Seriously Seeking Security

Vergelijkbare documenten
Business as (un)usual

Informatiebeveiliging & ISO/IEC 27001:2013

Snel naar ISO20000 met de ISM-methode

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Opleiding PECB IT Governance.

Information security officer: Where to start?

Business Continuity Management. Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN

ISO17799 & Risicoanalyse: Vrienden of Vijanden?

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Readiness Assessment ISMS

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

An international association of approximately 300 leading global organisations, which...

"Baselines: eigenwijsheid of wijsheid?"

Opleiding PECB ISO 9001 Quality Manager.

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

NS in beweging, Security als business enabler september 2008

De maatregelen in de komende NEN Beer Franken

8.5 Information security

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Informatiebeveiliging & Privacy - by Design

Hoezo dé nieuwe ISO-normen?

IT risk management voor Pensioenfondsen

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

2 e webinar herziening ISO 14001

Hoe implementeer je de NEN7510?

ISO 9001: Business in Control 2.0

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

E-learning maturity model. Hilde Van Laer

ibestuur Mastercourse Architectuur: Bestuur en Architectuur ibestuur 2015 Lineke Sneller

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen

CERTIFICERING NEN 7510

Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

Investment Management. De COO-agenda

Waarde creatie door Contract Management

Welkom. Digitale programma: #cmdag18. Dagvoorzitter Prof. dr. Arjan van Weele NEVI hoogleraar inkoopmanagement.

Gemeente Alphen aan den Rijn

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Implementeren van complianceen risicomanagement met Panoptys

Wat komt er op ons af?

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

ISO/IEC in een veranderende IT wereld

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Volwassen Informatiebeveiliging

Klant. Klant - Branche: Industrie - > employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

Meerwaarde Internal Audit functie. 16 maart 2017

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Naar een nieuw Privacy Control Framework (PCF)

Als beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer

ISO 27001:2013 INFORMATIE VOOR KLANTEN

HET GAAT OM INFORMATIE

ISO Stephanie Jansen - NEN Henk Kwakernaak - KWA

Security manager van de toekomst. Bent u klaar voor de convergentie?

Maturity van security architectuur

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Hoe fysiek is informatiebeveiliging?

Geleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda

ICT-Risico s bij Pensioenuitvo ering

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Bedrijfscontinuïteit met behulp van een BCMS

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Agenda: Rotary Industry Group

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Big Data in opsporing

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Inkoop en de link naar de value chain

Corporate presentation. Risicomanagement Jeroen Baart

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

BUSINESS CONTINUITEIT

6.3 Invoering van ISO 17799: een succesvolle aanpak

Informatiebeveiliging

BLIJVEND STRUCTUREEL TEKORT AAN DIGITAL EXPERTS!

Berry Kok. Navara Risk Advisory

Digitalisering van de voedselketen

Sarbanes-Oxley en de gevolgen voor IT. Daniel van Burk 7 november 2005

MVO Prestatieladder en Duurzame IT

Intro ISO. Finance. Wie zijn wij? Producten. Programma

Identity & Access Management & Cloud Computing

Module 7: Inrichting risicomanagement en inleiding risicoanalyse

Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER

Haal er uit, wat er in zit!

O R M Wat is een risico? Retail 2

Contract Management Dag 2015

Checklist van Verplichte Documentatie vereist door ISO/IEC (2013 Revisie)

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

(Big) Data in het sociaal domein

Meer Business mogelijk maken met Identity Management

Nationale IT Security Monitor Peter Vermeulen Pb7 Research

I N T E R C O M M U N A L E L E I E D A L 1

Presentatie Rapportage Met SAP Business Objects

Opleiding PECB IT Cyber Security Specialist.

De nieuwe ISO-normen: meer dan KAM-management alleen!

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Transcriptie:

Seriously Seeking Security The Quest for the Holy Grail? Aart Bitter 27 november 2007 SBIT congres: Taking Security Seriously Aart.Bitter@information-security-governance.com Agenda Taking Security Seriously Our clients and their boardrooms Seriously Seeking Security The Quest for the Holy Grail? 27 november 2007 SBIT congres: Taking Security Seriously 2 1

Our clients: 70% more save than 1 year ago More/Better Security Controls and Procedures 64% IT Security Becoming More of a Priority 20% Improved Third-Party Security Products 11% More Regulatory Requirements 9% Security Has Become More Centralized/Standardized 7% Increased Budgeting/IT Spending 5% More IT Staffing 5% 27 november 2007 SBIT congres: Taking Security Seriously 3 Meanwhile in the Boardroom Through 2008, information security will move lower on the list of executive priorities. Security is adequately addressed by the governance, organisational and technical investments of the past five years. Through 2008, security managers who fail to gain relevant new skills will increasingly be sidelined within the enterprise. Improved maturity of Security: from reactive technical activities to proactive, business-oriented strategy. Source: Gartner 2007 Predictions Through 2008, Will the Boardroom Seriously Seek Security? 27 november 2007 SBIT congres: Taking Security Seriously 4 2

Seriously 27 november 2007 SBIT congres: Taking Security Seriously 5 (Serious Social) Engineering 2007 27 november 2007 SBIT congres: Taking Security Seriously 6 3

Top-10 security issues (random order) 1. (Management) Committment 2. Clear Desk Policy 3. Risico-analyse en -management 4. Medewerkers (in, out en in action) 5. Security Incident Management 6. Business Continuity Management 7. Controleplannen (Compliance) 8. (Physical) Access Control (People-Process- Technology) 9. Asset management and classification 10.Information systems and Mobile devices 27 november 2007 SBIT congres: Taking Security Seriously 7 Seeking high / $ Optimal Expenditure Cost of security controls low Security Cost of security incidents high 27 november 2007 SBIT congres: Taking Security Seriously 8 4

Security 27 november 2007 SBIT congres: Taking Security Seriously 9 The Quest Plan Interested Parties Establish ISMS Interested Parties Do Implement and operate the ISMS ISO/IEC 27001 Maintain and improve the ISMS Information security requirements and expectations Monitor and review the ISMS Act Managed information security Check 27 november 2007 SBIT congres: Taking Security Seriously 10 5

Information Security Governance Verantwoordelijkheden Doelstellingen VERANTWOORDEN COMPLIACE BEHEERSEN Bewaken Bewaken Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Risico Risico management management Implementeren Implementeren STUREN GOVERNANCE TOEZICHT HOUDEN 27 november 2007 SBIT congres: Taking Security Seriously 11 The Holy Grail Responsibilities Business Objectives TOEZICHT HOUDEN STUREN GOVERNANCE COMPLIANCE BEHEERSEN VERANTWOORDEN 27 november 2007 SBIT congres: Taking Security Seriously 12 6

Maturity: pro-active businessoriented security 27 november 2007 SBIT congres: Taking Security Seriously 13 Do our clients Take Security Seriously 27 november 2007 SBIT congres: Taking Security Seriously 14 7

We Take Security Seriously Beleid Wet- en regelgeving Alignment Act Plan Scorecards Assessments Audits Evaluation Planning Risk Mgt. Normen Performance- & Risk Indicators Check Implementation Maatregelen Processen Procedures Do 27 november 2007 SBIT congres: Taking Security Seriously 15 Alignment - Beveiligingsbeleid Doelstellingen voor informatiebeveiliging Wettelijke eisen en regels Informatiebeveiliging en risicoanalyse Risicomanagementmethode Beveiligingsorganisatie Beleid 27 november 2007 SBIT congres: Taking Security Seriously 16 8

Planning - Risicomanagement Risicomanagement: Welke risico s accepteert u Welke maatregelen gaat u nemen Hoe gaat u meetregelen invoeren Hoe gaat u informatiebeveiliging meten Kans H M L Reduce accept L Risico matrix M Impact Avoid Move Beveiligingsorganisatie Personele Beveiliging Fysieke Beveiliging H Beveiligingsbeleid IT beheer Bedrijfsmiddelen Toegangsbeveiliging Systeemontwikkeling Continuïteitsmanagement Beveiligingsincidenten Naleving 27 november 2007 SBIT congres: Taking Security Seriously 17 Implementation - Invoeren IT - processen Functieprofielen Kennis & Vaardigheden Organisatiestructuur Kennis van de organisatie (zichtbaar) Planning & Control Houding Normen en Waarden Motieven Politiek Persoonlijke voorkeuren Cultuur (onzichtbaar) Drijfveren Energie Angst Gedrag 27 november 2007 SBIT congres: Taking Security Seriously 18 9

Evaluation - Bewaken Risico matrix Zeker 1 7 2 Kans Mogelijk 8 10 3 4 6 9 Onwaarschijnlijk 5 Laag Middel Hoog Impact Resultaten Security Scan 100% 90% 80% 70% 60% Score 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 7 8 9 10 Categorie uit de Code 27 november 2007 SBIT congres: Taking Security Seriously 19 Dank voor uw aandacht! Vragen Opmerkingen Suggesties Aart.Bitter@information-security-governance.com 27 november 2007 SBIT congres: Taking Security Seriously 20 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback