De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©

Verwante presentaties


Presentatie over: "QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©"— Transcript van de presentatie:

1 QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©

2 Marcel Westerhoud QED Integrity Services ©

3 QED Integrity Services ©

4 QED Integrity Services Integrity Services ©

5 QED Integrity Services ©

6 Niveau 1: Ad hoc maatregelen QED Integrity Services ©

7 Omgeving Activa Waarde Processen Risicoanalyse CIACIA Maatregelen- mix Maatregelen afstemmen op eisen Niveau 2: Klassieke risicobenadering tbv informatiebeveiliging QED Integrity Services ©

8 Tekortkomingen klassieke aanpak Werking Bestaan Opzet QED Integrity Services ©

9 Afstemmen maatregelen op aard frauderisico Preventie, integriteitbevordering Detectie Beperkte control Effect Kans Toezicht Terug QED Integrity Services ©

10 Enkele ontwikkelingen in accountancy QED Integrity Services ©

11 Wat is risico? Risico is de kans op een onzekere gebeurtenis die invloed heeft op het bereiken van doelstellingen. Risico is het product van de kans op een bepaalde bedreiging/mogelijkheid en de omvang van impact op de doelstellingen. Een bedreiging is in deze definitie een onzekere gebeurtenis die een negatieve impact heeft op de doelstellingen en mogelijkheid is een onzekere gebeurtenis die een positieve impact heeft op de doelstellingen QED Integrity Services ©

12 WinstVerlies %€€% Bedreigingen Mogelijkheden Business onderhevig aan risico Risico context Positieve uitkomstenNegatieve uitkomsten Kans op benutten mogelijkheid Kans optreden mogelijkheid Positieve impact op waarde Waarde activa Negatieve impact op waarde Waarde activa Kans op uitbuiten kwetsbaar- heid Kans optreden bedreiging Twee kanten van de medaille QED Integrity Services ©

13 Security driver: Eisen vertaald in termen van security Prestatie indicator Business attributes Meeteenheid Meetmethode Doelstellingen van de business vertalen naar herleidbare/hapklare eenheden KRI’s en Risk appetite Doelstelling/eis van de business QED Integrity Services ©

14 Vertaling van doelstellingen naar security drivers Doelstellingen van de business Bijvoorbeeld: Het leveren van online accountancy diensten Drivers voor security (Aan de doelstellingen gerelateerde eisen die vanuit het oogpunt van security relevant zijn) -Systemen moeten altijd voor klanten beschikbaar zijn -Gegevens dienen altijd up to date en correct te zijn. QED Integrity Services ©

15 Drivers naar Attributes Business Driver Supporting Attributes Systeem voor klanten beschikbaar Toegankelijk, betrouwbaar, change management Gegevens correct en up-to- date Toegankelijk, Tijdig, Accuraat QED Integrity Services ©

16 Business Attributes Management Attributes User Attributes Operational Attributes Risk Management Attributes Technical Strategy Attributes Flexible / Adaptable Scalable Upgradeable Usable Accessible Cost-Effective Efficient Reliable Inter-Operable Trustworthy Reputable Business Strategy Attributes Credible Confident Crime-Free Insurable Compliant Confidential Private Controlled Liability Managed Admissible Resolvable Available Legal / Regulatory Attributes Enforceable Error-Free Non-Repudiable Accountable Auditable Traceable Integrity-Assured Assurable Authorised Governable Business-Enabled Protected Independently Secure Measured Legacy-Sensitive Migratable Flexibly Secure Productive COTS / GOTS Simple Providing Investment Re-use Supportable Automated Standards Compliant Architecturally Open Future-Proof Capturing New Risks Multi-Sourced Extendible Maintainable Consistent Accurate Current Supported Access-controlled In our sole possession Change-managed Informed Owned Identified Authenticated Time-bound Timely Providing Good Stewardship and Custody Assuring Honesty Educated & Aware Motivated Recoverable Duty Segregated Detectable Brand Enhancing Competent Transparent Responsive Anonymous Continuous Monitored Legal Regulated Providing Return on Investment Enabling time-to-market Culture-sensitive Overzicht Business attributes Terug

17 Voorbeeld attribute Change management Veranderingen aan systemen moeten goed gemanaged worden zodat impact op klanten minimaal is Type meeteenheid: soft Meetmethode: Gedocumenteerd changemanagementsysteem aanwezig inclusief history en audit QED Integrity Services ©

18 Voorbeeld attribute Accuraat De informatie aan de gebruikers moeten vallen binnen de kaders die vooraf zijn bepaald Type meeteenheid: hard Meetmethode: Acceptatietest op invoer van data zodat deze voldoen aan vooraf bepaalde regels QED Integrity Services ©

19 Doelstellingen en eisen van de business Transparant en meetbaar Risk management proces Business Attributes Profile Herleidbare maatregelen Transparante Analyse Security drivers Volledigheid en herleidbaarheid Geïntegreerde risicobenadering Een gekwantificceerde risk appetite, vastgesteld door management Een gebalanceerde mix van maatregelen (ICT, mensen en processen) Risk management gebaseerd op expliciete drivers en doelstellingen Een onderbouwde selectie van maatregelen Risico Dashboard Sturen op effect van controls (worden de doelstellingen behaald?) QED Integrity Services ©

20 QED Integrity Services Marcel Westerhoud T:+31 (0) I:www.qed-integrityservices.nl QED Integrity Services ©


Download ppt "QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©"

Verwante presentaties


Ads door Google