Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging
Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging hoe? Verbetering?
Voorstellen Jorrit van de Walle Achtergrond: Operational- en IT auditor, projectmanager, adviseur Lead auditor ISO 27000 (informatiebeveiliging) en ISO9001:2008 (kwaliteitsmanagement) 19 jaar overheid Ministerie van Defensie en gemeenten Regelmatig op de bühne met trainingen, workshops en presentaties. Echtgenote, zoon en dochter. Twitter: @audittrail_nl Partner bij het Business & IT Trends Institute (BITTI) Opgericht 1995 (KPMG), separaat per 2010 met 9 collega s Onafhankelijk benchmark, assesment, audit en adviesbureau op het snijvlak van business en IT www.bitti.nl twitter: @BITTInl
Informatiebeveiliging waarom? Stellingen: Informatiebeveiliging is niet belangrijk Informatiebeveiliging is goed geregeld Het meest lastige onderwerp van IB is.
Informatiebeveiliging waarom? Ziekenhuis verliest laptop met gegevens 4800 patiënten De belangrijkste trend op het gebied van informatiebeveiliging is het almaar toenemende belang ervan. In het algemeen kan worden gesteld dat dit belang toeneemt, naarmate het aantal mensen met toegang tot de diverse informatiebronnen groter wordt.
Informatiebeveiliging waarom? IB is volwassen maar nog steeds een top 10 item bron: Business & IT Trends bij woningcorporaties, pagina 44
Stand van zaken Vier recente benchmarks op Informatiebeveiliging: 2008-2009 Nederlands brede professionaliteit benchmark naar IB met 338 deelnemende organisaties (alle branches, inclusief corporaties). 2009 onderzoek IB volwassenheid bij 165 corporaties 2010-2011 IB benchmark gemeenten incl. audit op opzet en bestaan van IB Gericht op het onderkennen van verbeteracties en implementatie daarvan 2011 Quick Scan informatiebeveiliging onder deelnemers seminar corporaties (29 respondenten) Allen op basis van de code voor informatiebeveiliging (ISO27002). alle kennis/kunde/ervaring aanwezig, gebruik deze!
Stand van zaken peiling Een vraag naar aanleiding van de code voor informatiebeveiliging, ten opzichte van de cijfers uit de quick scan Per goed antwoord een punt Degene met de meeste punten is de winnaar De winnaar wint
Stand van zaken peiling Algemeen: Welke hoofdstukken van de code voor informatiebeveiliging scoren het best? A: IB beleid en organisatie van IB B: fysieke beveiliging en toegangsbeveiliging C: toegangsbeveiliging en naleving Antwoord B: fysieke beveiliging en toegangsbeveiliging
Stand van zaken peiling Hoofdstuk 4 Beveiliging van personeel Hoeveel % van de onderzochte woningcorporaties neemt bedrijfsmiddelen meestal in na einde van het dienstverband? A: minder dan 40% B: minder dan 70% C: 70% of meer Antwoord C: 75% neemt meestal de bedrijfsmiddelen in (dus ook autorisaties); 25% altijd.
Stand van zaken peiling Hoofdstuk 10 - Continuïteitsplanning Bij hoeveel % worden continuïteitsplannen regelmatig opnieuw beoordeeld en de continuïteitsvoorzieningen (uitwijk, back-up en recovery) volgens een vaste frequentie getest? Geen meerkeuze, noem het percentage Antwoord: 20% Overigens is in 67% van de onderzochte corporaties uitwijk, back-up en recovery op zichzelf wél geregeld.
Stand van zaken conclusies Quick scan De klassieke onderwerpen als fysieke beveiliging en toegangsbeveiliging scoren goed. Beleid scoort minder goed sluit aan de op de algemene trend (zoals ook bij gemeenten). Oorzaken kunnen zijn onbekendheid of onderschatting van het management. Organisatorische maatregelen zoals naleving en incidentenbeheer scoren eveneens minder goed (incidentenbeheer duidelijk onder de norm). Uitwijk is veelal geregeld, echter een visie op continuïteitsplanning en management is minder geborgd.
Stand van zaken conclusies Quick scan Quick scan Informatie Beveiliging totaal niet van toepassing niet van toepassing beperkt van toepassing van toepassing volledig van toepassing 20 18 16 14 12 10 8 6 4 2 0 Uw organisatie beschikt over een RECENT EN VAN TOEPASSING ZIJNDE beleidsdocument voor informatiebeveiliging. Uw organisatie beschikt over een INFORMATIE beveiligingsfunctionaris EN EEN AANTAL MENSEN WERKEN GEORGANISEERD AAN INFORMATIE BEVEILIGING Er wordt een inventaris bijgehouden van bedrijfsmiddelen (INFORMATIE, mobiele, telefoons en laptops) en het overzicht wordt regelmatig geactualiseerd. Ook wordt hierop gestuurd! Bij de beëindiging van het dienstverband worden alle bedrijfsmiddelen geretourneerd (zoals mobiele telefoon en laptops) EN AUTORISATIES WORDEN INGETROKKEN (TOEGANG TOT SYSTEMEN, Beveiligde zones zijn zodanig beschermd dat alleen bevoegd personeel wordt toegelaten (zoals serverruimten, werkruimten, niet voor publiek toegankelijke ruimten) Adequate functiescheiding is toegepast, zowel in besluitprocessen als in het toekennen van de autorisatie in applicaties Toegangsrechten tot ruimten en applicaties, en het gebruik van (eventuele) speciale bevoegdheden worden periodiek gecontroleerd Bij de aanschaf of uitbreiding van een informatiesysteem zijn beveiligingsmaatregelen in het programma van eisen opgenomen. Er zijn formele procedures vastgesteld voor het melden en afhandelen van beveiligingsincidenten en de gemelde incidenten worden periodiek geëvalueerd De continuïteitsplannen worden regelmatig opnieuw beoordeeld en de continuïteitsvoorzieningen, zoals uitwijk, back-up en recovery worden volgens een vaste frequentie getest. Alle maatregelen op het terrein van informatiebeveiliging worden jaarlijks diepgaand gecontroleerd door een interne en externe onafhankelijke instantie.
Stand van zaken conclusies algemeen Informatiebeveiliging wordt relevanter door verdergaande digitalisering, het toepassen van mobiele apparatuur en het toegang geven van klanten en leveranciers tot bedrijfsinformatie. Informatiebeveiliging krijgt vaak te weinig aandacht. Vooral de organisatorische kant blijft vaak achter bij genomen maatregelen in de techniek. De code voor informatiebeveiliging (ISO27002) biedt een goed raamwerk voor het op orde krijgen van informatiebeveiliging.
Informatiebeveiliging hoe? Ook informatiebeveiliging heeft een levenscyclus Werking Bestaan Documentatie (opzet) benut deze!
ISO27002 biedt een goed raamwerk NEN-ISO/IEC 27002 (code voor informatiebeveiliging) beslaat 11 onderwerpen: 1. IT-beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Beveiliging van personeel 5. Fysieke beveiliging (omgeving) 6. Beheer van communicatie en bedieningsprocessen 7. Toegangsbeveiliging 8. Aanschaf, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiliging incidenten 10. Continuïteitsplanning 11. Naleving voor het op orde krijgen van informatiebeveiliging
Verbetering? Beginnen bij het begin: bepaal de stand bij uw corporatie Meten is weten; deelname aan benchmark Informatiebeveiliging voor woningcorporaties?
Verbetering (2) Waar liggen uw sterke en zwakke punten? Sterke punten: benut deze! Behoeven ook minder aandacht Geef zwakke punten specifieke aandacht; breng focus aan in uw activiteiten.
Risico response Vier acties Vermijden Accepteren Overdragen Verminderen
Breng structuur aan! (gebruik een model) Benchmark Audit
Na het meten: Risicoanalyse starten of uitbreiden Bepalen risk-appetite (Eventueel) documentatie bijwerken Opstellen implementatieplan Uitvoeren implementatie
En dan: Meten of de gestelde doelen behaald zijn en welke verbeteringen mogelijk zijn. (continue verbetering). Nieuwe innovaties en dreigingen blijven monitoren.
Informatiebeveiliging En waar loopt u nu tegen aan? Uitwisselen tips en trucs kennis en kaartjes..
Informatiebeveiliging Informatiebeveiliging omdat het moet! Business & IT Trends voor woningcorporaties Hoofdstuk 13
Contact informatie: BITTI bv. Tel. 071-8795174 info@bitti.nl 25 Jorrit van de Walle Mob: 06-105 311 81 Email: jorrit.vandewalle@bitti.nl BITTI BV. 2011
Informatiebeveiliging waarom? Welke risico s loopt een corporatie? Algemeen Medewerkers Informatiehuishouding ICT assets
Stand van zaken peiling Hoofdstuk 1 IT Beveiligingsbeleid: Hoeveel % van de onderzochte woningcorporaties heeft een formeel en afdoende beveiligingsbeleid? A: minder dan 10% B: minder dan 60% C: 60% of meer Antwoord B: 10% heeft afdoende beleid heeft, en 45% in beperkte mate afdoend.
Stand van zaken peiling Hoofdstuk 6 Aanschaf en onderhoud van informatiesystemen Hoeveel % van de onderzochte woningcorporaties heeft bij de aanschaf of uitbreiding van een informatiesysteem beveiligingsmaatregelen in het programma van eisen opgenomen. A: minder dan 40% B: minder dan 70% C: 70% of meer Antwoord B: 45% houdt hier rekening mee.
Stand van zaken peiling Hoofdstuk 9 - Beheer van informatiebeveiligingsincidenten Bij hoeveel % van de onderzochte woningcorporaties is er een afdoende procedure om meldingen van beveiligingsincidenten te rapporteren aanwezig? A: minder dan 50% B: minder dan 80% C: 80% of meer Antwoord A: slechts 10% heeft een afdoende procedure (45% in beperkte mate).