Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Vergelijkbare documenten
Welkom bij parallellijn 1 On the Move uur. Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?

0.1 Opzet Marijn van Schoote 4 januari 2016

Gemeente Alphen aan den Rijn

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Gemeente Zandvoort. Telefoon: Fax:

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Informatieveiligheid. Youri Lammerts van Bueren Adviseur Informatiebeveiliging (CISO)

Aantoonbaar in control op informatiebeveiliging

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

Secure Software Alliance

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Factsheet Penetratietest Informatievoorziening

Aan welke eisen moet het beveiligingsplan voldoen?

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Beveiligingsbeleid Stichting Kennisnet

Informatieveiligheid, de praktische aanpak

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Beleid Informatiebeveiliging InfinitCare

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Training en workshops

Hoezo dé nieuwe ISO-normen?

Medewerker administratieve processen en systemen

Factsheet SECURITY SCANNING Managed Services

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Factsheet SECURITY SCANNING Managed Services

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Informatiebeveiligingsplan

ENSIA voor informatieveiligheid

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Information security officer: Where to start?


Factsheet Penetratietest Infrastructuur

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Volwassen Informatiebeveiliging

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Checklist Beveiliging Persoonsgegevens

PATCHMANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

CISO workshop Regiobijeenkomst

Doe de poll via the Live App

Praktijkvoorbeelden en w aarom ISO

Een Information Security Management System: iedereen moet het, niemand doet het.

Innovatie in een veranderd risicolandschap

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

Informatiebeveiliging

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

Kennissessie Information Security

Informatiebeveiliging als proces

Norm ICT-beveiligingsassessments DigiD

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Welkom bij de demonstratie van het Welkom bij de systeem demonstratie van Klachten en Meldingen

Kwaliteitseisen SEMH. René Ungerer SEMH coördinator

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Sebyde Web Applicatie Security Scan. 7 Januari 2014

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

DigiD beveiligingsassessment

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

A C C E S S & I D E N T I T Y m A N A G E M E N T

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

Introductie. NAV performance. Derk Jan Oelemans. Manager Development, BI en E-Business Qurius Business Solutions

Wie doet wat? Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Sr. Security Specialist bij SecureLabs

Security Testing. Omdat elk systeem anderis

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Security, standaarden en architectuur

Project Fasering Documentatie ICT Beheerder. Auteurs: Angelique Snippe Tymen Kuperus

Generieke systeemeisen

Onderzoek informatiebeveiliging gemeente Staphorst; eindrapport

Security Health Check

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

Hoe zorgt u voor maximale uptime met minimale inspanning?

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Control driven cyber defense

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

VCA Toelichting wijzigingen

LEAN ISO Mede mogelijk gemaakt door ISO 9001:2015

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

Grip op Secure Software Development

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Communicatieplan m.b.t. CO2

1 Inhoudsopgave 2 REFL@CTION WIE ZIJN WIJ? WAT BIEDEN WE? WAAR VINDT U ONS? TRAININGSAANBOD... 4

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Privacybeleid gemeente Wierden

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Sebyde Diensten overzicht

Transcriptie:

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1

IBD-Praktijkdag Work IT Out

Hoe stel ik vast of de IBmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? Jule Hintzbergen Adviseur informatiebeveiliging IBD

Programma Introductie Casus 1 Inzicht in effectiviteit van maatregelen Casus 2 Continue verhelpen van tekortkomingen Samenvatting & Afsluiting 4

Hoe stel ik vast of de IB-maatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? Welke activiteiten moet je als CISO uitvoeren om inzicht te krijgen en houden in de effectiviteit van de beveiligingsmaatregelen? Welke instrumenten en rapportages kunnen hierbij ondersteunen en hoe zorg je dat tekortkomingen worden verholpen? 5

6 Casus1: Inzicht in effectiviteit van maatregelen

Inzicht in informatiebeveiliging Drie hoofdstromen te onderkennen: Meetbaar maken van het effect van beveiligingsmaatregelen Meetbaar maken van kwantiteit en kwaliteit van beveiliging Meetbaar maken van het beveiligingsniveau 7

Meten van de effectiviteit van het ISMS en de effectiviteit van de informatiebeveiliging Waarom: Investeringen in informatiebeveiliging te rechtvaardigen en te prioriteren. Vaststellen of er ISMS-activiteiten zijn, die verbeterd dienen te worden omdat ze niet het beoogde effect hebben. Aantonen dat de gemeente informatieveiligheid beheerst op een niveau die past bij de BIG ( In control zijn). Hoe: vaststellen van normen, Hierover rapporteren uitvoeren van controle over die rapportages. 8

Bent u in staat om onderstaande vragen te beantwoorden? Waarom zijn de beveiligingsmaatregelen geïmplementeerd? Welke informatie is nodig om processen te sturen zodat wordt voldaan aan de vooraf vastgestelde kwaliteitskenmerken en normen? Met betrekking tot Security Metrics: Wat moet worden gemeten? Waarom het moet worden gemeten? Voor wie het wordt gemeten? Door wie moet het worden gemeten? Wanneer / hoe vaak moet het worden gemeten? 9

10 Processen

Casus 1a: Logische toegangsbeveiliging Doel: Uw ICT-systemen adequaat beschermen tegen ongeautoriseerde toegang door het waarborgen van gecontroleerde toegang. Vraag: Weet u zeker dat degene met toegang tot de ICTsystemen ook geautoriseerd zijn? Hoe kun je dit vaststellen (testen)? 11

Casus 1a: Logische toegangsbeveiliging - Test De actuele stand van zaken van de toegekende autorisaties wordt periodiek gecontroleerd. Deze controle vindt plaats op geldigheid en rechtmatigheid van de verstrekte actuele autorisaties (medewerkers, gebruikersnamen, bevoegdheden). Tijdens deze controle dient te worden vastgesteld dat de vastgestelde actuele autorisatiematrix in overeenstemming is met het, door de autorisatiebeheerder verstrekte, overzicht van autorisaties. 12

Casus 1b: Veilig programmeren Doel: Programmeerstandaarden of een (Secure) Software Development Life Cycle (SDLC) op- en vaststellen waarbij specifiek wordt beschreven hoe de website afdoende dient te worden beveiligd tegen bekende risico s zoals beschreven in de OWASP top 10 of de CWE/SANS TOP 25 Most Dangerous Software Errors. Vraag: Weet u zeker dat uw webapplicatie veilig is? Hoe kun je dit vaststellen (testen)? 13

Casus 1b: Veilig programmeren - Test Webapplicatie scan en/of penetratietest uitvoeren met als doel het inventariseren van risico s in de website waarbij specifiek wordt vastgesteld of de website afdoende is beveiligd tegen bekende risico s zoals SQL injectie en Cross-site scripting. 14

Casus 1c: Patchmanagement en hardening Doel: Zorgdragen dat ICT-systemen up-to-date zijn en bekend is wat precies op systemen geconfigureerd en geïnstalleerd is. Vraag: Weet u zeker dat uw ICT-systemen voorzien zijn van de meest recentste (beveiligings)updates? Hoe kun je dit vaststellen (testen)? 15

Casus 1c: Patchmanagement en hardening - Test Om vast te stellen of er nog bekende zwakheden in de eigen ICT-infrastructuur of applicaties aanwezig zijn kan men een zwakhedenscan of vulnerability scan (laten) uitvoeren. Meestal wordt daarbij speciale tooling gebruikt. Deze tooling kent van iedere soort hardware en software wat de laatste updates zijn en kan ook toetsen op het aanwezig zijn van bekende zwakheden. 16

Effectiviteit beveiligingsmaatregelen? Hoe krijg je als CISO inzicht in de effectiviteit van de geïmplementeerde beveiligingsmaatregelen? Beantwoord hiervoor per beveiligingsmaatregel onderstaande vragen. Welke activiteiten dien je als CISO hiervoor uit te voeren? Waarom deze activiteit? Wanneer en hoe vaak (planning) dient deze activiteit uitgevoerd te worden? Wie is verantwoordelijk? Wie en welke (hulp)middelen heb je daarvoor nodig? Wat zijn mogelijke risico s? 17

18 Casus 2: Continue verhelpen van tekortkomingen

Doelstellingen meten van informatiebeveiliging in het kader van een ISMS Het evalueren van de effectiviteit: van de geïmplementeerde beheersmaatregelen; van het geïmplementeerde ISMS; Het controleren in welke mate wordt voldaan aan de geïdentificeerde informatiebeveiligingseisen Het mogelijk maken (faciliteren) van het doorvoeren van prestatieverbeteringen op het gebied van informatiebeveiliging aangaande de bedrijfsrisico s van de organisatie Het leveren van input voor de management review zodat ISMS gerelateerde besluitvorming en de rechtvaardigingen voor noodzakelijke verbeteringen van het geïmplementeerde ISMS mogelijk wordt gemaakt. 19

Verbetercyclus PLAN - Opstellen verbeterplan: verbetervoorstellen om de tekortkomingen op te heffen. DO - Uitvoeren verbeterplan: invoeren van de verbetervoorstellen. CHECK - Evalueren: om mogelijke tekortkomingen vast te stellen. ACT - Update processen: input van de check fase. 20

Tekortkomingen verhelpen? Hoe zorg je als CISO dat (mogelijke) tekortkomingen worden verholpen (non-compliancy)? Beantwoord hiervoor per beveiligingsmaatregel onderstaande vragen. Welke activiteiten dien je als CISO hiervoor uit te voeren? Waarom deze activiteit? Wanneer en hoe vaak (planning) dient deze activiteit uitgevoerd te worden? Wie is verantwoordelijk? Wie en welke (hulp)middelen heb je daarvoor nodig? Wat zijn mogelijke risico s? 21

22 IBD Producten

23 Vragen

Contactinformatie 24 info@ibdgemeenten.nl Bezoek ook www.ibdgemeenten.nl

Einde sessie Wij vragen u naar de volgende sessie te gaan 25

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback