WHITE PAPER. Informatiebeveiliging



Vergelijkbare documenten
Informatiebeveiliging als proces

CYBER SECURITY MONITORING

Business as (un)usual

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Informatiebeveiliging voor overheidsorganisaties

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiliging & Privacy - by Design

Cybersecurity: waar begin je?

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

Informatiebeveiliging

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Introductie OHSAS 18001

Informatiebeveiligingsbeleid

Stappenplan naar GDPR compliance

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Generieke systeemeisen

NEN 7510: Een kwestie van goede zorg

Databeveiliging en Hosting Asperion

Hoezo dé nieuwe ISO-normen?

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Informatiebeveiligingsbeleid

"Baselines: eigenwijsheid of wijsheid?"

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Beleid Informatiebeveiliging InfinitCare

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

ESET NEDERLAND SECURITY SERVICES PREDICTION

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

WHITE PAPER. Business Solutions

Stappenplan naar GDPR compliance

Nota Risicomanagement en weerstandsvermogen BghU 2018

Risico s in beeld. Wat nu? Door Ilona Hoving 1

Certified ISO Risk Management Professional

Informatiebeveiligingsbeleid extern

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Informatiebeveiliging van A tot Passende Maatregel


Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

6. Project management

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Volwassen Informatiebeveiliging

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Security Operations Center

Praktische tips voor informatiebescherming PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN

Werkplekbeveiliging in de praktijk

VULNERABILITY ANALYTICS & MANAGEMENT PORTAL

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

Informatiebeveiligingsbeleid

Factsheet DATALEKKEN COMPLIANT Managed Services

Informatiebeveiligingsbeleid

Risicoprioritering. (onderdeel van Control Framework 2.0)

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Business Continuity Management

Informatiebeveiliging: Hoe voorkomen we issues?

INFORMATIEBEVEILIGING VOOR WEBWINKELS

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025)

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

NS in beweging, Security als business enabler september 2008

CERTIFICERING NEN 7510

Risicomanagement en NARIS gemeente Amsterdam

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

Aon Global Risk Consulting Cyber Practice Privacy Services

Nota Risicomanagement en Weerstandsvermogen

Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

LIO NOREA bijeenkomst 4 februari 2019

Informatieveiligheid, de praktische aanpak

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

BEVEILIGINGSARCHITECTUUR

WORKSHOP HOE BORG JIJ DE PRIVACY VAN JE KLANTEN?

Informatiebeveiliging ZorgMail

Verklaring van Toepasselijkheid

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Berry Kok. Navara Risk Advisory

Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Transcriptie:

WHITE PAPER Informatiebeveiliging

Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen. Introductie Het managen van de veiligheid van de informatie in uw organisatie omvat een scala onderwerpen. Deze whitepaper heeft tot doel een kort overzicht te geven van de belangrijkste concepten, om zo meer inzicht te geven in wat van belang is om de informatie in uw organisatie op een bewuste manier, zo goed mogelijk te beschermen. Centraal bij elk vraagstuk over informatiebeveiliging staan de vragen: wat probeert de organisatie precies te beveiligen? en waartegen moet het beveiligd worden? Een antwoord op de eerste vraag is noodzakelijk omdat dit inzicht nodig is om zodoende te bepalen welke maatregelen van toepassing KUNNEN zijn.. De tweede vraag is het startpunt van het onderzoek hoe gaan we deze informatie beveiligen? waarmee de organisatie de beveiliging gaat inrichten met één of meerdere maatregelen. De afweging die elke keer gemaakt moet worden is of de kosten van de maatregel opwegen tegen de veronderstelde baten. Dat is niet altijd even eenvoudig aangezien sommige kosten, zoals bijvoorbeeld imagoschade bij openbaarmaking, lastig te kwantificeren zijn. Eén ding is zeker: 100% veiligheid bestaat niet. Dit gegeven ontslaat een onderneming er echter niet van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie op een effectieve en voor de onderneming gezonde, acceptabele manier in te richten. voorkomen. Dat is de kracht van een goed informatiebeveiligingsbeleid. Governance Governance van informatiebeveiliging bestaat uit het leiderschap, de organisatiestructuur en alle processen die de veiligheid van informatie waarborgen. Essentieel zijn hierbij de strategische afstemming met de doelstellingen van de onderneming, het beheersen van risico s tot een niveau wat past bij de risicobereidheid van de onderneming en het rapporteren over de effectiviteit van de genomen maatregelen. Door informatiebeveiliging middels een programma in de bestaande governance structuur te verankeren zorgt de onderneming er voor dat maatregelen niet gezien worden als een verplichting die van buitenaf is opgelegd. Ook wordt hiermee voorkomen dat het slechts als een eenmalige actie gezien wordt waarna kan worden overgegaan tot de orde van de dag. Het is essentieel voor het slagen van het informatiebeveiligingsbeleid dat verantwoording over informatieveiligheid wordt afgelegd op alle niveaus van een organisatie. Dit kan alleen door informatiebeveiliging onderdeel te maken van de doelstellingen van alle individuele bedrijfsonderdelen. Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen. Doordat de juiste informatie op de juiste plek, op het juiste moment beschikbaar is kan een onderneming beter inspelen op de markt en onnodige risico s www.prodaptconsulting.com 2

Risicomanagement en compliance Om risico s te managen en zeker te zijn dat de juiste maatregelen op correcte wijze geïmplementeerd worden is een degelijk raamwerk van processen en verantwoordelijkheden noodzakelijk. Hiervoor zijn diverse standaarden beschikbaar zoals ISO 27000 series (voorheen ISO/IEC 17799), NIST 800 series en SOx. De overeenkomst tussen deze raamwerken is de Plan, Do, Check, Act (PDCA) cyclus. Deze cyclus zit ook in het proces voor het managen van risicos, zie figuur 1. laag tot catastrofaal als het risico materialiseert. Tevens wordt er in deze analyse een frequentie van zelden tot heel vaak aan het risico gehangen. Hieruit is een matrix te maken (figuur 2) waaruit duidelijk wordt welke informatiemiddelen van belang zijn voor de organisatie en met welke urgentie behandeld moeten worden. Figuur 2 Classificatiematrix voor informatie Informatiebeveiliging is een iteratief proces Figuur 1 Risico management proces (ISO 31000) Informatiebeveiliging is een iteratief proces waarbij er altijd gekeken wordt of genomen maatregelen nog wel actueel zijn en er geen nieuwe risico s geïntroduceerd zijn als de onderneming van richting is veranderd of wanneer de omgeving verandert. Dit proces bestaat uit een aantal stappen die tezamen het risico management en compliance proces vormen. Informatie classificatie Classificatie van informatiemiddelen is het proces waarbij er een inventarisatie gemaakt wordt van alle relevante informatiehouders en deze voorzien worden van een klasse van gevoeligheid. Hierbij wordt gekeken naar de impact op de organisatie in categorieën van Requirements vaststellen Uiteraard zijn de requirements van een organisatie leidend voor het definiëren van het veiligheidsniveau. Het is tenslotte de lijnorganisatie, de eigenaar van de data, die de risicobereidheid definieert waaraan het veiligheidsbeleid onderworpen is. Tevens kan het zijn dat bij organisaties vanuit juridisch oogpunt bepaalde informatie altijd versleuteld opgeslagen en getransporteerd moet worden om ongewilde openbaarmaking uit te sluiten. Dit komt vaak voor bij gegevens over klanten. Meer specifiek: wanneer klanten consumenten zijn zal er vanuit de Wbp (wet bescherming persoonsgegevens) eisen aan opslag en verwerken gesteld worden. Het is aan de lijnorganisatie om te bepalen hoe aan deze eisen voldaan moet worden. www.prodaptconsulting.com 3

Maatregelen vaststellen Als eenmaal helder is vastgelegd om welke informatie het gaat en hoe gevoelig deze informatie is, kan worden vastgesteld welke maatregelen genomen kunnen worden om de geconstateerde risico s te verkleinen tot een voor de onderneming acceptabel niveau. Dat kan op vier manieren. Er kan gekozen worden om de activiteit te beëindigen. Hiermee stopt de blootstelling aan het risico. Natuurlijk stopt hiermee ook de voordelen van de activiteit. Dat kan echter wel noodzakelijk zijn als uit de inventarisatie blijkt dat de impact op de organisatie van dit risico gewoonweg te groot is. Het risico kan ook overgedragen worden. Hierbij sluit de organisatie bijvoorbeeld een verzekering af tegen dat specifieke risico. Bij overdracht wordt het eigenlijke risico niet overgedragen. Slechts de impact van dat risico wordt afgedekt. Lastig te kwantificeren risico s, zoals imagoschade, laten zich dus moeilijk overdragen. Het meest zal er echter gekozen worden om mitigerende maatregelen te nemen. Dit zijn maatregelen (scheiding van functies, toegangscontrole, toepassen van encryptie etc.) die het risico terugbrengen naar een acceptabel niveau. Tot slot kan een organisatie het gevonden risico ook accepteren. Dit gebeurt als de kosten van mitigerende maatregelen gewoonweg te hoog zijn en het proces waarbij het risico ontstaat kritiek is voor het functioneren van de organisatie. Het is belangrijk om bij het ontwerpen van maatregelen het gehele proces end-to-end te beschouwen en om de maatregelen in de integrale samenhang te beoordelen. Alleen op deze wijze wordt voorkomen dat teveel maatregelen dezelfde risico s afdekken. Monitoring en rapportage Tot slot gaat een organisatie het iteratieve proces van monitoring in richten. Hierbij moet worden gekeken of de genomen maatregelen (nog steeds) effectief zijn en of er wellicht nieuwe risico s ontstaan zijn. Het is wezenlijk voor het hele proces om uitzonderingen (non-compliance), die tijdens het monitoren gevonden zijn, te rapporteren aan senior management. Hiermee wordt geborgd dat gevonden afwijkingen adequaat gemanaged worden en kan er handelend opgetreden worden voordat een risico realiteit wordt. Programma ontwikkeling en management Nadat de maatregelen zijn vastgesteld en de monitoring is gedefinieerd kan het informatiebeveiligings-programma worden gedefinieerd. Het is belangrijk om de uitvoerende organisatie te betrekken bij dit programma. De informatiebeveiliging moet namelijk ondersteunend zijn aan de bedrijfsprocessen. Dat kan alleen maar als de proceseigenaren de wensen en eisen vormgeven die betrekking hebben op de informatieveiligheid van hun eigen proces. Tevens heeft het programma resources nodig van de lijnorganisatie om tot uitvoering te komen. Daarvoor moet duidelijk zijn wat de voordelen zijn voor de proceseigenaar zodat deze de gewenste resources ter beschikking wil stellen. Een onderdeel van het programma is natuurlijk het verhogen van de bewustwording met betrekking tot informatiebeveiliging bij de medewerkers. Hiervoor moeten awareness trainingen opgezet worden. Hierbij is het goed om deze toe te spitsen op de betreffende www.prodaptconsulting.com 4

ALS een risico realiteit wordt, dan moet de organisatie op een adequate manier reageren op de ontstane situatie. medewerker(s). Het gebruik van materiaal dat relevant is voor de afdeling is daarbij handig. Vaak wordt een generieke training opgezet waarin plichtmatig bepaalde onderwerpen behandeld worden (clean desk, complexe wachtwoorden, uitlenen toegangspassen etc.). Hierdoor haakt de gemiddelde medewerker af en wordt de organisatie per saldo onveiliger in plaats van veiliger. In dit programma behoort ook gekeken te worden naar de wijze waarop informatieveiligheid opgenomen kan worden in de dagelijkse gang van zaken. Gedacht moet worden aan het toevoegen van expliciete veiligheidseisen in het ontwikkelproces, het changemanagement proces maar ook het uitvoerende proces (hoe worden klanten geïdentificeerd die gegevens willen aanpassen etc.). Incident Management Incident management is het sluitstuk van het informatiebeveiligingsvraagstuk. Het is bij incident management namelijk de intentie om de organisatie zo in te richten dat, zelfs ALS een risico realiteit wordt, de organisatie op een adequate manier reageert op de ontstane situatie. Incident management bereid zich voor, identificeert en reageert op incidenten om de schade ervan te beheersen en te minimaliseren. Tevens zorgt incident management voor de capaciteit tot forensisch onderzoek en heeft het tot taak om het bedrijfsproces zo snel en effectief mogelijk te herstellen. Het is de verantwoordelijkheid van het incident management team om het incident response plan op te stellen en te onderhouden. In dit plan staat het gehele incident proces (Figuur 3) gedetailleerd beschreven. Figuur 3 Incident management proces De voorbereiding op een incident bestaat uit het vastleggen van een actieplan per incidenttype, een communicatieplan voor communicatie met alle belanghebbenden inclusief een escalatiematrix, het ontwerpen van rapportage criteria voor rapportage naar senior management, een proces om het incident response team (of computer emergency response team vaak CERT) te activeren, het vastleggen van een veilige locatie waar vanuit de reactie gecoördineerd kan worden en tot slot zorgen voor de benodigde apparatuur ter ondersteuning van het incident response team. Het beschermen tegen incidenten bestaat uit het analyseren van systemen en netwerken op kwetsbaarheden en deze snel en gecontroleerd verhelpen. Ook is het regelmatig scannen op kwetsbaarheden in systemen van belang om zo een goed en gestructureerd patchbeleid toe te passen. Het detecteren van incidenten bestaat uit het actief, al dan niet geautomatiseerd, monitoren van systemen en netwerken om zodoende aanvallen zo snel mogelijk op te sporen. Hier kan men denken aan de inzet van Intrusion Detection of Intrusion Prevention systemen (IDS/IPS) of DDoS detectie en mitigatie systemen. Ook het analyseren van relevante logging uit netwerken met behulp van log management systemen is waardevol om te bepalen hoe groot de impact is van een incident. www.prodaptconsulting.com 5

Een SIEM (Security Information and Event Management) systeem helpt bij het correleren van diverse events en een betere inschatting te maken van de prioriteit bij één of meerdere incidenten. Triage bestaat uit het evalueren van actieve incidenten om zodoende te bepalen welke maatregelen in welke volgorde dienen te worden uitgevoerd om de schade zoveel mogelijk te beperken. Reageren betreft het uitvoeren van de maatregelen die een incident beëindigen en zodoende de normale staat van de operatie te herstellen. Elk van deze elementen is kritiek voor een effectieve reactie op een incident. Het is dus ook de verantwoordelijkheid van de informatiebeveiligings-functionaris om elke van deze onderdelen een bewuste plaats te geven in de organisatie. En te zorgen dat dit plan levend gehouden wordt door middel van oefenen met alle betrokken partijen. Bij KPN bijvoorbeeld heeft Prodapt Consulting een bijdrage geleverd aan de inrichting van de processen rond het Security Operations Center (SOC) en het KPN-CERT. Prodapt Consultants in Security: ervaren, deskundig, flexibel Prodapt Consulting heeft meerdere, gekwalificeerde medewerkers in dienst, deze zijn zowel ISACA CISM als ISC 2 CISSP opgeleid. Ze zijn betrokken geweest bij implementaties van security organisaties binnen diverse telecom operators en hebben ervaring in het verbeteren van processen en organisatie in het security werkveld. Aanvullende informatie over onze referenties en kennisgebieden is beschikbaar op onze website www.prodaptconsulting.com. Op verzoek kunnen referenties, white papers en CV s van onze medewerkers worden verstrekt. Tot slot Door het inrichten van een effectief informatiebeveiligingsbeleid zal een organisatie in staat zijn om de juiste risico s af te dekken met de juiste maatregelen. Met de juiste maatregelen worden maatregelen bedoelt die zowel in proportie staan tot het risico dat de organisatie loopt alsook qua kosten in verhouding staan tot de opbrengsten voor de organisatie. Ervaring Prodapt Consulting met Security Prodapt Consulting heeft uiteraard een security team waarin veiligheidszaken van zowel de eigen onderneming alsook onze klanten behandeld worden. Tevens helpt Prodapt Consulting diverse klanten op het gebied van informatiebeveiliging. www.prodaptconsulting.com 6

Contact Details Europa Prodapt Consulting B.V. De Bruyn Kopsstraat 14 2288 ED Rijswijk Z-H The Netherlands Telefoon: +31 70 414 0722 Adriaan van Donk Mobiel : +31 6 5335 4335 E-mail : adriaan.van.donk@prodaptconsulting.com Ben van Leliveld Mobiel : +31 6 5335 4337 E-mail : ben.van.leliveld@prodaptconsulting.com Paul Termijn Mobiel : +31 6 3010 9117 E-mail : paul.termijn@prodaptconsulting.com www.prodaptconsulting.com

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback