18 maart 2008 De resultaten van het beveiligingsonderzoek 2008 Cees Coumou Security trends 2008/2009.

Slides:



Advertisements
Verwante presentaties
De Generatie Einstein over Herontwerp Rini Weststrate
Advertisements

Kom verder. Saxion. Aantrekkelijk werk voor jongeren in de technische sector. Gezocht: duidelijkheid, structuur en ontwikkeling.
Het tweede werkstuk.
Tevredenheids onderzoek Door Lizanne Jespers HBO-V studente Maart 2014
Door goede gesprekken groeien
1 De overheid wil marktwerking en ondernemerschap bij zorgaanbieders. Dit kan gevolgen hebben voor de kwaliteit, duurzaamheid en financierbaarheid van.
Testdata Management Ketentest
De kracht van it suits IT Als groothandel of brandowner in fashion bent aan het juiste adres voor automatisering en professionalisering van al uw – generieke.
© Copyright 1998 by KPMG Management Consulting N.V. 2.2 De fasen in het leven van de IV- infrastructuur.
Paperless Douane en Accijnzen en Vereenvoudigde procedures
Management Advies Specialisten in dienstverlening, bedrijfsvoering en informatiemanagement bij lokale overheden.
Randstad Werkmonitor state of mind arbeidsmarkt (werknemer perspectief) juli – augustus 2007 B
Een ervaringenlaboratorium: Succesvol samenwerking organiseren.
Thema-bijeenkomst 6 september 2012
De kracht van GAC Business Solutions GAC is meer dan een leverancier van softwareoplossingen. Als business partner zorgen we samen met u voor optimalisatie.
Hoofdstuk 7 Procesmanagement.
CO 2 is, in tegenstelling tot andere emissies zoals NO X, fijn stof, en CO), geen ongewenst neveneffect van de verbranding. CO 2 is geen vervuilend gas.
Hoofdstuk 5 Integer leiderschap
Vrijheid van vestiging
WG. Nieuwe handhaving Peter Musselaers (Nijmegen)
Hoofdstuk 1 Begripsbepaling AO/BIV
© de vries business consultancy, 2008
Introductie OHSAS
Acceptatiemanagement conform B-Accept Winand van Drenth
Edukoppeling certificering
Producten & Werkprocessen
{ Workshop 1 Verantwoordelijkheden, procedures, openbaarheid Peter Horsman.
Strategie en positionering
september 2009 Aanbevelingen van Compliance professionals
Veiligheid in Toverland
Certificering van milieumanagementsystemen volgens NEN-EN-ISO 14001
Spreuken: De nederige wijze.
Een zorgsysteem voor betere arbeidsomstandigheden
Hoofdstuk 6 ICT en management h6.
MANTELZORGCOACH.
Nationale DenkTank 2014 De DataWijzer In één oogopslag zien wat apps en websites met je data doen.
20 mei Symposium Statistical Auditing Slide 1 Wat is eigenlijk auditkwaliteit? Marianne van der Zijde.
E-Business, M-Commerce & Beyond ? Technische verwonderpunten 30 maart 2001 Erasmus Universiteit Arthur Donkers Le Reseau.
IT-audit in de praktijk
Symposium Rechtspositie huishoudelijk personeel 26 november 2015 ‘Werken in het huishouden: geen baan als alle andere’
Hostmanship Wat is het? Waar gaat het om?
DE HRM COCKPIT Naar de ontwikkeling, opvolging en evaluatie van een duurzaam HRM beleid.
Veiligheid in uw BiNaSk-omgeving, vanzelfsprekend?!
De Bouwplaats-ID, een goed idee?
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
DAPPR Samenspel 1. DAPPR Samenspel: doelen & resultaten > Doelen  Vergroten inzicht in eigen rol  Vergroten inzicht in elkaars rol en handelingsmogelijkheden.
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Voorbeeldvraag 1 Welke uitspraak is JUIST: 1. De basisstelling van Nicolas Carr (auteur van "IT doesn't matter") is dat de investeringen die in IT gedaan.
15 maart 2016 TKI Gas Programmalijn LNG Tender 2016, sluiting 14 juni Jeroen van Hengstum, RVO
22 januari 2009 | | Christiaan Buitenhuis en Piet Mulder Doet een goed pensioen er in 2009 nog toe?
Certificering van assetmanagement
Het Virtueel Kantoor Een eerste toelichting op het Virtueel Kantoor voor pgo-organisaties.
Van Arbeid en gezondheid naar duurzame inzetbaarheid? Werkgevers op de barricaden!! Resultaten uit TNO/SEO onderzoek Irene Houtman.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Seminar asset management provincie Noord-Holland Grip op beheer en MEER Asset management in de gemeente Houten 4 maart 2015.
Bedrijfsstijlen in de Multifunctionele Landbouw. Multifunctionele landbouw Afbouwstrategie? Toekomst van de Nederlandse landbouw? Leuk voor erbij? Uitlaatklep.
Gasunie is een van de grootste gasinfrastructuurbedrijven in Europa. Veiligheid heeft binnen Gasunie de hoogste prioriteit; het vormt de basis van onze.
Monitoring De Nieuwe Band Resultaten monitoringsonderzoeken 2010.
Veilig en gezond aan ’t werk, dat raakt iedereen. Goed voor jou en voor de zaak. Samen sterk voor preventie Wat kunt u van Esener opsteken over leiderschap.
Bert Wissink EBC*L Nederland De EBC*L certificaten en diploma’s voor Business Competence, persoonlijke ontwikkeling en Entrepreneurship European Business.
Workshop Peer Review audit Kennisdag 5 juni 2014 Meta Peek.
Meer rendement uit audits! Manon Diepenmaat 28 maart 2013.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Evaluatie FAB-trainingen Mondriaan Parnassia GGz Centraal Een beknopt overzicht van uitkomsten 7 maart 2017.
BASISVEILIGHEID (VCA)
Format Presentatie CISO aan gemeentebestuur
Bescherming Persoonsgegevens
Big Data.
Big Data.
Hoe omarmen Nederlandse non-profit organisaties informatietechnologie?
Transcript van de presentatie:

18 maart 2008 De resultaten van het beveiligingsonderzoek 2008 Cees Coumou Security trends 2008/2009

18 maart 2008 Breed onderzoek naar de stand van zaken rond IB Basis is de Code adressen (incl. PvIB) Individuen die kiezen voor rol als: –Manager –IB Specialist –Gebruiker

18 maart 2008 Marco BarkmeijerInfoblox Kelvin RoriveStrict B.V. Cees CoumouCoumou Security Continued Barry DerksenBisnez Carel AalbersBisnez Jeroen JanssenEssent Peter MeskerJuniper Rien DijkstraNS Rudi EngelbertinkInfraccent Leo Westra3angle Wil van EgdomBT De werkgroep voor de interpretatie

18 maart reacties van adressen: < 4% IB specialisten drukken een stempel

18 maart 2008 Over de invullers: Deelnemers met interesse voor IT en IB De IB Specialisten zijn over het algemeen positiever in hun antwoorden dan de Managers en Gebruikers. Komt dat omdat zij meer kennis, inzicht of bewustzijn hebben?

18 maart 2008 Benchmark met 3 ‘oude’ onderzoeken: F: Commissie Franken, 1986 (computercriminaliteit). 282 ‘grootste ondernemingen en (overheids)instellingen en een steekproef van 569 MKB bedrijven (>50 medewerkers) Bruikbare response: 19,2 % De PC begint aan zijn opmars

18 maart 2008 Benchmark met 3 ‘oude’ onderzoeken: S: Spruijt en Looyen, (effectiviteit getroffen maatregelen) bedrijven en instellingen (>50 medewerkers) Bruikbare response: 18,5 % De Code voor IB verschijnt

18 maart 2008 Benchmark met 3 ‘oude’ onderzoeken: K: KPMG EDP Audit, 1999 (Stand van zaken m.b.t. de Code). 205 organisaties De Code viert haar eerste lustrum

18 maart : IB heeft een duidelijke plaats gekregen Vergelijking van de onderzoeken leert dat IB een plaats heeft in IT management en Enterprise Risk Management. Terminologie die wordt gebruikt, aantal en soort maatregelen is uitgebreid. Eisen aan maatregelen zijn scherper geworden. Het gebruik van hulpmiddelen bij IB is toegenomen.

18 maart 2008 Herkomst invullers 2008 Manager (22%) security specialist security officer (61%) Gebruiker (17%) Consument, Industrie & markt 20,0%60,0%20,0% Financiële dienstverlening 9,5%73,8%16,7% Publieke sector 16,9%67,4%15,7% Telecom, Utiliteit & media 25,0%50,0%25,0% Zakelijke dienstverlening 33,8%46,5%19,7% automatisering 25,6%60,5%14,0% Ondervertegen- woordigd

18 maart > Consument, Industrie & markt 3,4%6,9%51,7%37,9% Financiële dienstverlening 7,7% 33,4%25,6% Publieke sector 9,1%13,7%20,5%30,7%26,2% Telecom, utilit & media 38,5%30,8%15,4% Zakelijke dienstverlening 53,4%15,5%1,7%5,2%24,2% automatisering 25,6%7,0%11,7%11,6%44,2% Totaal 19,6%12,2%15,9%23,0%29,2%

18 maart 2008 Verdeling naar branche: 39% Dienstverleners 31% Publieke sector 30% Rest waarvan 50% “automatisering’

18 maart 2008 Is de organisatie al ISO gecertificeerd? 10 – 12% is dat een succes? Gebruikers weten het niet

18 maart 2008 Benchmark: K (1999): 11% zegt de Code te hebben geïmplementeerd, 15% is dat van plan terwijl 65% dat niet van plan is. Er is een bovengrens aan de wil om een certificaat te behalen (net als bij nieuwjaarsvoornemens)

18 maart 2008 Een volledig beleidsdocument? Managers kennen hun eigen beleid niet

18 maart 2008 Een volledig beleidsdocument? oneenseens weet niet / niet van toepassi ng Consument, Industrie & markt 16,7%66,7%16,7% Financiele dienstverlening 80,0%20,0% Publieke sector 38,5%53,8%7,7% Telecom, Utiliteit & media 100,0% Zakelijke dienstverlening 38,5%53,8%7,7% Automatisering 20,0%80,0% Totaal 26,7%64,4%8,9%

18 maart 2008 Benchmark: F(1986): 69% heeft beleid, 50% vastgelegd in document K(1999): Er zijn wel procedures maar veelal geen overkoepelend beleidsdocument als basis voor IB. Financiële sector loopt voorop met 79%, overheid scoort 45% De bovengrens lijkt al bereikt te zijn

18 maart 2008 Een juiste attitude tegenover IB? Managers zijn pessimist en onwetend

18 maart 2008 Attitude tegenover IB oneenseens weet niet / niet van toepassing Consument, Industrie & markt 50,0%33,3%16,7% Financiele dienstverlening 20,0%60,0%20,0% Publieke sector 69,2%15,4% Telecom, Utiliteit & media 33,3%66,7% Zakelijke dienstverlening 46,2%38,5%15,4% Automatisering 20,0%80,0%0% Total 44,4%37,8%17,8%

18 maart 2008 Juiste attitude IB (volgens M) oneenseensWeet niet 0-50 werknemers 14,3%76,2%9,5% werknemers 50,0% 19%31% werknemers 88% 12% werknemers 40,0% 60,0% >5000 werknemers 100,0% Klein is fijn

18 maart 2008 De beveiligingsfunctionaris De Beveiligingsfunctionaris is bekend. Over onafhankelijke controle zijn de meningen verdeeld. De G weet dat niet (30%)

18 maart 2008 De beveiligings- functionarisoneenseens weet niet / niet van toepassing Consument, Industrie & markt 50,0% Financiele dienstverlening 75,0%25,0% Publieke sector 30,8%69,2% Telecom, Utiliteit & media 75,0%25,0% Zakelijke dienstverlening 45,0%50,0%5,0% Automatisering 30,0%60,0%10,0% Total 38,6%56,1%5,3%

18 maart 2008 Benchmark: F (1986) 28% zegt een specifieke functie te hebben voor IB In 20 jaar tijd is de werkgelegenheid voor IB-ers verdubbeld

18 maart 2008 Consument, Industrie & markt 16,7%50,0%33,3% Financiele dienstverlening 20,0%40,0% Publieke sector 76,9%7,7%15,4% Telecom, Utiliteit & media 33,3% Zakelijke dienstverlening 46,2%15,4%38,5% Automatisering 20,0%60,0%20,0% Total 44,4%26,7%28,9% Controle per branche: een wereld te winnen

18 maart 2008 F (1986): 52% laat ‘het geheel van beveiligingsmaatregelen’ controleren. Benchmark: Dat zou 20 jaar later nog zo kunnen zijn, maar er is ook twijfel

18 maart 2008 Classificatie van bedrijfsmiddelen G weet meer dan S en M denken en weten

18 maart 2008 Classificatie naar branche oneenseens weet niet / niet van toepassing Consument, Industrie & markt 50,0%33,3%16,7% Financiele dienstverlening 40,0%60,0% Publieke sector 46,2%38,5%15,4% Telecom, Utiliteit & media 33,3%66,7% Zakelijke dienstverlening 53,8%38,5%7,7% Automatisering 60,0%40,0% Totaal 48,9%42,2%8,9%

18 maart 2008 Beveiliging van personeel Over het algemeen een grote mate van eenstemmigheid

18 maart 2008 Beveiliging van personeel: functieomschrijving De gebruiker voelt zich op IB niet aangesproken

18 maart 2008 Beveiligingstaken in functiebeschrijvingenoneenseens weet niet / niet van toepassing Consument, Industrie & markt 66,7% 33,3% Financiele dienstverlening 50,0% Publieke sector 46,2%53,8% Telecom, Utiliteit & media 50,0% Zakelijke dienstverlening 44,4% 11,1% Automatisering 40,0%50,0%10,0% Total 43,6% 12,7%

18 maart 2008 Geheimhoudingsverklaring en voorlichting over risico’s is goed voor elkaar Maar het melden van zwakke plekken kan beter

18 maart 2008 Benchmark: F (1986): 25% kent werkinstructies die ‘duidelijk aangeven wat wel en wat niet mag ’ G kent zijn plichten minder dan M en S denken

18 maart 2008 Fysieke beveiliging en beveiliging van de omgeving Ook hier veel overeenstemming

18 maart 2008 Fysieke beveiliging en beveiliging van de omgeving Opvallend is dat volgens 55% van de G het mogelijk is om meer dan één persoon gebruik te laten maken van een toegangspas.

18 maart 2008 Het gebruik van een clear desk policy is gemeengoed geworden. Clear desk policy

18 maart 2008 Consument, Industrie & markt 40,0%60,0% Financiele dienstverlening 40,0%60,0% Publieke sector 46,2% 7,7% 100,0% Zakelijke dienstverlening 41,7%50,0%8,3% Automatisering 40,0%60,0% Total 40,5%54,8%4,8% Telecom, Utiliteit & media Clear desk policy naar branche De publieke sector loopt achter

18 maart 2008 Benchmark: F (1986): invoering van maatregelen tegen fysieke dreigingen op computercentra in 23% tot 42% van de organisaties S (1993/4): meldt percentages tussen 50% en 90% voor maatregelen die door deelnemende organisaties zijn getroffen tegen dreigingen op het fysieke vlak. K (1999): Fysieke maatregelen behalen een niveau van boven 90%. Er is sprake geweest van een remmende voorsprong. IT apparatuur staat tegenwoordig voor een groot gedeelte ‘buiten formele ruimtes’.

18 maart 2008 Computer –en netwerkbeheer Bedieningsprocedures en Verantwoordelijkheid Systeemplanning en Acceptatie Bescherming tegen kwaaadaardige programmatuur en huisregels Computer en netwerkbeheer Virusbescherming: S: 100% M: 94%

18 maart 2008 S (1993/4): 59% doet aan virusdetectie. Benchmark: K (1999): 88% geeft aan “standaarden en procedures te hanteren om computervirussen tegen te gaan” Dat er iets tegen virussen moet worden gedaan, wordt begrepen

18 maart 2008 Toegangsbeveiliging voor systemen De aanwezigheid van controle op toegangsrechten is voor G (29%) onduidelijk. De vragen worden steeds sterk positief beantwoord Men is zich goed bewust van de bestaande maatregelen want de onzekerheid is klein

18 maart 2008 Het gebruik van wachtwoorden en andere regels voor de controle op autorisatie van toegang, is duidelijk en breed aanwezig

18 maart 2008 F (1986): 47% gebruikt wachtwoord, gekoppeld aan één ID-Code. Benchmark: K (1999): wachtwoordsystemen worden het meest (86%) toegepast bij financiële systemen en (83%) kritische systemen.

18 maart 2008 Ontwikkeling en onderhoud van systemen Dat er beveiligingseisen worden gesteld aan informatiesystemen is duidelijk. Dat geldt ook voor de regels omtrent het wijzigingenbeheer Over de validatie van inputgegevens en de verwerking van de gegevens zijn zowel M (25%) en S (23%) onzeker.

18 maart 2008 Continuïteitsplanning Dit is een van de weinige onderwerpen waarbij M positiever is dan S Testen en bijwerken van continuïteitsplannen vindt niet zo regelmatig plaats Procedures voor continuïteitsplannen zijn aanwezig. Een consistente structuur voor dergelijke plannen is er minder vaak Een maximale uitvalduur van 72 uur is gewaarborgd

18 maart 2008 Continuïteit naar branchesoneenseens weet niet / niet van toepassing Consument, Industrie & markt 35,7%64,3% Financiële dienstverlening 4,3%95,7% Publieke sector 49,0%41,2%9,8% Telecom, Utiliteit & media 28,6%42,9%28,6% Zakelijke dienstverlening 37,5%54,2%8,3% Automatisering 23,5%58,8%17,6% Totaal 33,8%57,4%8,8%

18 maart 2008 Testen oneenseens weet niet / niet van toepassing Consument, Industrie & markt 35,7%57,1%7,1% Financiele dienstverlening 26,1%73,9% Publieke sector 54,9%27,5%17,6% Telecom, Utiliteit & media 42,9%28,6% Zakelijke dienstverlening 45,8%37,5%16,7% automatisering 41,2%35,3%23,5% Total 44,1%41,2%14,7%

18 maart 2008 Bijwerken oneenseens weet niet / niet van toepassing Consument, Industrie & markt 42,9%50,0%7,1% Financiele dienstverlening 13,0%87,0% Publieke sector 60,0%24,0%16,0% Telecom, Utiliteit & media 42,9% 14,3% Zakelijke dienstverlening 37,5%41,7%20,8% automatisering 41,2%35,3%23,5% Total 43,0% 14,1%

18 maart 2008 Benchmark: F(1986): Een ‘noodvoorzieningenplan’ is beschikbaar in 44% van de organisaties. Regelmatig testen wordt door 27% van de organisaties gedaan. Er zijn meer CP’s (60%) en die worden beter getest (40%)

18 maart 2008 Toezicht Het voldoen aan wettelijke eisen is goed. M is daar veel onzekerder over dan S. Over het voorkomen van misbruik en het uitvoeren van controles zijn M en S het zo ongeveer eens. De onafhankelijke instantie komt er maar beperkt aan te pas

18 maart 2008 Benchmark: F(1986): Inspectie van de uitvoering van het beveiligingsbeleid wordt in 70% van de organisaties gedaan Wij zijn op het punt van de onafhankelijke controle in 20 jaar niets opgeschoten In 49% van de gevallen wordt daarbij onafhankelijke hulp ingeroepen.

18 maart 2008 Conclusies: De intentie is goed (beleid, organisatie, toezicht) maar de realisatie laat te wensen over. Er is geen sprake van grote stappen. Van dit onderzoek moet een jaarlijkse thermometer worden gemaakt