De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Modern security landscape

GepubliceerdLeen Meijer Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Modern security landscape"— Transcript van de presentatie:

1 Modern security landscape
What are the new requirements? Ir. Marc Gill’ard MBA Koos van der Spek MSc CISSP Boodschap: Technologie alleen is onvoldoende voor het managen van uw bedrijfsrisico’s. Security verdient een integrale aanpak  Enterprise Risk Management als richting. 0. Lollige of interactieve start (Grap, Vragen, Feiten, wist u dat?...) 1. Nieuwe risico’s bedreigen uw organisatie! Opzet: recente voorbeelden laten zien en daarna onze visie vertellen. Internet: Voorbeelden: virtuele bankoverval UK, DDoS regering.nl en overheid.nl, phishing Postbank. Visie: De aard veranderd van brede virussen en wormen naar meer sophisticated en targetted attacks. Continuïteit: Voorbeelden: stroomuitval, bommelding NS/Utrecht, wateroverlast. (recente voorbeelden zoeken) Visie: allemaal dreigingen die in Nederland geen fictie meer zijn maar realiteit. Fraude: Voorbeelden: ??? Visie: naarmate de voordeur beter beveiligd is gaan criminelen op zoek naar ‘openstaande achterdeuren’. Mijn visie is dat incidenten met bewuste of onbewuste medewerking door interne medewerkers zullen toenemen. Mobile Office: Voorbeelden: persberichten uit presentatie RijkZwaan: diefstal laptops, data, verlies data Visie: mobiliteit kun je als organisatie niet meer ontkennen, maar moet je veilig faciliteren. Dus laptopbeveiliging, veilige WLAN’s, veilige PDA’s, encrypted USB-sticks, etc 2. Tegelijkertijd nemen eisen aan betrouwbaarheid van uw organisatie toe! Wordt u ook gek van alle eisen? Regelgever  wetgeving, compliance. Compliance mafia’. Voorbeelden Sox, Tabaksblad, etc. Visie: regelgeving is goed, maar balans is zoek. Ik kom in de praktijk organisatie tegen waarbij de contyrole van een proces duurder is dan de uitvoering van het proces. Klanten  security. Certificering, audits. Voorbeelden: zaal? Visie: organisatie opereren in ketens. Deel veiligheid ligt dus buiten de deur. Eisen nemen dus toe. Partners  Certificering, audits Voorbeelden: eisen creditcardmpijen Visie: partners zijn onderdeel van uw value chain. Zie klanten. Consumenten  veilige producten Voorbeelden: Actie Digitale Veiligheid consumentenbond. Visie: veilige producten zijn goed, maar consument blijft ook zelf verantwoordelijkheid houden. Vergelijk snelweg. Management  voorkomen schade, managen bedrijfsrisico’s Voorbeelden: imago en financiele schade door incident Visie: risicomanagement wordt een belangrijkere competence voor organisaties 3. En nu, welke acties moet u nemen? Mooi plaatje integrale aanpak tonen: organisatie, processen, fysiek, technologie en awareness. Bijv. security architectuurplaatje of risicomanagementplaatje. Essentieel dat techniek goed terugkomt, want daar komen de aanwezigen waarschijnlijk voor. Visie: balans is essentieel. Awareness is de sleutel voor effectieve security. Technologie is keiharde randvoorwaarde. Volgende sprekers zullen u meer in detail oplossingen laten zien. 4. Tot slot: Technologie alleen is onvoldoende voor het managen van uw bedrijfsrisico’s. Security verdient een integrale aanpak  Enterprise Risk Management als richting. Het is aan u om de handschoen op te pakken en security voor uw organisatie een integrale invulling te geven!

2 Internet is het medium voor elektronische dienstverlening en communicatie
2

3 3

4 4

5 Dear Postbank Customer,
Juni 2005 Dear Postbank Customer, This was sent by the Postbank server to verify your address. You must complete this process by clicking on the link below and entering in the small window your Postbank online access details. This is done for your protection - because some of our members no longer have access to their addresses and we must verify it. To verify your address, click on the link below. April 2006 Geachte Postbank klant, We willen u hierbij informeren over de nieuwe mogelijkheden van MyPostbank Plus ++. Enige tijd geleden hebben we u geinformeerd over dit onderwerp vandaar dat u nu een bevestiging ter controle krijgt. Hierbij verzoeken we u om uw 'persoonlijke identiteit' vast te stellen. Klik op de onderstaande link om uw gegevens te verifieren. Alvast bedankt, Ron van Kemenade directie Postbank.nl 5

6 6

7 Conclusies Aanvallen veranderen van aard: van vandalisme naar criminaliteit. Sophisticated en targetted attacks nemen toe Voorbeeld is de mislukte virtuele bankoverval in de UK waarin bijna 350 miljoen euro werd buitgemaakt. Naarmate de voordeur beter beveiligd is zullen criminelen op zoek gaan naar ‘openstaande achterdeuren’. Naar verwachting zullen daarom incidenten met bewuste of onbewuste medewerking van interne medewerkers toenemen. 7

8 Overal en altijd kunnen werken
Mobiliteit Overal en altijd kunnen werken 8

9 Geheime, militaire gegevens over Afghanistan zijn uitgelekt doordat een landmachtofficier een USB-stick in een huurauto liet liggen 2 FEBRUARI 2006 […] De stick die de landmachtofficier in de huurauto heeft laten liggen,bevat een mengelmoes van briefings die zijn gehouden met andere troepencontingenten van de NAVO in Afghanistan en notulen van vergaderingen en militaire planning. Er staan gedetailleerde luchtfoto's op van grote legerbases in Afghanistan, maar er zijn ook stafkaartjes waarop is te zien waar special forces zijn gelegerd […] 9

10 10

11 11

12 Conclusies Met enige regelmaat staat in de pers dat informatie op straat ligt. Fokke & Sukke relativeren dat wel goed. Mobiliteit kan een organisatie niet meer ontkennen, maar moet veilig gefaciliteerd worden. Devices worden steeds kleiner met steeds meer toepassingsmogelijkheden en enorme opslagcapaciteit. Beveiliging van vertrouwelijke gegevens en backup van bedrijfskritische data is essentieel. 12

13 Business Continuity Management
Hoe gaat uw organisatie om met een calamiteit? 13

14 14

15 15

16 16

17 Conclusies Organisatie zijn blootgesteld aan dreigingen, die in het verleden in Nederland vrijwel niet voorkwamen maar nu realiteit zijn. Voorbeelden hiervan zijn langdurige stroomuitval, verdachte pakketjes en bommeldingen. In de praktijk hebben maar weinig organisaties de verantwoordelijkheid voor Business Continuity Management belegd en hiervoor een beleid geformuleerd. Uit onderzoek dat wij vorig jaar samen met de Erasmus Universiteit hebben uitgevoerd onder 30 grote organisaties blijkt dat dit bij ongeveer 40% het geval is. Ongeveer de helft heeft een business continuity plan voor het geval een calamiteit zich voordoet. En ongeveer 20% van deze organisaties oefent dit plan ook integraal: organisatie, processen en techniek. Kortom Business Continuity Management verdient een hogere plek op de bestuursagenda. 17

18 … en de eisen nemen toe! Regelgever Klanten Anderen Organisatie
Basel2 Sox WBP … Anderen Leveranciers Brancheorganisatie Werknemers Accountant etc.etc.etc.etc Klanten Organisatie Management ERM Policies Controle … Partners Consument 18

19 Eisen, eisen, eisen, … De regelgever of toezichthouder stelt steeds meer eisen aan uw organisatie. Sox, Tabaksblad en Basel II zijn slechts enkele voorbeelden. Voor veel organisaties verschuift nu de focus van compliant worden, naar betaalbaar en werkbaar compliant blijven. Ook klanten stellen steeds vaker eisen aan de beveiliging van uw organisatie, omdat u onderdeel uitmaakt van hun waardeketen. In de praktijk zien wij steeds vaker dat klantorganisaties om certificering vragen of zelf audits uitvoeren. Voor de partners waarmee u samenwerkt geldt iets vergelijkbaars. Zij zijn van uw organisatie afhankelijk en stellen daarom steeds vaker eisen aan de beveiliging. Consumenten eisen veilige producten. De actie Digitale Veiligheid van de Consumentenbond is hier een goed voorbeeld van. Veilige producten zijn goed, maar een consument blijft ook zelf verantwoordelijkheid houden. Ook in de auto moet u zelf uw gordel omdoen. Management wil vanzelfsprekend de bedrijfsrisico’s managen en schade voorkomen. En dit zijn slechts enkele van de partijen die eisen stellen… 19

20 Integrale beveiliging
20

21 En nu, welke acties moet u nemen?
Er zijn nieuwe risico’s en eisen nemen toe. Alleen met een integrale aanpak kunnen deze risico’s beheerst worden: Technologische maatregelen: Access Control, Firewalls, VPN’s, IDS/IPS etc. Fysieke maatregelen: toegangsbeveiliging, sprinklers, UPS, etc. Organisatie, beleid en procedurele maatregelen: medewerkers moeten weten wat te doen en hoe te handelen. Awareness: de sleutel voor effectieve beveiliging. Security moet in de genen van uw medewerkers zitten. Een gezonde balans is daarbij essentieel. 21

22 Aanpak voor integraal risicomanagement
Stap 1 Quick Scan Stap 2 Quick Wins Stap 4 Kritische processen Stap 3 Generiek basisniveau Inzicht in huidige beveiligingsniveau en belangrijkste verbetergebieden - VKA Quick Scan tool - Interviews - Best-practice - Roadmap Selecteer en realiseer Quick Wins - Top 10 maatregelen - Veel impact met beperkte inspanning en kosten Leg fundament voor informatiebeveiliging - ISO17799/NEN7510 - Beveiligingsplan op basis van quick scan - Managementsysteem Neem additionele maatregelen voor de meest kritische processen - Inventarisatie kritische processen Uitvoeren Risico-analyses Implementeren maatregelen Integraal Risicomanagement Verandermanagement Security awareness 22

23 Kenmerken van onze aanpak
Praktijk: gebaseerd op de praktijk. Optimaal hergebruik van best-practices. Realistisch: een advies over te implementeren maatregelen is voor de meeste organisaties niet te overzien. Begin bij de basis en doe meer voor kritische processen. Groeipad: een organisatie kan niet van de ene op de andere dag security mature worden met een goed geoliede security organisatie en perfect geïmplementeerde maatregelen. Kosteneffectief: maak een kosten-baten afweging. Start met de maatregelen met de meeste impact, die tegen beperkte inspanning en kosten te realiseren zijn. 23

24 Tot slot Uw organisatie is blootgesteld aan nieuwe risico’s, terwijl de eisen aan uw organisatie toenemen. Technologie alleen is onvoldoende voor het managen van uw bedrijfsrisico’s. Informatiebeveiliging verdient een integrale aanpak  integraal risicomanagement. U heeft een praktische aanpak gezien om uw risico’s te managen. Het is aan u om de handschoen op te pakken en informatiebeveiliging voor uw organisatie een integrale invulling te geven! 24

25 25

26 Email: marc.gillard@vka.nl Website: www.vka.nl
Baron de Coubertinlaan 1, 2719 EN Zoetermeer, The Netherlands. Tel +31(0) , Fax +31(0) Koos van der Spek Website: Baron de Coubertinlaan 1, 2719 EN Zoetermeer, The Netherlands. Tel +31(0) , Fax +31(0) 26

Download ppt "Modern security landscape"

Verwante presentaties

Maak een scan van uw organisatie met de Toolkit Duurzame Inzetbaarheid

Maak een scan van uw organisatie met de Toolkit Duurzame Inzetbaarheid
Auditen op succes waarderend auditen

Auditen op succes waarderend auditen
De zin en onzin van escrow

De zin en onzin van escrow
Sudoku puzzels: hoe los je ze op en hoe maak je ze?

Sudoku puzzels: hoe los je ze op en hoe maak je ze?
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Menno Karres Lead Auditor

Menno Karres Lead Auditor
1 De invloed van de organisatie op het meldgedrag van managers en medewerkers: een kijkje in de keuken Muel Kaptein Transparency International, April 21,

1 De invloed van de organisatie op het meldgedrag van managers en medewerkers: een kijkje in de keuken Muel Kaptein Transparency International, April 21,
Live Cameratoezicht Wij letten voor u op 30/1/2013

Live Cameratoezicht "Wij letten voor u op" 30/1/2013
2 Wat was toen het grootste het grootste probleem van de van de FOD?

2 Wat was toen het grootste het grootste probleem van de van de FOD?
Projecties van zorgkosten voor astma, COPD en respiratoire allergie

Projecties van zorgkosten voor astma, COPD en respiratoire allergie
Wij, in een veranderende markt Platform Wonen Leeuwarden Ger W. Hukker, 5 april 2012.

Wij, in een veranderende markt Platform Wonen Leeuwarden Ger W. Hukker, 5 april 2012.
Onderwerpen Oude situatie Eerste aanpak en problemen

Onderwerpen Oude situatie Eerste aanpak en problemen
1 Wat is microfinanciering ? 2 1. De financiële behoefte.

1 Wat is microfinanciering ? 2 1. De financiële behoefte.
Veiligheidsincidenten de afgelopen maand? 21 mei 2012 2.

Veiligheidsincidenten de afgelopen maand? 21 mei
Dienstverlening Dyade in het kader van SEPA. Overzicht Quick scan Projectmanagement Advies acceptgiro’s Machtigingenadministratie.

Dienstverlening Dyade in het kader van SEPA. Overzicht Quick scan Projectmanagement Advies acceptgiro’s Machtigingenadministratie.
H4: Begrijpen van de markt

H4: Begrijpen van de markt
Coaching, hefboom voor leiderschapsontwikkeling?

Coaching, hefboom voor leiderschapsontwikkeling?
01 van 06 Portal4U Loe Hameleers Twan Saleming Klanten: Wat kost dat artikel? Wanneer wordt geleverd? Die werkt hier niet meer.. Die factuur ken ik niet.

01 van 06 Portal4U Loe Hameleers Twan Saleming Klanten: Wat kost dat artikel? Wanneer wordt geleverd? Die werkt hier niet meer.. Die factuur ken ik niet.
Ronde (Sport & Spel) Quiz Night !

Ronde (Sport & Spel) Quiz Night !
© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.

© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.

Verwante presentaties

Ads door Google