Informatiebeveiliging

Vergelijkbare documenten
Informatiebeveiliging. Hoe informatie te beveiligen en datalekken te voorkomen...

Informatiebeveiligingsbeleid

ISO Informatiebeveiliging

Informatiebeveiliging

Gemeente Alphen aan den Rijn

Informatiebeveiliging als proces

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

Zet de stap naar certificering!

Security Health Check

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Beleid Informatiebeveiliging InfinitCare

Informatiebeveiliging voor overheidsorganisaties

Berry Kok. Navara Risk Advisory

INFORMATIEBEVEILIGING WHITEPAPER

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Informatiebeveiligingsbeleid

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Strategisch Informatiebeveiligingsbeleid Hefpunt

WHITEPAPER MANAGEMENT RAPPORTAGE ALLES WAT U MOET WETEN OM DE JUISTE INFORMATIE IN UW ORGANISATIE BOVEN WATER TE KRIJGEN.

NEN 7510: Een kwestie van goede zorg

CERTIFICERING NEN 7510

Informatiebeveiligingsbeleid

De beheerrisico s van architectuur

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

CYBER SECURITY MONITORING

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Informatiebeveiligingsbeleid

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk?

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

5 GOUDEN TIPS VOOR HELDER ONLINE PROJECTMANAGEMENT IN HET MKB

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatieveiligheid in de steiger

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Informatiebeveiliging voor gemeenten: een helder stappenplan

Readiness Assessment ISMS

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Quadro is het CRM-pakket van Doppio-L dat standaard software combineert met maatwerk.

Kickstart-aanpak. Een start maken met architectuur op basis van best practices.

Complan Valens bv Informatiebeveiliging en Privacy beleid

BEVEILIGINGSARCHITECTUUR

Brochure ISO Advanced

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ISO norm voor Business Continuity Management

ISO norm voor milieumanagement


INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Advies informatiebeveiligings analyse HvA

ISM en Lean, natuurlijke bondgenoten

ISO norm gericht op medische hulpmiddelen

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Bring Your Own Device

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

HKZ norm voor harmonisatie Kwaliteitsbeoordeling in de Zorgsector

Een Information Security Management System: iedereen moet het, niemand doet het.

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Energiemanagement actieplan. Van Schoonhoven Infra BV

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inleiding. Vervanging huidige telefooncentrale. Commissie Bestuur en Financiën. 11 december 2001 Nr , CDB Nummer 64/2001

white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze?

Informatiebeveiligingsbeleid Zorgbalans

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Security (in) architectuur

Security Starts With Awareness

HOE EXACT ACCOUNTANTS HELPT GROEIEN.

Informatiebeveiligings- beleid

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Transcriptie:

Whitepaper Informatiebeveiliging Oftewel: hoe beperk ik de risico s zonder de maatregelenbrij...? Maart 2012

Herkent U dit? Een organisatie besluit dat er na jaren uitstel eindelijk iets moet gebeuren rond informatiebeveiliging. Deze mooie taak wordt bij voorkeur neergelegd bij de IT-afdeling, want die zijn toch verantwoordelijk voor de informatievoorziening? Vervolgens wordt er een spreadsheet opgemaakt met honderden maatregelen en wordt achter iedere maatregel een status én eigenaar opgesomd. Meestal worden er dan nog een aantal gesprekken gevoerd met verantwoordelijken en verdwijnt de spreadsheet met rapportage in een archief. Tot zover het project Informatiebeveiliging Uiteraard is bovenstaand voorbeeld gechargeerd, maar wel tekenend voor de gang van zaken rond informatiebeveiliging bij veel organisaties. Er kleven een groot aantal bezwaren aan deze werkwijze, waarvan het feit dat deze bij de meeste organisaties minimaal resultaat heeft, wel de belangrijkste is. Het is gelukkig mogelijk op een veel efficiëntere wijze te komen tot een goed informatiebeveiligingsbeleid, dat voldoet aan de noodzakelijke minimale eisen zonder al die honderden maatregelen, want dat is het onder de streep wel. Staat informatiebeveiliging op de agenda?

Maatschappelijke ontwikkelingen Het bewustzijn van overheid en bedrijfsleven voor informatiebeveiliging is de laatste jaren toegenomen. Debet hieraan zijn publieke affaires zoals bijvoorbeeld de DigiNotar certificaten voor online overheidsdiensten in 2011, de hack van KPN-systemen waardoor in korte tijd zelfs de 112-dienst in gevaar is gekomen en de frequente storingen aan de online betalingsdienst van ING begin 2012. Maar ook het groeiende besef dat we in een maatschappij leven die in toenemende mate risicomijdend wordt. Dit gaat hand in hand met een steeds complexer wordende samenleving waarvan de afhankelijkheid van elektronische middelen steeds groter wordt,of we dat willen of niet. Niet alleen uitval van elektriciteit kan al snel catastrofale gevolgen hebben, maar ook uitval van informatie- en communicatiemiddelen. Reden waarom de Nederlandse overheid eind 2010 aan o.a. gemeenten en waterschappen heeft opgedragen plannen te maken voor uitval van elektriciteit én ICT. Zorginstellingen dienen vanaf 2005 te voldoen aan de NEN7510-norm omdat ook zorgverlening zeer sterk afhankelijk is van de continuïteit van hun informatievoorziening. Wat voor overheid geldt, geldt natuurlijk in meer of mindere mate ook voor het bedrijfsleven. In deze tijden van crisis neigen bedrijven alles rondom informatiebeveiliging voor zich uit te schuiven. Maar juist in deze moeilijke tijden kan een calamiteit of groter incident van welke aard ook snel leiden tot de definitieve teloorgang van een organisatie omdat de middelen om een nieuwe start te maken ontbreken. Denk alleen al aan de imagoschade die kan worden opgelopen en waar enorme bedragen mee gemoeid kunnen zijn. Hiervoor is het niet altijd noodzakelijk honderden maatregelen af te vinken en te implementeren. Door terug te gaan naar de basis kan in relatief korte tijd een aanvaardbaar risiconiveau bereikt worden.

Hoe kijken we tegen Informatiebeveiliging aan? Eerst en vooral is het natuurlijk belangrijk vast te stellen wat we verstaan onder informatiebeveiliging. Binnen administratieve organisaties (en onder die classificatie valt het overgrote deel van overheid en bedrijfsleven) is het beschikbaar zijn van de juiste informatie op het juiste moment erg belangrijk. Bedrijfsprocessen zijn hier direct van afhankelijk en kunnen vaak geen doorgang vinden zodra deze voorziening stopt of onbetrouwbaar wordt. Het gebied informatiebeveiliging omvat alle aspecten van de informatievoorziening binnen bedrijven en instellingen met als focus de zekerstelling van deze informatievoorziening. Onderwerpen die binnen dat kader vallen zijn bijvoorbeeld integriteit van informatie, maar ook beschikbaarheid van informatiesystemen en continuïteitsplanning. Informatie kan allerlei vormen aannemen, maar wordt in toenemende mate geleverd in digitale vorm via een groeiend aantal gebruikersapparaten (Bring Your Own Device). Geen wonder dat veel informatiebeveiligingsprojecten zich daarom concentreren op IT-middelen. Het resultaat is vaak veel technische maatregelen die uiteindelijk meer beperkend werken dan bijdragen aan een veilige omgeving. Waar het echter tenslotte, ook bij Informatiebeveiliging, om gaat is de beschikbaarheid van de bedrijfsprocessen. Die zijn echter lang niet allemaal even belangrijk. Verder is niet ieder proces even afhankelijk van IT en ook de lijst van niet-it afhankelijkheden is voor ieder proces anders. Het heeft daarom weinig zin een lange lijst niet-specifieke maatregelen te implementeren omdat daardoor de plank weleens volledig misgeslagen zou kunnen worden. Daarom dient een goed Informatiebeveiligingsproject ook bij de bedrijfsprocessen te starten: aan de basis. Informatiebeveiliging betreft niet alleen de IT-Afdeling. Je moet een bewustwordingsproces binnen de organisatie op gang brengen, bijvoorbeeld ook papier en ruimtes in gebouwen tellen mee *aldus een klant van Innervate tijdens een kennissessie

Onze aanpak De belangrijkste standaard op het gebied van informatiebeveiliging van dit moment is de ISO27001/2. Voor de gezondheidszorg is een specifieke standaard opgesteld die echter qua opzet goed te vergelijken is met de ISO27001/2, namelijk de NEN7510-2011. Een solide aanpak op het gebied van informatiebeveiliging dient gebaseerd te zijn op deze standaarden. In de praktijk blijkt echter dat deze standaarden op nogal verschillende wijze (kunnen) worden geïnterpreteerd. De kern van de Innervate aanpak bestaat uit een risicoanalyse uitgevoerd op de specifieke kenmerken van de bedrijfsprocessen. Met deze holistische benadering wordt bereikt dat organisaties bewuste keuzes kunnen maken tussen aanvaardbare en niet-aanvaardbare risico s, m.a.w. een beperking van risico s zonder de maatregelenbrij. De aanpak is onderverdeeld in twee fasen, waarbij fase één gezien kan worden als de Denk-fase. D.w.z. dat de noodzakelijke analyses en rapportages in deze fase worden opgesteld. Fase twee betreft de Doen-fase waarin de maatregelen uit het ontwerp worden geïmplementeerd. Infobeveiligingsbeleianalysanalyse Afhankelijkheid- Kwetsbaarheids- Informatiebeveiligingsplan ISO27001/2 FASE 1 1. BELEID 2. INVENTARSATIE 3. EISEN 4. ONTWERP Door te bepalen welke componenten nodig zijn voor de uitvoering van de processen en aan welke risico s deze componenten blootstaan, is het mogelijk een efficiënt ontwerp te maken voor de te treffen maatregelen.

Fase 1 Het Denken (4 stappen) 1. Informatiebeveiligingsbeleid: Het uiteindelijke doel van deze fase is een geaccordeerd informatiebeveiligingsplan waarin een ontwerp staat beschreven van de te implementeren maatregelen. Daartoe dient een risico-analyse te worden uitgevoerd, die onderverdeeld kan worden in afhankelijkheidsanalyse en een kwetsbaarheidsanalyse. De eerste stap is echter het opstellen van een informatiebeveiligingsbeleid. Deze is noodzakelijk om als leidraad te dienen voor het gehele proces van risico-analyse. In het beleid wordt feitelijk het ambitieniveau bepaald van de organisatie m.b.t. informatiebeveiliging. Keuzes die gedurende het traject gemaakt dienen te worden aangaande processen, maatregelen en risico s dienen getoetst te kunnen worden aan het beleid. Ook dient hierin vastgelegd te worden welke scope het gehele traject dient te bezitten, m.a.w. wat dient de omvang te zijn van de analyses en met welk detailniveau. Het beleid dient een afgeleide te zijn van het informatiebeleid, organisatiebeleid en wet- en regelgeving. Vaak beschikken organisaties reeds over documenten die gebruikt kunnen worden als input voor deze stap. 2. Afhankelijkheidsanalyse: Na accordering van het informatiebeveiligingsbeleid kan gestart worden met de afhankelijkheidsanalyse. In de afhankelijkheidsanalyse wordt bepaald welke componenten noodzakelijk zijn voor de uitvoering van het bedrijfsproces en hoe belangrijk deze zijn voor het proces, m.a.w. welke eisen hieraan gesteld dienen te worden. Het begrip componenten dient hier breed te worden opgevat. Voor de bepaling van deze componenten wordt wel het MAPGOOD schema gehanteerd. MAPGOOD staat voor Mensen, Apparatuur, Producten, Gegevens, Organisatie, Omgeving en Diensten. De hoeveelheid werk in deze stap wordt in hoge mate bepaald door de mate van detail. Deze dient tevoren te worden afgesproken en vastgelegd in het beleidsdocument.

Computers moeten werken, mensen moeten denken!

3. Kwetsbaarheidsanalyse: In de kwetsbaarheidsanalyse wordt bepaald welke eisen gesteld dienen te worden aan processen en de in de vorige stap geïnventariseerde componenten. Deze eisen worden uitgedrukt in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Een belangrijke input voor de formulering van deze eisen is het beleidsdocument. Vervolgens wordt geïnventariseerd welke bedreigingen manifest kunnen worden en met welke kans. Gecombineerd met de te stellen eisen kan bepaald worden welke schade deze bedreigingen kunnen aanbrengen aan de bedrijfsprocessen en of dit wel of niet acceptabel is. De lijst met bedreigingen is voor iedere situatie en iedere organisatie verschillend. Bij het opstellen van deze lijst wordt zoveel mogelijk gebruik gemaakt van de eerder genoemde standaarden, maar ook van lokale bronnen zoals Provinciale Risicokaarten. Op basis van de gegevens uit de afhankelijkheids- en kwetsbaarheidsanalyse kan vervolgens een ontwerp van maatregelen worden gemaakt. Dit gebeurt alleen voor die bedreigingen die een onacceptabel risico vormen voor de bedrijfsprocessen. Ook hier wordt zoveel mogelijk gebruik gemaakt van de genoemde standaarden. Pas in dit late stadium maatregelen Informatiebeveiligingsplan wordt gekeken naar de reeds bestaande maatregelen, die bepaald worden middels een zogenaamde nulmeting. Door het spiegelen van deze nulmeting aan het ontwerp kan bepaald worden welke nieuwe maatregelen getroffen dienen te worden, maar ook welke bestaande maatregelen afdoende zijn, of wellicht zelfs overbodig! Vervolgens kan een Plan van Aanpak worden opgesteld voor implementatie van nieuwe maatregelen. Hierbij wordt uitgegaan van een no-nonsense beleid. Maatregelen worden onderverdeeld in een drietal categorieën waarbij alleen de meest dringende meteen worden ingevoerd. Voor de resterende wordt een langere termijn planning gemaakt. Zo wordt de organisatie niet overladen met acties en kan er voldoende aandacht besteed worden aan het veiligheid-bewustzijn. Dat brengt ons bij Fase twee van de aanpak. FASE 2 5. maatregelen Nulmeting (AS-IS) Ontwerpmaatregelen (TO-BE) PvA implementatie ISO27001/2 FASE 1 6. procedures 7. organisatie 8. audits

Fase 2 Het Doen Afhankelijk van het in de vorige fase bepaalde ontwerp vergt de implementatie het één en ander van de organisatie in kwestie. Dit wordt (heel) vaak onderschat. Niet alleen dienen technische maatregelen uitgevoerd te worden, maar ook organisatorische en procedurele. Informatiebeveiliging stopt niet bij het plan en de uitvoering van maatregelen! Om ook op langere termijn effect te hebben dient daarom een nieuw bedrijfsproces Informatiebeveiliging te worden geïmplementeerd. Compleet met verantwoordelijken, procedures en ijkmomenten. Binnen de ISO27001 wordt dit Information Security Management System genoemd, het ISMS. Het introduceren van een vorm van ISMS garandeert dat Informatiebeveiliging een blijvend aandachtsgebied wordt waarbij maatregelen en procedures up-to-date worden gehouden. In het geval een organisatie ervoor kiest een audit te ondergaan (voor gezondheidsinstellingen verplicht) is een ISMS in elk geval noodzakelijk. Leemten of onvolkomenheden die uit audits naar voren komen dienen aangepakt te worden in een nieuwe cyclus van de hier beschreven aanpak, zoals uitgebeeld in figuur op voorgaande pagina. Informatiebeveiliging stopt niet bij het plan en de uitvoering van maatregelen!

De Innervate manier De hiervoor beschreven aanpak vergt het één en ander aan resources en tijd, maar garandeert dat Informatiebeveiliging binnen uw organisatie op de kaart gezet wordt en ook blijvend effect zal sorteren. Daartoe is het ook noodzakelijk gebruik te maken van de Deming kwaliteitscyclus van Plan-Do-Check-Act. Binnen het in deze Whitepaper beschreven stappenplan is deze geborgd. Enterprise Architectuur Een ander belangrijk neveneffect is, dat gedurende het proces veel informatie over uw organisatie beschikbaar komt. Het koppelen van componenten aan processen levert feitelijk een goed beeld van uw Enterprise Architectuur op. Gezien de effort die hiervoor nodig is, is het verstandig deze informatie vast te leggen. Hiertoe maken wij gebruik van de taal Archimate. Archimate is een Opensource EA modelleringstaal waarmee Enterprise Architecturen kunnen worden beschreven op een gestructureerde en gestandaardiseerde wijze. Sinds 2008 maakt Archimate deel uit van The Opengroup en is gekoppeld aan het architectuur framework TOGAF. Door gebruik van geavanceerde tooling kunnen deze modellen dusdanig worden vastgelegd, dat achteraf geautomatiseerde analyses mogelijk zijn. Maatwerk in maatregelen Bij de daadwerkelijke invoering van maatregelen is vaak nog een extra detailontwerp noodzakelijk afhankelijk van de specifieke omstandigheden. Zoals eerder vermeld zijn de maatregelen uit de vigerende standaarden non-specifiek en behoeven dus een extra maatwerkslag om geschikt te worden gemaakt voor uw organisatie. Vaak hebben organisaties niet de kennis of ervaring om deze stap te maken. Door de brede expertise kan Innervate ook hier behulpzaam zijn. Kiezen voor wel of niet zelf doen De noodzakelijke inspanningen voor de uitvoering van de in deze whitepaper beschreven aanpak zijn sterk afhankelijk van reeds voorhanden zijnde documenten en de gewenste scope. Sommige organisaties kiezen ervoor het werk zelf uit te voeren. Innervate kan in die gevallen als coachende partij optreden waarbij wij u met adviezen en hulpmiddelen terzijde staan. Wij kunnen echter ook het grootste deel van het werk voor u uitvoeren. In beide gevallen is het noodzakelijk dat u als organisatie zeer nauw betrokken bent en blijft. Alleen dan is succes verzekerd!

Waarom Innervate? Innervate is een eredivisiespeler in het vakgebied van informatietechnologie en ICT-infrastructuur. Onze diensten zijn gericht op advies, software-ontwikkeling en trainingen. De professionals van Innervate zijn allemaal spelers met hun eigen specifieke expertise en praktijkervaring. Innervate kan de werk-processen in uw organisatie geheel overzien en exact de puntjes op de i zetten. Dit levert voor de klant een slimme oplossing op en 100% kans op een succesvol project. Innervate Innervate Midden Nederland Aziëlaan 14 De Corridor 21 A 6199 AG Maastricht-Airport 3621 ZA Breukelen T +31 (0) 43 358 1880 E info@innervate.nl W www.innervate.nl

Volg ons op Linkedin: http://nl.linkedin.com/innervate Volg ons op Twitter: #InnervateNL Volg ons op Facebook: Innervate NL

Deze Whitepaper is opgesteld door Rob Braam, Principal Consultant bij Innervate op basis van project- en onderzoekservaring op het gebied van informatiebeveiliging. Maastricht, maart 2012

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback