Agenda Fysieke beveiliging ontmoet Informatiebeveiliging (grensoverschrijdend of grensverleggend?) Melle Beverwijk CEO InfoSecure Lid ISF Executive Board Introductie InfoSecure Introductie ISF Fysieke beveiliging ontmoet Informatiebeveiliging ISF Threat Horizon 2010 en hoe hierop te reageren Slotopmerkingen 2 Introductie InfoSecure Opgericht in 1999 Activiteiten: Informatiebeveiliging, Risikoanalyse, Compliance, Governance Vestigingen in 7 landen Levering aan klanten in 80 landen Programma s in 22 talen Meer dan 3 miljoen personen hebben onze programma s gevolgd Oplossingen en Consultancy aangepast aan de specifieke wensen van de klant Lid Information Security Forum (ISF) sinds 2000 Lid Executive Board An international association of approximately 300 leading global organisations, which... addresses key issues in information risk management through research and collaboration develops practical tools and guidance is fully independent and driven by its Members promotes networking within its membership. 3 Managing Security in a Downturn Economy Information security strategy Threat Horizon 2010 Profit Driven Attacks Insider Threats Effective approaches to managing a security function Examining the needs of CISO RISE: role of information security in the enterprise The Insider view Maar hoe kunnen we de aandacht voor beveiliging blijven vasthouden in een dynamische omgeving? 6
BUSINESS OBJECTIVES SECURITY STRATEGY POLICIES RISK CONTROLS ANALYSIS ORGANISATION ASSESSMENT IMPLEMENTATION Incident films Inleidende opmerkingen Beveliging; continuïteit van de organisatie Raakvlakken van fysieke en informatiebeveiliging Besluitvormingsprocessen Onderscheid Security & Safety Gratis Publiciteit Wees op je hoede buiten kantoor Inleidende opmerkingen Verantwoord (Informatie) beveiligingsbeleid Waar moet het beveiligingsbeleid op gericht zijn: - Mensen - Informatie - bedrijfsactiviteiten - Fysieke omgevingen Organisatorische verantwoording Leidend zijn de bedrijfsactiviteiten Meer aandacht voor de business aspecten van Informatiebeveiliging Business aspects Standards Compliance Incidents Legislation Privacy Liabilities Increased focus on InfoSecurity Increased legislation Turnbull Report Sarbanes-Oxley Act New Basel Capital Accord More attention for Corporate Governance More attention for a.o Business aspects Management commitment Information Security Management Framework Verminderen van (Business) risiko s BUSINESS OBJECTIVES SECURITY STRATEGY Strategy & Policy Information leaks from internal sources to third parties Intrusion or attack on internal networks Information is unavailable for business continuity Non-compliance with regulatory or governmental requirements POLICIES Solutions & Implementations RISK ANALYSIS CONTROLS Strategies to reduce risks ORGANISATION Risk management & Governance ASSESSMENT IMPLEMENTATION
Het bereiken van een bedrijfscultuur met oog voor (informatie) beveiliging Verandering in kennis, houding en gedrag Van fout naar goed Van bewust naar eigen gemaakt (tweede natuur) Betrokkenheid van het topmanagement Bewust Eigen gemaakt (tweede natuur) René Obermann, CEO of Deutsche Telekom Betrokkenheid van het topmanagement ISF Threat Horizon 2010 15 ISF Threat Horizon 2010 Economic development Increased criminal attacks on specific organisations or customers Educate staff and customers Include topics such as social engineering techniques in education programmes and awareness programmes for staff
Business case: Deutsche Telekom Veilig reizen Political developments Increase in incidents, decrease in public trust -> governments have to increase attention for security. Incidents must be prevented. Although technology incidents are discussed, you can decrease employee incidents. Classify important and sensitive information and protect in accordance to its value. To be able to recognised techniques such as social engineering To be able to recognised techniques such as Phishing Socio cultural development Increase outsourcing Unauthorised disclosure business information Compliance failure different laws and regulations Unauthorised access Business case: KPN Let third party employees comply to your policies and rules Socio development Gartner: Consumerization of IT Young people communicate differently with each other then the old generation (generation X/Generation Y problem) Management s lack of understanding E.g. Social networks P2P (Peer to Peer, filesharing) Google apps iphone Use young people in the business clip Address new generation tools in topics Cultural economic developments New business values: More ambulant people Economic slow down Less time to spend Programmes not mandatory How do we respond to that: Push content to employee Less time More frequent
Legal regulatory developments Tougher regulatory and privacy legislation Increase support for ISO 27001 security management ISO 27001 and physical security A.9 Fysieke beveiliging en beveiliging van de omgeving A.9.1 Beveiligde ruimten Doelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie. A.9.1.1 Fysieke beveiliging van de omgeving : Er moeten toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) aangebracht om ruimten te beschermen waar zich informatie IT voorzieningen bevinden. A.9.1.2 Fysieke toegangsbeveiliging : Beveiligde zones moeten worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. A.9.1.3 Beveiliging van kantoren, ruimten en faciliteiten : Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en toegepast. A.9.1.4 Bescherming tegen bedreigingen van buitenaf Er moet fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten worden ontworpen toegepast. A.9.1.5 Werken in beveiligde ruimten Er moeten fysieke bescherming en richtlijnen voor werken in beveiligde ruimten worden ontworpen en toegepast. A.9.1.6 Openbare toegang en gebieden voor laden en Lossen Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerst en indien mogelijk worden afgeschermd A.9.2.1 Plaatsing en bescherming van apparatuur Apparatuur moet zo worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd. A.9.2.2 Nutsvoorzieningen Apparatuur moet worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen. A.9.2.3 Beveiliging van kabels Voedings- en telecommunicatiebekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, moeten tegen interceptie of beschadiging worden beschermd. A.9.2.4 Onderhoud van apparatuur Apparatuur moet op correcte wijze worden onderhouden, zodat deze voortdurend beschikbaar is en in goede staat verkeert... Regulatory developments ISO 27001 auditor look more and more for data classification activities Special Topic Information Classification Slotopmerkingen Uitgangspunt bedrijfsaktiviteiten Invuling per industriesector sterk verschillend Risico-driven Samenwerking manager en (informatie) beveiligingspecialist Essentie verstaan of begrijpen Aandacht voor bewustwordingscampagnes, opleidingen en introducties Toeneming van wettelijke regelgeving Compliance Fysieke beveiliging ontmoet Informatiebeveiliging; grensoverschrijdend en grensverleggend Vragen? Opmerkingen? Respons? Incident films Informatie: Melle.beverwijk@InfoSecuregroup.com Laat uw token en pincode nooit onbeheerd achter Gehaaste binnenkomst 29