep Even voorstellen Identiteit Wie bent U? Informatie- infrastructuur IB & RM vandaag IB&RM in 2012

Paspoort Identiteit Rijbewijs 12 Identitycards 3 telefoons 6 personeels-ids 10 clubkaarten Digid SoFi 06-53786475 3883582 P044921 6 pin-codes Wachtwoorden 15 zakelijke 40 prive en internet Identiteit: - 1 persoon - 40 rollen Identiteit: wie is wie wanneer Identiteit = hoe iemand wordt (h)erkend door de ander basis voor erkenning rechten/plichten Waar is informatie toegankelijk? Thuis (bijvoorbeeld windows) Op het web (Hyves, Google) Onderweg (Microsoft, Google) Via devices zoals Blackberry, smartphone, game-box, mp3-speler, digitale camera Via applicaties op het web Bij de data service provider in India of Polen (afhankelijk van de koers van de Euro) Alle informatie is straks tegelijkertijd overal toegankelijk: er is geen eigen- informatieinfrastructuur meer Een voorbeeld: de desktop Toekomst en impact op effectieve beveiligingsmogelijkheden De moderne informatie-infrastructuur is: - Niet van u of uw klant maar van velen - Niet statisch Integratie online-offline Weg met de webbrowser, webapplicaties rechtstreeks op de desktop Integratie devices met infrastructuur... Toegang tot alle informatie via willekeurige kanalen

Synthese Karakteristieken van de moderne informatieinfrastructuur De ICT-infrastructuur is grotendeels niet van U of Uw klant, Netwerk Platforms Generieke Applicaties De ICT-infrastructuur is dynamisch Wisselende sourcing, partners en ketens Maar ook Beperkingen aan fysieke beveiliging Standaardisatie over partners en ketens nodig (vergelijk Borg ) Waar kan of moet de informatiebeveiliger / risico manager toegevoegde waarde bieden? Laten we s kijken naar een paar cases Agenda Wie bent U en wie ben ik Trends Duivelskwadrant Vraagzijde: Mens & Maatschappij Organisatie & Processen Aanbodzijde Applicaties, ICT en andere techniek Processen er om heen: ontwikkeling, beheer Matching Risico-management,, assurance, compliance Wat betekent dat voor de beroepsgroep Speerpunten 2009 en visie

Keek op de week 1/3 Weekoverzicht van 19 januari 2009 t/m 25 januari 2009 Persoonlijke inlogcode voor elektronisch patiëntendossier Twammers nieuwe generatie spammers Boze IT'er delete 10.000 ambtenaren Hackers plunderen weer database Monsterboard Tweederde banken gebruikt geen encryptie 11.000 euro beloning voor aanhouding DDoS-aanvallers Schneier: Wetgeving dataverlies helpt niet Celstraf voor hacker elektronisch patiëntendossier Microsoft verwijdert digitale bankrover van 250.000 PC's Advies aan overheid: Veiligheid gaat voor privacy Obama onthult plan voor beveiliging cyberspace Conficker besmet 6% van alle Windows computers Belgische hackers wilden 245 miljoen euro van bank stelen WiFi-verf beschermt netwerk tegen hackers 65% managers deelt encryptiesleutel Trojaans paard plundert rekening Nokia gebruikers Werknemer vaccinatiecentrum misbruikt patiëntgegevens Kraken wachtwoord 10 karakters duurt 3000 jaar Hackers stelen miljoenen creditcardgegevens bij betalingsverwerker Dinsdag, 16:03 Banken aangespoord tot meer openheid over fraude Conficker botnet wacht op bevel van meesterbrein Russische hackers maken internetbankieren onveilig Elektronisch patiëntendossier onhaalbaar in 2009 Dinsdag, 10:21 "Wachtwoorden opschrijven is wel verstandig" Maandag, 17:19 GOVCERT biedt Microsoft antivirustool aan Gratis virusscanner voor Nokia telefoons China verbiedt gebruik van nickname HDTV beveiligingscamera's scherper en slimmer Nigeriaanse internetoplichters maken overuren

Hoezo, de organisatie Ketens Maatschappij Ketens Infrastructuur Personeel MAPGOOD de organisatie is steeds minder afgebakend Ad Hoc samenwerkingsverbanden Maatsc happij Infrastructuur Personeel MAPGOOD Partners zijn tevens concurrent We werken en leven in een organische samenwerkingsverbanden EPD Mamaloe: Techniek EMD ECD Petra de Clown EKD Leerlingvolgsysteem 24-jan: Scholen knoeien met leerlingdossier Klukluk: vreemdelingenregister Ontsluiting burgerregistraties EPD als voorbeeld: - Verwijzingensysteem - Eigenaarschap / zeggenschap - Beheers Autorisaties/structuur neemt lokale zeggenschap weg - Nagedacht over authenticatie en logging maar - Func.specs verschuiven: inzage door burger - Mijn zorg: wat zijn de lange termijn effecten: - Nieuwe functionele wensen ( pot met goud ) - Goedkopere architectuur mogelijk door meer centralisatie (en zonder ophaalbruggen) - Als iemand kon zeggen: dit zijn de functionele specificaties en we zullen er NOOIT meer wat aan veranderen

Schep nou geen verwarring: Begin 2008: Elektronische dossiers makkelijk te hacken Midden 2008 Klink: geen zorgen over veiligheid EPD Q3 2008: Ziekenhuizen blijken laks met patiëntengegevens en het systeem is mogelijk te hacken. Hacker van EPD wordt streng gestraft Q1 2009 Misbruik EPD: schrappen BIG-register Q1 2009 Regering wil hoge straffen tegen misbruik EPD Communicatiedrama bedreigt invoering EPD Plannen Obama "Op dit moment worden innovaties op het gebied van software, engineering, Aandacht farmacie en andere voor gebieden de met beveiliging een alarmerende snelheid van cyberspace. via het internet van Amerikaanse bedrijven gestolen Nationale cyberadviseur" rapporteert aan Obama wil "ontraceerbare internet betalingssystemen" sluiten Geld voor volgende generatie veilige meer tools en training geven om computercriminelen te vervolgen computers, netwerken en hardware om de infrastructuur standaarden voor het beveiligen mee te van persoonsgegevens beveiligen. en het waarschuwen in het geval van datalekkage Nieuwe standaarden voor cyber security Voorkoming digitale bedrijfsspionage. zo stelt de kersverse regering. Privacy -discussie komt weer op T-Mobile MD Steps Down After Data Theft Scandal Advies aan overheid: Veiligheid gaat voor -T-Mobile Voorheen: Germany's Managing focus Director, op Philipp Humm privacy has resigned from the job, in the face of a data theft 19 jan scandal Opkomend: which has hit the company bedrijven in the past nemen month. zelf Ministers Hirsch Ballin (Justitie) en Ter Horst Last month, T-Mobile Germany admitted to losing the verantwoordelijkheid (Binnenlandse Zaken) kregen gisteren het personal data belonging to its 17 million customers. The advies dat de privacy van de burger theft, which had only just been revealed occurred back in ondergeschikt is aan diens veiligheid. De early De 2006, echte and involved vragen telephone worden numbers, dates maar of conclusie volgt uit het rapport "Gewoon Doen, birth, addresses and email addresses. In a statement, ten dele the company gesteld: beschermen van veiligheid en persoonlijke said that irrespective of the levenssfeer" van de commissie Veiligheid en legal assessment, Philipp Humm as the former Managing Director Veiligheid assumes responsibility gaat persoonlijke for voor the data Privacy? levenssfeer incidents and 16 december 2008 their handling at T-Mobile Deutschland. Zeggenschap Staat en hoort autonomie niet achter de The Managing Director will also consolidate the data voordeur privacy, security and legal affairs functions in his or her department using the resources of Deutsche Telekom Meisje van Nulde DNA profielen

New frontiers for Risk Management Examples of risk management in practice Building & construction 19 Examples of risk management in practice: Krediet crisis Financial institutions 20 Examples of risk management in practice Crime prevention 21

Risk management is management and not mathematics Perception of risks vary per day Transforming from risk management to risk & opportunity management 22 Towards a demand/supply relationship in Risk management Business Risk Management Process Business Risk Management Process Business Risk Management Process Control objectives controls Internal or external Service Provider Reporting con SLA Additional services Risk management process Service Provider Control objectives controls Common risk management Risk management process Service Provider Business leading ISP leading Common best 23 Professionalisering computercriminaliteit In Amerika is een professioneel opererende bende internetcriminelen opgerold die mogelijk al tien jaar lang via internet gehackte creditcards goederen kocht. De uit zo'n 40 personen bestaande bende, gebruikte vervalste rijbewijzen en creditcards om voor zeker 100 miljoen dollar per jaar aan goederen te kopen, die dan weer via het internet werden verkocht. Dankzij Chinese hackers die de databases van grote winkelketens hackten, wist de bende aan de creditcardgegevens te komen. Niet alleen de creditcardgegevens, ook ontvingen de bendeleden elke maand uit China 3000 Opportunisten, boefjes en echte criminelen zijn overal lege creditcards, waarmee verwoed werd gewinkeld. Trend: De aangeschafte Internet wordt goederen steeds werden meer aangeboden een afspiegeling op de van de gewone website Eastrades.com. maatschappij. Internet, midden in de samenleving. Logisch natuurlijk, maar ons beeld (perceptie dus) is nog steeds: Internet, het nieuwe paradijs. Helaas, de appel is al lang gegeten en de slang is los. We hebben nog geen idee van de lengte van de slang, of wat Pandora s Internetdoos nog voor ons in petto heeft.

Hacking ex werkgever In de normale situaties van 2008 Een netwerk engineer die zijn voormalige werkgever hackte is veroordeeld tot een gevangenisstraf van 10 maanden, eerder moest hij al een schadevergoeding betalen. De 44-jarige Harold B. werkte voor MTC, maar besloot een eigen beveiligingsbedrijf op te richten. Net voor hij bij MTC vertrok maakte hij een administrator account aan waarmee hij toegang tot het netwerk behield. Hierdoor kon hij alle e-mails van het bedrijf lezen en toegang tot klantgegevens krijgen. Ook bekende hij hacking software op de systemen van MTC te hebben geïnstalleerd. Trend: Identities..en authenticatie, access, authorisatie..en logging, monitoring Harold Brooks Informatiebeveiliging op de politieke agenda "Ik kan u beloven dat het de komende jaren beter wordt." Tunnelvisie software ontwikkelaars Trend: informatiebeveiliging, risicomanagement, compliance, techniek Jan en Kees privacy de op Jager de politieke agenda Nog een trend: kennis en ervaring dun gezaaid op de plekken waar dat nodig is Camiel Eurlings Trend: IT is everywhere Geen trend maar van alle tijden: OTAP blijft moeilijk Keten-afhankelijkheid in vitale infrastructuur Stroomstoring Florida was menselijke blunder De stroomstoringen in Florida zijn veroorzaakt door één medewerker. Dat heeft het elektriciteitsbedrijf Florida Power&Light bekendgemaakt. Elektriciteitspanne Zuid-Florida treft 4,4 miljoen mensen Het zuiden van Florida is vandaag getroffen door een gigantische elektriciteitspanne, veroorzaakt doordat vijf reactoren van de kerncentrale van Turkey Point in het zuidoosten van de deelstaat het Een monteur veroorzaakte in een onderstation ten zuiden van Miami een hadden begeven. storing bij de inspectie Trend: van aandacht een voor vitale infrastructuren haperende schakelaar. Het automatische beveiligingssysteem Veerkracht schakelde en de-vitalisering De stroompanne trof 4,4 miljoen vervolgens een kerncentrale en een kolencentrale uit. Ook twee andere mensen en zorgde voor chaotische centrales ondervonden hinder van de taferelen op de weg doordat alle In storing. het zuiden (novum/adv) van de Amerikaanse staat Florida verkeerssignalisatie is was uitgevallen. dinsdag op veel plaatsen de stroom uitgevallen Volgens nadat de nieuwszender CNN trof het elektriciteitsbedrijf een kerncentrale wegens de een panne grote delen van de regio storing had uitgeschakeld. Daardoor ontstond van tijdelijk Daytona Beach tot Palm Beach, een tekort aan stroom, waar ongeveer drie miljoen ten noorden van Miami. (belga/bdr) mensen last van hadden.

Sponsors voor Information Risk & Security Management: IT is facilitair, de macht verschuift CEO CFO CIO Customer-driven Making Information and IT investment decisions Deciding where IR&SM can add most value Knowing the risks It It s s an enabler Balancing cost and risk Central versus local investment decision Managing risk and compliance Able to judge IT-enabled projects against other projects It It s s value for money < 2000: CEO and CFO: IR & SM is in the IT-domain; CIO: ok < 2005: CEO and CFO: IR & SM is in the CFO domain; CIO: hmmm Can influence the business strategy Enables us to prioritise demands Able to secure assets It It s s central to business strategy Organisatie & management Risicomanagement & Informatiebeveiliging is lijnverantwoordelijkheid Information risk & security manager Beleidsvormend Faciliterend, ondersteunend Monitoren, controleren Rapporteert direct aan Lid van of dotted-line met: Corporate compliance of (algemeen) risk management board Techniek: IT security manager Binnen IT-organisatie Invulling in de lijn Veelal beperkt eigenaarschap Afhankelijkheden in de keten wordt niet of nauwelijks echt gemanaged Service providers, ketenpartners Veelal niet in beeld Informatiebeveiliging, risk management en processen Bedrijfsprocessen en IB&RM Moeizame relatie, kost tijd, kost geld, negatieve beeldvorming Succesfactoren: duidelijk meetcriteria vooraf opstellen Echt ondersteunen: je moet het brengen Echte hulpmiddelen (die heel simpel en goedkoop moeten zijn Opnemen in targets en vinger aan de pols houden (audits) Probleem vandaag: overeind houden huidige beheersing Soms gedelegeerd binnen proces Lokale Information Security Manager, Operational Security Manager Bij beperkt mandaat ook beperkte impact Afzonderlijke security audits IB&RM in IT-beheer Professionalisering zet door Link met de business risks moet sterker worden ITIL v3 Information Risk Management IB&RM proces ITIL v3 Echt risico management Risk management tussen partners, of SP/Klant, in de keten

IB&RM en mensen Menselijke factor is dominant Maar we kunnen er steeds minder van op aan Valkuil: Eenzijdige aandacht voor technische aspecten Inconsistentie over omgevingen en toepassingen (b.v. omgaan met passwords) Losse security awareness projecten Nodig, maar effect is vaak niet meetbaar Succes factor: cultuur en betrokkenheid IB&RM en mens Organisatie Er is straks geen vaste ruggegraat meer Processen belangrijker dan individuele professionaliteit We managen processen, geen losse personen Goed organisatie en procesborging nog belangrijker Professionals Netwerken van personen Beter opgeleid Mobiel The world is the playing game IB&RM en ICT-infrastructuur Integratiecyclus Geen security Security los verkrijgbaar (add on) Security als optie bij product (bolt on) Security geïntegreerd in product (build in) Infrastructuur is complex en dynamisch Integratiecyclus in verschillende fasen en op verschillende niveaus eigenaarschap niet beheerst Traditionele situatie Informatiebeveiliging is bolted on

IB&RM en ICT Onderkant van de ICT-infrastructuur standaardiseert Netwerk, Housing, Hosting Enkele standaard applications Beveiliging is bezig daar te integreren Standaard normenkaders, hardening, etc Standaard normen/werkwijze tussen klanten/sps nodig Bovenkant: nog veel wildgroei Secure design en architectuurvisie gewenst Link met business risks moet worden gemaakt Samenvatting practices Management COSO, risicomanagement, ERM Processen SOX, EuroSOX(?!), toetsing/audit; certificering, governance naar 3 rd parties Mensen ik heb al genoeg gezeur aan mijn hoofd ICT-beheer Code voor Informatiebeveiliging/ITIL Security Management, Prince II SPRINT/IRAM, FIRM COBIT ICT-Infrastructuur: divers beeld Mobiel, backups, internet, biometrie, Windows XP, USB-sticks Producten in verschillende maturity levels maar zijn wel van elkaar afhankelijk Business & IT-allignment is key Agenda Wie bent U en wie ben ik Trends Wat betekent dat voor de beroepsgroep, voor U dus Speerpunten 2009 en visie

Speerpunten 2009 Risk & Opportunity management Oplijnen met business risks Controls redden Kijk naar de toekomst Huidige crisis bedreigt het control framework Kort gaat voor lang: Tactisch en strategisch niveau sneuvelen eerst Maak zelf een plan om efficientie te verhogen Simplificatie compliance / toezicht Professionalisering Visie: op weg naar verdere professionalisering De drie speerpunten van Paul 1. Kwaliteit van de professional moet transparant zijn Erkenning opleidingsniveau Praktijkervaring Persoonlijke integriteit, ook van de organisatie Professionele houding Permanente educatie Leren van fouten 2. Leren van fouten Cultuurverandering tav delen van (bijna) fouten Van incident tot leermoment Iedere fout is al een keer gemaakt Wegnemen laksheid ten aanzien van leren van ervaringen elders Persoonlijke verantwoordelijkheid Aanspreekbaar

Onafhankelijk toezicht 3. Inspectie bij ICT / Informatie ongevallen Van Vollenhoven Doet aanbevelingen met uitstralen effect voor de hele sector Conclusie 1/2 DOELEN De sector moet zich serieuzer nemen Om erger te voorkomen. Beveiliging is allang geen bijproduct meer Zorgvuldiger werken Lifecycle denken: tussentijdse verantwoording en evaluaties Echte acceptatie Durven leren van elkaar Best & bad practice sharing Learning from incidents Kaf en koren Zelfreinigend vermogen van de sector versterken Conclusie 2/2 HOE Mechanismen voor structurele verbetering Governance / oversight / gildestructuur Hier ligt een verantwoordelijkheid voor de beroepsverenigingen

Samenvattend

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback