De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Informatiebeveiliging: Investering of kostenpost?

GepubliceerdKlaas Devos Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Informatiebeveiliging: Investering of kostenpost?"— Transcript van de presentatie:

1 Informatiebeveiliging: Investering of kostenpost?
QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©

2 Marcel Westerhoud QED Integrity Services ©

3 QED Integrity Services ©

4 QED Integrity Services © Integrity Services

5 QED Integrity Services ©

6 Niveau 1: Ad hoc maatregelen
Technisch Organisatorisch Fysiek QED Integrity Services ©

7 Niveau 2: Klassieke risicobenadering tbv informatiebeveiliging
Omgeving Activa Waarde Processen Maatregelen- mix C I A Risicoanalyse Maatregelen afstemmen op eisen QED Integrity Services ©

8 Tekortkomingen klassieke aanpak
Werking Bestaan Opzet QED Integrity Services ©

9 Afstemmen maatregelen op aard frauderisico
Preventie, integriteitbevordering Effect Detectie Toezicht Beperkte control Kans Terug QED Integrity Services ©

10 Enkele ontwikkelingen in accountancy
QED Integrity Services ©

11 Wat is risico? Risico is de kans op een onzekere gebeurtenis die invloed heeft op het bereiken van doelstellingen. Risico is het product van de kans op een bepaalde bedreiging/mogelijkheid en de omvang van impact op de doelstellingen. Een bedreiging is in deze definitie een onzekere gebeurtenis die een negatieve impact heeft op de doelstellingen en mogelijkheid is een onzekere gebeurtenis die een positieve impact heeft op de doelstellingen QED Integrity Services ©

12 Twee kanten van de medaille Business onderhevig aan risico
Negatieve uitkomsten Positieve uitkomsten Risico context Bedreigingen Business onderhevig aan risico Mogelijkheden % % Kans optreden bedreiging Waarde activa Waarde activa Kans optreden mogelijkheid Kans op uitbuiten kwetsbaar-heid Negatieve impact op waarde Positieve impact op waarde Kans op benutten mogelijkheid Verlies Winst QED Integrity Services ©

13 Doelstellingen van de business vertalen
naar herleidbare/hapklare eenheden Doelstelling/eis van de business Meeteenheid KRI’s en Risk appetite Security driver: Eisen vertaald in termen van security Prestatie indicator Meetmethode Business attributes QED Integrity Services ©

14 Vertaling van doelstellingen naar security drivers
van de business Bijvoorbeeld: Het leveren van online accountancy diensten Drivers voor security (Aan de doelstellingen gerelateerde eisen die vanuit het oogpunt van security relevant zijn) Systemen moeten altijd voor klanten beschikbaar zijn Gegevens dienen altijd up to date en correct te zijn. QED Integrity Services ©

15 Drivers naar Attributes
Business Driver Supporting Attributes Systeem voor klanten beschikbaar Toegankelijk, betrouwbaar, change management Gegevens correct en up-to-date Toegankelijk, Tijdig, Accuraat QED Integrity Services ©

16 Overzicht Business attributes
User Attributes Management Attributes Operational Attributes Risk Management Attributes Legal / Regulatory Attributes Technical Strategy Attributes Business Strategy Attributes Accessible Automated Available Access-controlled Admissible Architecturally Open Brand Enhancing Accurate Change-managed Detectable Accountable Compliant COTS / GOTS Business-Enabled Anonymous Continuous Error-Free Assurable Enforceable Extendible Competent Consistent Controlled Inter-Operable Assuring Honesty Insurable Flexible / Adaptable Confident Current Cost-Effective Productive Auditable Legal Future-Proof Credible Duty Segregated Efficient Recoverable Authenticated Liability Managed Legacy-Sensitive Culture-sensitive Educated & Aware Maintainable Authorised Regulated Migratable Enabling time-to-market Informed Measured Capturing New Risks Resolvable Multi-Sourced Governable Motivated Confidential Time-bound Scalable Monitored Providing Good Stewardship and Custody Crime-Free Simple Protected Supportable Providing Investment Re-use Reliable Flexibly Secure Standards Compliant Identified Traceable Responsive Providing Return on Investment Transparent Independently Secure Upgradeable Reputable Supported In our sole possession Timely Integrity-Assured Usable Non-Repudiable Terug Owned Private Trustworthy

17 Type meeteenheid: soft
Voorbeeld attribute Veranderingen aan systemen moeten goed gemanaged worden zodat impact op klanten minimaal is Change management Type meeteenheid: soft Meetmethode: Gedocumenteerd changemanagementsysteem aanwezig inclusief history en audit QED Integrity Services ©

18 Type meeteenheid: hard
Voorbeeld attribute De informatie aan de gebruikers moeten vallen binnen de kaders die vooraf zijn bepaald Accuraat Type meeteenheid: hard Meetmethode: Acceptatietest op invoer van data zodat deze voldoen aan vooraf bepaalde regels QED Integrity Services ©

19 Geïntegreerde risicobenadering
Risk management gebaseerd op expliciete drivers en doelstellingen Een gekwantificceerde risk appetite, vastgesteld door management Een onderbouwde selectie van maatregelen Een gebalanceerde mix van maatregelen (ICT, mensen en processen) Doelstellingen en eisen van de business Business Attributes Profile Herleidbare maatregelen Transparante Analyse Security drivers Transparant en meetbaar Risk management proces Volledigheid en herleidbaarheid Risico Dashboard Sturen op effect van controls (worden de doelstellingen behaald?) QED Integrity Services ©

20 QED Marcel Westerhoud T: +31 (0) 6 122 699 24
Integrity Services Marcel Westerhoud T: +31 (0) E: I: QED Integrity Services ©

Download ppt "Informatiebeveiliging: Investering of kostenpost?"

Verwante presentaties

Defining a standard JSON-based exchange format for learning metadata Manon Haartsen.

Defining a standard JSON-based exchange format for learning metadata Manon Haartsen.
Update on EduStandard: public-private platform in Dutch education Henk Nijstad, Kennisnet / november 2013.

Update on EduStandard: public-private platform in Dutch education Henk Nijstad, Kennisnet / november 2013.
Help, ik moet naar Office 2007!?. Wat horen wij bij klanten Training “New UI will cause too big of a loss in productivity” Training “New UI will cause.

Help, ik moet naar Office 2007!?. Wat horen wij bij klanten Training “New UI will cause too big of a loss in productivity” Training “New UI will cause.
Agenda Blok 1 - Evolutie van Cloud Computing

Agenda Blok 1 - Evolutie van Cloud Computing
BizTalk by Design Steef-Jan Wiggers.

BizTalk by Design Steef-Jan Wiggers.
Atos, Atos and fish symbol, Atos Origin and fish symbol, Atos Consulting, and the fish itself are registered trademarks of Atos Origin SA. August 2006.

Atos, Atos and fish symbol, Atos Origin and fish symbol, Atos Consulting, and the fish itself are registered trademarks of Atos Origin SA. August 2006.
Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.

Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.
Social Technographics Hoe ontwikkel je een succesvolle social media strategie? Reineke Reitsma Director, Consumer Technographics Forrester Research 11.

Social Technographics Hoe ontwikkel je een succesvolle social media strategie? Reineke Reitsma Director, Consumer Technographics Forrester Research 11.
Smart Style on the Semantic Web Lynda Hardman CWI, Multimedia and Human-Computer Interaction TU/e, Multimedia and Internet Technology.

Smart Style on the Semantic Web Lynda Hardman CWI, Multimedia and Human-Computer Interaction TU/e, Multimedia and Internet Technology.
Proces tot standkoming architectuur

Proces tot standkoming architectuur
Customer confidential

Customer confidential
Sex, drugs and rock n' roll 2.0: Wat kunnen we leren van evenementen? Dr. Walther Ploos van Amstel Vrije Universiteit/TNO Mobility.

Sex, drugs and rock n' roll 2.0: Wat kunnen we leren van evenementen? Dr. Walther Ploos van Amstel Vrije Universiteit/TNO Mobility.
Bedrijfs processen overzicht

Bedrijfs processen overzicht
1 Informatiebeveiliging If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr. - 1949 If anything can go wrong, it will.

1 Informatiebeveiliging If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr If anything can go wrong, it will.
Finance & Business Control

Finance & Business Control
Megatrends, besturen en talent

Megatrends, besturen en talent
Open Access en de universiteit IQ healthcare Bart Staal.

Open Access en de universiteit IQ healthcare Bart Staal.
QAD Reporting & Analytics

QAD Reporting & Analytics
Programmeren in Java met BlueJ

Programmeren in Java met BlueJ
Private cloud / hosted citrix / virtualisatie All the same Studiedag ’cloud iets voor uw bestuur?’

Private cloud / hosted citrix / virtualisatie All the same Studiedag ’cloud iets voor uw bestuur?’

Verwante presentaties

Ads door Google