Business Impact Assessment m.b.v. SABSA Business Attributes

Vergelijkbare documenten
Enterprise Security Architecture A BUSINESS DRIVEN APPROACH AAD UITENBROEK COMPETENCE CENTER SECURITY 0 / MAXIMAAL DRIE WOORDEN

Brochure SABSA A1 Module

Informatieveiligheid, de praktische aanpak

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Acceptatietesten

Informatiebeveiliging & Privacy - by Design

Hebt u ze op een rijtje?

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Brochure SABSA A3 Module

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

NAF Opzet Werkgroepen

O R M Wat is een risico? Retail 2

Keuzevrijheid en flexibiliteit in cloud-oplossingen voor je werkplek. Verantwoording over de gehele IT-keten, van werkplek tot aan datacenter

In Control op ICT in de zorg

Berry Kok. Navara Risk Advisory

Brochure SABSA A3 Module

DATAMODELLERING CRUD MATRIX

Security (in) architectuur

I-FourC Technologies. Digitaal en mobiel werken in de juridische praktijk. 1 => 3 x 3

NS in beweging, Security als business enabler september 2008

CYBER SECURITY MONITORING

Brochure SABSA Foundation

Seriously Seeking Security

FUSIE en Transitie naar de CLOUD. ( vanuit een GREEN-FIELD gedachte )

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Compliance risicoanalyse

Data Protection Impact Assessment (DPIA)

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Naar een nieuw Privacy Control Framework (PCF)

Brochure Business Continuity & ICT

TAM. Control Model for Effective Testing

IT voor Controllers Mark Vermeer, CIO

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

B l u e D o l p h i n

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Meer Business mogelijk maken met Identity Management

Wat komt aan bod? Inleiding Wat is GDPR? En wat is ISO 27001? Full package om uw bedrijf voor te bereiden op de GDPR.

BUSINESS RISK MANAGEMENT

Agile : Business & IT act as one

Vertrouwen in ketens. Jean-Paul Bakkers

Beveiligingsbeleid Stichting Kennisnet

BEVEILIGINGSARCHITECTUUR

Van idee tot ICT Oplossingen

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

Code of Conduct CSR certificering

Gemeente Alphen aan den Rijn

Datalek dichten en voorkomen. 21 april 2017

De beheerrisico s van architectuur

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

Curriculum Afkortingen Bachelor Informatica Propedeuse Postpropedeuse Start Vervolg Afsluiting 60,0 Gebonden keuze (8,6 EC) Afsluiting

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

Security manager van de toekomst. Bent u klaar voor de convergentie?

HORA als instrument voor (IT) governance bij Hogeschool Utrecht

Curriculum Afkortingen Bachelor Informatica Propedeuse Postpropedeuse Start Vervolg Afsluiting 60,0 Gebonden keuze (8,6 EC) Afsluiting

Enterprise Resource Planning

Functieprofiel Functionaris Gegevensbescherming

Strategisch en tactisch advies van hoog niveau

Business Continuity Management. Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN

Factsheet DATALEKKEN COMPLIANT Managed Services

Regie op persoonsgegevens. Ron Boscu Directeur

Security risk: Ik heb maar circa 20 minuten om u bij te praten Facility meets IT

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Van Bragt Informatiemanagement

KPMG s Identity and Access Management Survey 2008

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Waarom privacy een relevant thema is En wat u morgen kunt doen

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

Microsoft Partner. 2-Control B.V.

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Risicomanagement bij veranderingen

Stichting NIOC en de NIOC kennisbank

Business Risk Management? Dan eerst data op orde!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Informatiebeveiligingsbeleid

Het Sebyde aanbod. Secure By Design

Resultaat gerichter Testen

ENUM in Nederland. Themabijeenkomst SIPSIG Nummerportabiliteit en ENUM Cees Pannekoek 30 november ICT Management & Consultancy BV

AVG Verplichting? Of een kans?

Big Data bij de Rabobank

KIM. Slimme acties ondernemen

Risk & Compliance Charter Clavis Family Office B.V.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

bcpi.eu BCPI BCPI Visie De BCPI Visie kan als volgt worden weergegeven:

we secure YOUR network Veilige verbindingen Ries van Son

Gevolgen terroristische aanslag in Nederland voor de Hotellerie. Specifiek voor hotels die dagelijks veel buitenlandse gasten verwelkomen

Dé cloud bestaat niet. maakt cloud concreet

HET GAAT OM INFORMATIE

Document Versie: 1.0

Hoe migreer je naar de Cloud. Wilbert van Beek Directeur

Effective IT Procurement Van A naar Beter. Jeroen van de Rijt Corine van Weijen

ad Matres Upgrade Functioneel Beheer Een functioneel beheerder op maat Professionele begeleiding Ervaren kandidaten

Volwassen Informatiebeveiliging

BizPlan SIRA. & Risicomonitoring. Asya Oosterwier. Module 5 D2 Nederlands Compliance Instituut

Transcriptie:

Business Impact Assessment m.b.v. SABSA Business Attributes Pieter Jan Visser, 30 maart 2017

Business Impact Assessment m.b.v. SABSA Business Attributes De plek van de BIA in een informatiebeveiliging advies SABSA en Business Attributes BIA o.b.v. Business Attributes, een casus: De Goede Doelen Organisatie: PBB

BIA in de context van een Informatiebeveiliging advies Beschikbaarheid Integriteit Vertrouwelijkheid Business Attributes Business Impact Assessment Vaststellen Informatie landschap Scoping Vaststellen Organisatorische en IT context Dreigingen, gebeurtenissen, kwetsbaarheden en inherente kans Risico s analyseren Aanvullende maatregelen benoemen Advies

SABSA (Sherwood Applied Business Security Architecture) SABSA: Methodologie voor het ontwikkelen van een risico gedreven Security en Enterprise architectuur SABSA is Business Driven => business requirements staan centraal Bappen : Van Business Requirements naar Business Attributes

Bappen: Van Business Requirement naar Business Attribute Business Requirements Voor het leveren van diensten is de organisatie zeer afhankelijk van de ITinfrastructuur. 99% van de tijd moet de IT infrastructuur gebruikt kunnen worden. Business Drivers ICT-infrastructuur 99% beschikbaar Business Attributes Availability (Beschikbaarheid)

Van Business Requirement naar Business Attribute

Een Casus BIA op basis van SABSA Business Attributes uitgewerkt a.d.h.v. een casus De Goede Doelen Organisatie: PBB Vraagstelling: Is onze informatiebeveiliging op orde en zo niet, wat moeten we doen om het op orde te krijgen?

Een Casus Paashaas Bevrijdingsbond (PBB) Motto: Geen haas met een mand in Nederland! Doelstelling: Een Nederland waarin hazen niet langer worden gedwongen om als paashaas onbetaald werk te verrichten! De Ideas to PBB Interconnect krijgt B.V. geen subsidie Pieter en Jan Visser volledig 06-53460017 afhankelijk

Scoping Paashaas Bevrijdingsbond Processen: Finance & Control Logistiek Communicatie (website) Beheer donateurs Verzenden (e-)mailings naar (potentiele) donateurs Hazen Alarm Centrale Hazenopvang Informatiesystemen: KA VoIP telefonie Mobiele telefonie Mobiele werkplek Website Finanzs PromoPlus Donatio

Van Business Requirement naar Business Attributes Business Requirements Voor het leveren van diensten is de organisatie zeer afhankelijk van de ITinfrastructuur. 99% van de tijd moet de IT infrastructuur gebruikt kunnen worden. Donateurs zijn alleen bereid om hun geld te doneren aan een organisatie die open en transparant is over de werkwijze en de besteding van het geld Business Drivers ICT-infrastructuur 99% beschikbaar Maximale transparantie voor donateurs Business Attributes Availability (Beschikbaarheid) Transparant (Transparantie)

Business Attributes Paashaas Bevrijdingsbond (PBB) type Business Attribute Stelling: "Het is van belang dat " User attribute Accessible de medewerker of donateur de benodigde informatie eenvoudig kan vinden en gebruiken. User attribute Transparent het voor de medewerker en donateur duidelijk is waarom bepaalde handelingen binnen het proces plaats moeten vinden. Management Costattribute effective dat donateursgeld effectief en zonder verspilling wordt besteed. Operational het bedrijfsproces beschikbaar is (hoe lang kan het bedrijfsproces 'uit de lucht' zijn en wat is Available attribute de impact als dat langer is?) Risk de vertrouwelijkheid van de informatie is gegarandeerd. De informatie mag niet in handen management Confidential vallen van ongeautoriseerde personen. attribute Risk management attribute Legal and regulatory attribute Integrityassured Regulated de juistheid van de informatie is gegarandeerd: de informatie mag niet ongeautoriseerd gewijzigd worden. het bedrijfsproces voldoet aan geldende wet- en regelgeving.

Proces: Communicatie (website) Business Attribute Accessible Transparent Costeffective Available Confidential Integrityassured Stelling: "Het is van belang dat " de medewerker of donateur de benodigde informatie eenvoudig kan vinden en gebruiken. het voor de medewerker en donateur duidelijk is waarom bepaalde handelingen binnen het proces plaats moeten vinden. dat donateursgeld op de juiste wijze wordt besteed. het bedrijfsproces beschikbaar is (hoe lang kan het bedrijfsproces 'uit de lucht' zijn en wat is de impact als dat langer is?) de vertrouwelijkheid van de informatie is gegarandeerd. De informatie mag niet in handen vallen van ongeautoriseerde personen. de juistheid van de informatie is gegarandeerd: de informatie mag niet ongeautoriseerd gewijzigd worden. Ideas het to bedrijfsproces Interconnect B.V. voldoet aan Regulated geldende wet- en regelgeving. relevant voor proces? (ja/nee)? Ja Ja Ja Ja Ja Ja Business Impact score Toelichting bij falen 4. Zeer groot gevolg 3. Aanmerkelijk gevolg 4. Zeer groot gevolg 3. Aanmerkelijk gevolg 4. Zeer groot gevolg 4. Zeer groot gevolg Pieter Jan 2. Visser Klein 06-53460017 Ja gevolg Alvorens ze kunnen doneren moeten nieuwe donateurs eerst een account aanmaken op de 'Mijn Paashaas' omgeving. Als het lastig is om een account aan te maken, dan haakt een donateur af. Hierdoor nemen de inkomsten af en komt uiteindelijk het bestaansrecht van de organisatie in gevaar. Donateurs geven bij het registreren persoonlijke informatie vrij. Als het niet duidelijk is waarom dit gebeurt of wat de PBB met deze informatie doet, dan zal een donateur mogelijk afhaken of onvolledig registreren. Het budget voor communicatie moet zo effectief mogelijk worden aangewend. Als naar buiten zou komen dat geld van donateurs bij communicatie wordt verspild, dan kan dit hele grote gevolgen hebben op zowel de toekomstige donaties als de bereidheid van vrijwilligers om zich in te zetten. Op termijn heeft dit dan ook zeer grote gevolgen voor het redden van Paashazen. Maximaal 15 minuten onbeschikbaar. Daarna wordt het wel vervelend als potentiele donateurs zich niet kunnen aanmelden en bestaande donateurs hun gegevens niet kunnen inzien en wijzigen. Op den duur kan dit negatieve gevolgen hebben op het vertrouwen dat mensen in de PBB hebben. Donateurs laten confidentiele informatie achter op de website. Als deze informatie grootschalig uitlekt, dan zal dit het vertrouwen in de PBB zeer ernstig schaden en zullen donateurs zich in grote getalen terugtrekken en komt het voortbestaan van de organisatie serieus De informatie die donateurz achterlaten op de website is van groot belang voor een juiste communicatie met de donateurs. Mocht deze informatie op de een of andere wijze in het ongerede raken, dan loopt de inforamtie verkeerd en haken donatuers af. Bij communicatie moet met name rekening gehouden worden met de Wet Bescherming Persoonsgegevens.

BIA Matrix Paashaas Bevrijdingsbond (PBB) Business Attributes Available max. Onbeschikbaar (uur) Integrity assured Confidential Accessible Transparant Regulated Proces Finance & Control 2 72,00 4 4 2 3 4 x x Logistiek 1 24,00 2 2 2 1 1 x x Communicatie (website) 4 0,15 4 4 4 3 2 x x x Beheer donateurs 2 1,00 4 4 3 3 2 x x x x x Verzenden (e-)mailings 2 72,00 1 2 2 1 2 x x x Hazen Alarm Centrale 4 0,15 1 1 1 1 1 x x x Hazenopvang 4 0,30 1 1 1 1 1 x x KA VoIP telefonie Mobiele telefonie Mobiele werkplek Website Finanzs PromoPlus Donatio Maximale onbeschikbaarheid (uur) Hoogste score Beschikbaarheid Hoogste score Integriteit Hoogste score Vertrouwelijkheid 0,15 0,15 1 0,15 0,15 1 72 1 4 4 2 4 4 2 2 2 4 4 4 4 4 4 1 4 4 4 4 4 4 4 2 4 Hoogste score Accessible 4 3 3 4 4 3 2 3 Hoogste score Transparant 3 3 3 3 3 3 1 3 Hoogste score Regulated Pieter Jan 4 Visser 2 06-53460017 2 2 2 4 2 2

BIA in de context van een Informatiebeveiligingadvies Business Attributes Beschikbaarheid Integriteit Vertrouwelijkheid Business Impact Assessment Available Business Attributes Business Attributes max. max. Onbeschikbaar (uur) (uur) Integrity assured assured Confidential Accessible Transparant Regulated Proces Finance Proces & Control 2 72,00 4 4 2 3 4 x x Finance Logistiek & Control 21 72,00 24,00 42 42 2 31 41 x x x x Communicatie Logistiek (website) 14 24,00 0,15 24 24 24 13 12 x x x x Communicatie Beheer donateurs (website) 42 0,15 1,00 4 4 43 3 2 x x x x x x x Verzenden Beheer donateurs (e-)mailings 2 72,00 1,00 41 42 32 31 2 x x x x x x Verzenden Hazen Alarm (e-)mailings Centrale 24 72,00 0,15 1 21 21 1 21 x x x x x Hazen Hazenopvang Alarm Centrale 4 0,15 0,30 1 1 1 1 1 x x x Hazenopvang 4 0,30 1 1 1 1 1 x x Maximale onbeschikbaarheid (uur) 0,15 0,15 1 0,15 0,15 1 72 1 Maximale Hoogste onbeschikbaarheid score Beschikbaarheid (uur) 0,15 4 0,15 4 12 0,15 4 0,15 4 12 72 2 12 Hoogste score Hoogste Beschikbaarheid score Integriteit 4 4 24 4 4 24 21 24 Hoogste score Hoogste Vertrouwelijkheid score Integriteit 4 4 4 4 4 4 12 4 Hoogste score Vertrouwelijkheid 4 4 4 4 4 4 2 4 Hoogste score Accessible 4 3 3 4 4 3 2 3 Hoogste score Transparant Accessible 43 3 3 43 43 3 21 3 Hoogste score score Transparant Regulated 34 32 32 32 32 34 12 32 Hoogste score Regulated 4 2 2 2 2 4 2 2 KA KA VoIP telefonie VoIP telefonie Mobiele telefonie Mobiele telefonie Mobiele werkplek Mobiele werkplek Website Website Finanzs Finanzs PromoPlus PromoPlus Donatio Donatio Vaststellen Informatie landschap Vaststellen Organisatorische en IT context Risico s analyseren Aanvullende maatregelen benoemen Advies Dreigingen, gebeurtenissen, kwetsbaarheden en inherente kans

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback