Cyber Security. Vanuit een veranderkundig perspectief

Vergelijkbare documenten
Digitale Veiligheid 3.0

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Security Starts With Awareness

Digitale Veiligheid 3.0

"Baselines: eigenwijsheid of wijsheid?"

ICT-Risico s bij Pensioenuitvo ering

Building Automation Security The Cyber security landscape, current trends and developments

Gebruikersdag Vialis Digitale Veiligheid

Achtergrond. Obama over IT-beveiliging. Beatrix over IT beveiliging. Fox-IT. Vandaag. pptplex Section Divider

Beheer van veranderingen

Wat te doen tegen ransomware

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

ICT anders gepositioneerd Klaar voor de toekomst Sambo ICT februari 2018

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

Cyber Security: hoe verder?

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas

Hoe fysiek is informatiebeveiliging?

Vertrouwen in ketens. Jean-Paul Bakkers

van Nederlandse CIO s ziet steeds meer onzekerheid

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Factsheet SECURITY CONSULTANCY Managed Services

ISO/IEC in een veranderende IT wereld

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Meldplicht datalekken

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Voorspelbaar naar excellente digitale dienstverlening in de publieke sector. Januari 2016

Factsheet DATALEKKEN COMPLIANT Managed Services

Trends en gevolgen voor kwaliteitsmanagement. 3 oktober de kwaliteitsmanager krijgt de handreiking met lean.

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

Control driven cyber defense

Innovatie in een veranderd risicolandschap

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

Internet of Things Businesskansen met slimme en internet-verbonden producten en diensten. Joris Castermans Workshop Internet of Things

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Utrecht Business School

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

IT risk management voor Pensioenfondsen

Factsheet CLOUD MIGRATIE Managed Services

Berry Kok. Navara Risk Advisory

ICT als aanjager van de onderwijstransformatie

Themadag Beveiliging & ICT Trends, dilemma s & toekomst

ACA IT-Solutions beveiligt de IT van Medisch Centrum Leeuwarden tegen malware en security breaches

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Digitale Veiligheid 3.0

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Jan W. Veldsink Msc

STRATEGIE IMPLEMENTATIE SUCCESFACTOREN

IT Security Een keten is zo sterk als de zwakste schakel.

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

INNOVEREN VOOR EEN VEILIGE EN VEERKRACHTIGE CYBERSPACE

Wees in control over uw digitale landschap

Publiek-private partnerships voor een sterke cybersecurity

Strategisch en tactisch advies van hoog niveau

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Factsheet SECURITY DESIGN Managed Services

We helpen u security-incidenten te voorkomen

CYBER SECURITY MONITORING

Business as (un)usual

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

Vier goede redenen om over te stappen naar de cloud

Hoe zorgt u voor maximale uptime met minimale inspanning?

Begeleiden van veranderingen bij bpost

Global Project Performance

ICT: HOOFDROLSPELER OF BACKSTAGE ASSISTANT? Steven Van Uffelen INCA Networks NV

De onderwerpen waartoe de raad in de periode verschillende producten en adviezen voor zal ontwikkelen, zijn:

Klant. Klant - Branche: Industrie - > employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

20 mei Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Bedrijfscontinuïteit met behulp van een BCMS

Denken in processen. Peter Matthijssen. Business Model Innovation. Business Process Management. Lean Management. Enterprise Architecture

EXIN WORKFORCE READINESS opleider

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Ontwikkelingen in ICT-functies. Gebaseerd op e-cf en het Ngi-competentiemodel ir. Johan C. Op de Coul

Sr. Security Specialist bij SecureLabs

Industrie 4.0 en Cybersecurity. Ontwikkelingen en trends die de sector in 2019 zullen beïnvloeden

Cybercrime. Bert Bleukx Hoofd Anti-Cybercrime Team KBC België

In Control op ICT in de zorg

EXIN WORKFORCE READINESS werkgever

JOB OPENING OPS ENGINEER

Contract- en Service Management in de CLOUD. 29 September 2011

Cloud Security Summit Privacy en IoT

ZIJN DE KOSTEN EN OPBRENGSTEN VAN UW IT-OMGEVING MET ELKAAR IN OVEREENSTEMMING? Krijg inzicht in de kosten en performance van uw ICT-omgeving

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

The digital transformation executive study

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Gemeente Alphen aan den Rijn

CYBERDREIGINGSBEELD 2015

ESET NEDERLAND SECURITY SERVICES PREDICTION

Parallelsesssie "Lean bij Aon Nederland"

Social Media & Informatiebeveiliging Binnen de Retail. irisk it Retail, Platform voor InformatieBeveiliging 27 januari 2011

Transcriptie:

Cyber Security Vanuit een veranderkundig perspectief Rob Broersen MBA Cyber Security Knowledge Centre Industrieel platform Cyber Security (NEN) Integere Haven Rotterdam

Intro Hot item: The "cyber threat is one of the most serious economic and national security challenges we face as a nation America's economic prosperity in the 21st century will depend on cyber security." Er wordt meestal op risico s ingegaan Wat er allemaal mis kan gaan Cyber Security als enabler voor diensten. Geen kostenpost maar opbrengsten!! MVO wordt al helemaal niet in verband gebracht met Cyber Security. Hoe in de gehele organisatie met Cyber Security om te gaan bedrijfsprocessen werkwijzen mensenwerk >>> cultuur 1

Toch wat voorbeelden Uit recent onderzoek van Symantec blijkt dat er een stijgend aantal aanvalspogingen van cybercriminelen gericht blijft op de energiesector. De energiesector behoort wereldwijd nu zelfs tot de top 5 van sectoren waar regelmatig aanvallen op gepleegd worden. Ambtenaren verlekkeren zich aan gevoelige privégegevens van bekende Nederlanders. Ruim 140 keer vergaapten medewerkers van 13 gemeentelijke sociale diensten zich aan de alimentatiebetalingen, schulden, villa's en wagenparken van voetballers en filmsterren. "We hadden recentelijk een klein probleem, volgens JPMorgan directeur Jamie Dimon. De banktopman liet verder weten dat de security-uitgaven de komende vijf jaar van 250 miljoen dollar naar 500 miljoen dollar zullen worden verdubbeld. "Het gaat om firewallbescherming, het gaat om interne beveiliging, het gaat om leverancier bescherming, het gaat om alles dat verbinding met je maakt" 2

Toch wat voorbeelden NSA Chief Warns Chinese Cyber Attacks Could Shut U.S. Infrastructure China and probably one or two other countries have the ability to invade and possibly shut down computer systems of U.S. power utilities, aviation networks and financial companies, Admiral Mike Rogers, the director of the U.S. National Security Agency, said. Onderzoekers van de cyber security firma Infracritical hebben bijna twee jaar lang gezocht naar industriële controlesystemen op het internet. Ze vonden miljoenen systemen die direct aan het internet zijn verbonden waardoor de veiligheid van kritieke infrastructuur wordt bedreigd (Internet of Things) 3

Techniek en mensen Al tientallen jaren viruscontrole, firewalls, etc.. Nog steeds diverse kleine en grote incidenten. 30% - 40% techniek 60% - 70% mensenwerk Bestanden even kopiëren.. Geen idee waar het over gaat. Instellingen niet veranderen tijdens installatie. Geen tijd voor onderzoek.. 4

Trends De grote afhankelijkheid van ICT voor onze maatschappelijke en persoonlijke veiligheid betekent dat een cyberverstoring of cyberaanval (in potentie) grote impact heeft op zowel de maatschappelijke als de persoonlijke veiligheid. (Cybersecuritybeeld Nederland / NCSC) De ontwikkeling dat steeds meer apparatuur (waaronder medische apparatuur, voertuigen, industriële- en huishoudelijke apparaten) aan internet verbonden is, zal doorzetten. De software in deze apparatuur zal altijd beveiligingslekken bevatten. 5

Trends Internet of Things - big data analyse - privacy! Malware blijft stijgen: Botnets worden beter verhuld, ingezet voor zwaardere DDoS aanvallen (onbereikbaarheid) Mobiele malware neemt toe (nog niet in NL) Gerichte spearphishing (diefstal persoonlijke gegevens) Ransomware agressiever (gijzelingen) Opkomst cryptoware besmettingen (versleutelde gijzeling) 6

Geen IT aansprakelijkheid Cyber security is geen aangelegenheid voor de IT-afdeling of de CIO alleen. Aangezien het gaat om de continuïteit van bedrijfsprocessen, reputatie, kosten en aansprakelijkheid of bescherming van klant- of persoonsgegevens en risicomanagement, raakt het de kern van de organisatie en daarmee alle medewerkers. Cyber security is business as usual. Cyber security mag geen belemmering zijn voor innovatie, gebruiksgemak of efficiënter werken en daar horen praktische oplossingen voor security bij. Het gaat niet alleen om technologische oplossingen, maar ook om bewustzijn van het management en medewerkers m.b.t. relatie bedrijfsprocessen. 7

Definitie Cyber Security Cyber security is het vrij zijn van gevaar of schade, veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT. Het gevaar of de schade door misbruik, verstoring of uitval kan bestaan uit beperking van de beschikbaarheid en betrouwbaarheid van de ICT, schending van de vertrouwelijkheid van in ICT opgeslagen informatie of schade aan de integriteit van die informatie. NCSC Cyber security is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organization and user s assets. Organization and user s assets include connected computing devices, personnel, infrastructure, applications, services, telecommunications systems, and the totality of transmitted and/or stored information in the cyber environment. NIST 8

Proces techniek mens Proces Cyber Security Mens Techniek 9

Verandermanagement Combinatie van: personeel, competenties, cultuur, structuur, processen, systemen en managementstijl. Europees onderzoek: 380 Westeuropese bedrijven - in NL 40% onvoldoende succesvolle veranderingen Onderzoek in NL: kostenreductie 80% slaagkans / kwaliteitsverbetering 65% / strategie-implementatie 58% / cultuurverandering 20% slaagkans!! Projecten falen veelvuldig door gebrek aan kennis betreffende verandermanagement! 11

Verander strategieën Veranderen als implementeren (de verzorgde reis) Veranderen als proces van co-creatie (de trektocht) Veranderen: niet ontwikkelen nieuwe ideeën, wel ontsnappen aan verouderde ideeën.!! Het denken over organiseren en veranderen laat zich te veel sturen door geaccepteerde denkkaders.!! 12

Trektocht Veranderproces als trektocht ingaan -> co-creatie. Hiervan is echter de uitkomst onzeker. Nu is de inrichting van en hoe te handelen met cyber security redelijk directief. Werelden Business en ICT met elkaar in overeenstemming brengen (alignment). Indien er geen overeenstemming komt dan zal er eerder binnen de organisatie onvrede en weerstanden ontstaan. De business ziet het snel als een ICT feestje. 13

Verandermanagement Kurt Lewin (1951) q Unfreeze Change Refreeze Léon de Caluwé en Hans Vermaak q 5 veranderingsperspectieven kleurdenken Jaap Boonstra q 5 strategieën Andre Wierdsma q Co-Creatie Thijs Homan q On-stage - Off-stage / betekeniswolken ADKAR q Benodigde stappen voor verandering per individu 14

On stage 15

Off stage 16

7S model McKinsey 17

Samenhang Strategie Bestuur: Leiderschap Verandering Business: Competenties, personeel, stijl, cultuur (ADKAR aanpak) Project ICT: Structuur en systemen 18

Leiderschap Leiderschap houdt zich bezig met organisatieverandering door het ontwikkelen van een visie met bijbehorende strategie, het communiceren van die visie en het inspireren en motiveren van medewerkers door die visie. Visie en strategie m.b.t. Cyber Security zijn niet geheel vrijblijvend. Kaders dienen in dit geval helder geschetst te worden. Dit vraagt om een bepaald type leiderschap. Situationeel leiderschap! 19

Leiderschap Tendens: Bedrijven moeten in hun jaarverslag aangeven welke inspanning zij verrichten t.a.v. digitale veiligheid. Vragen voor de Board : Kroonjuwelen van het bedrijf? Toewijzing van resources o.b.v. risico analyse en strategische assets? Welke technische voorziening om real-time verstoringen te detecteren? Hoe vaak wordt de board geïnformeerd over digitale dreigingen? Plan om te reageren op verstoringen / aanvallen? Relatie met derden om effectief te reageren op Cybercrime? 20

Verandering ADKAR Organisaties veranderen niet mensen binnen organisaties veranderen. Basis hulpmiddel om het hoe, waarom en wanneer te snappen. Projectmatige aanpak met ruimte voor verschillende interventies. 21

ADKAR 22

Awareness Enorm werkgebied om bewustzijn Cyber Security te verbeteren. Je kunt simpelweg niet genoeg doen! Echter niet alles zal door medewerkers, partners of klanten begrepen worden. In het algemeen is het totale plaatje Cyber Security te complex en continue aan vernieuwing onderhevig. Accepteer: niet alles is te verbeteren. 23

Awareness Focus: meetbare veranderingen doorvoeren. Succesvol awareness programma : alleen hoogste prioriteiten. Start niet met slogans Start met onderzoek Kennis houding gedrag (nulmeting: tijdens de verandering meten wat goed werkt en wat niet) 24

Kennis houding gedrag Kennis Houding Gedrag Relatief eenvoudig: juiste informatie voor de juiste mensen in de juiste vorm Denkbeelden veranderen is lastiger. Persoonlijke reis: boek lezen film kijken creatieve discussies Weerstanden!! Gedragsverandering is het moeilijkst. Helder inzicht in gewenst gedrag, en in onderliggende activerende en blokkerende zaken. CULTUUR 25

Vraag de juiste vragen 1. Vragen om kennis en bewustzijn CS te meten; 2. Vragen om attitude en perceptie t.o.v. CS-management te achterhalen; 3. Vragen in hoeverre staf en klant gedrag bijdraagt in het uitdragen van CS-verantwoordelijkheden. 26

Awareness Inschakelen: Interne communicatie afdeling Marketing (merk) Media Workshops.. 27

Desire 28

Herkenning Doeners Doeners Overtuigden Overtuigden Twijfelaars Twijfelaars Sceptici Sceptici Bedreigde diersoort (wat, dat, ik,nooit) BD Betrekken, Bewegen of Be-out." 29

Weerstandreductieplan BEZIEN VANUIT DE MEDEWERKER: 1. Gebrek aan bewustzijn of waarom verandering nodig is 2. Impact op huidige werk en functie 3. Prestatie-verleden van verandering in de organisatie 4. Het ontbreken van zichtbare steun en inzet van managers 30

Knowledge Standaarden toepassen Praktische uitwerkingen beleid Opleiding afgestemd op functies en verantwoordelijkheden Inzicht verschaffen: koppeling bedrijfsproces met CS Workshops: Hoe ga je om met.. 31

Ability De kans krijgen om effectief je werk te kunnen doen, niet gehinderd door CS maatregelen. Aandacht op veel verschillende zaken (CS complex speelveld), fouten sluipen erin. Selectie personeel: kunde korte termijn geheugen snel laten landen in lange termijn geheugen (handelingen automatiseren) CS voor 1 organisatie monitoren is inefficiënt: leer van andere organisaties en gebruik kennis die er al is. 32

Reinforcement Lering uit incidenten (feedback loops) Monitoring integreer in organisatie Informatievoorziening bestuurders Cyber Security Management Volwassenheidsniveau SABSA (Security Architecture) Code voor Informatiebeveiliging ISO 27001 certificering ISO 27K standaarden ISA99 (standaard voor Industrial Automation and Control Systems (IACS) Security) NIST (National Institute of Standards and Technology) 33

CS als enabler Geen kostenpost maar enabler voor digitale transformaties! Social-trend: organisatie omgeving door social media Mobile-trend: BYOD 24/7 anywhere BIG-Data: dienstverlening verbeteren / veiligheid Cloud: flexibiliteit Cyber Security thema voor directiekamers! 34

www.cskc.eu rob.broersen@cskc.eu 06-42237288 35

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback