Informatiebeveiliging: Investering of kostenpost?

Slides:

Advertisements

Verwante presentaties

Defining a standard JSON-based exchange format for learning metadata Manon Haartsen.

Advertisements

Update on EduStandard: public-private platform in Dutch education Henk Nijstad, Kennisnet / november 2013.

Help, ik moet naar Office 2007!?. Wat horen wij bij klanten Training “New UI will cause too big of a loss in productivity” Training “New UI will cause.

Agenda Blok 1 - Evolutie van Cloud Computing

BizTalk by Design Steef-Jan Wiggers.

Atos, Atos and fish symbol, Atos Origin and fish symbol, Atos Consulting, and the fish itself are registered trademarks of Atos Origin SA. August 2006.

Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.

Social Technographics Hoe ontwikkel je een succesvolle social media strategie? Reineke Reitsma Director, Consumer Technographics Forrester Research 11.

Smart Style on the Semantic Web Lynda Hardman CWI, Multimedia and Human-Computer Interaction TU/e, Multimedia and Internet Technology.

Proces tot standkoming architectuur

Customer confidential

Sex, drugs and rock n' roll 2.0: Wat kunnen we leren van evenementen? Dr. Walther Ploos van Amstel Vrije Universiteit/TNO Mobility.

Bedrijfs processen overzicht

1 Informatiebeveiliging If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr If anything can go wrong, it will.

Finance & Business Control

Megatrends, besturen en talent

Open Access en de universiteit IQ healthcare Bart Staal.

QAD Reporting & Analytics

Programmeren in Java met BlueJ

Private cloud / hosted citrix / virtualisatie All the same Studiedag ’cloud iets voor uw bestuur?’

Door G. Blezer CPS Color Business Intelligence IT voor BI Business intelligence Pyramid Ondersteuning IT bij BI stadiums Decision Support Systems Model-driven.

Gezondheidszorg Microsoft Dynamics Harco van Polen

Scaling up testing and counselling as it looks from treatment data monitoring perspectives: The applied research outcomes and the policy implications it.

Accessible Instructional Materials. § Discussion: Timely access to appropriate and accessible instructional materials is an inherent component.

1 Presenting Borealis 2006 © 2005 Borealis A/S Presenting Borealis A leading, innovative provider of plastics solutions February 2007.

DATA over. Visie Elk jaar neemt behoefte aan data en interactie tussen systemen (zowel B-2- B als B-2-C) exponentieel toe; daarom zal het structureren.

Realisten aan het roer Naar een prestatiegerichte governance van IT Verkenningsinstituut Nieuwe Technologie NGI Groningen, 13 april 2004.

Corporate Communications February 2011 Succesvol met Outsourcing Gerben Edelijn, CEO Thales Nederland.

© 2004 IBM Corporation Guts Wissema, OpenSource & Linux Sales, IBM Open Document Format.

Presentatie IA Solutions 2005: Programma generatie voor: PLC en SCADA Een update van deze PPT is te downloaden op: Rob Kits - Technisch.

GOVERNANCE & COMPLIANCE ADVISORY Onderzoek kwaliteit beleidsuitvoering vergunningverlening en -handhaving Gemeente Almelo Internal Audit, Risk and Compliance.

F LLL EX LL FLLLEX Radar A self-asessment instrument for Lifelong Learning in profession oriented Higher Education Margriet de Jong Irène Hermans Klaas.

Social Technology How to get the end-user involved Carl Bik Capgemini Nederland bv.

Identification Documents Port of Ghent All documents in this leaflet are copies of identification/legitimation documents that authorise persons to access.

Faculteit Ingenieurswetenschappen & Wetenschappen Software Engineering Publicatie Management Systeem Groep se1 Software Engineering Thierry Coppens.

Light models Waarom? Mockup Independent Mark up Analyse geometrie samenstellingen >100+ Downstream gebruik Exact/gefacetteerd.

1 HOORCOLLEGE Hoorcollege CRM en Interactieve marketing (Thema Marketing & Communicatie Sjo Smeets)

1 HOORCOLLEGE Customer Relationship Management

In samenwerking met het Europees Sociaal Fonds en het Hefboomkrediet The role of APEL in career coaching and competence management Competence navigation.

Specialismen Analyse en verificatie van protocollen Analyse van Petri-netten Component-specificatie Web-based information systems (Query)talen voor Web.

Enterprise Application Integration Walter Moerkerken Ilona Wilmont Integratie Software Systemen 8 mei 2006.

Integratie Software Systemen Alonso, Casati, Kunu & Machiraju Web Services - Concepts, Architectures and Applications Hoofdstuk 5 – Webservices Danny Romme.

Organisatie voor Economische Samenwerking en Ontwikkeling

SPLA Service Provider License Agreement

Microsoft Partner Network

Client Management met ConfigMgr Jannes Alink – Management.

Interoperabiliteit Microsoft Nederland National Technology Officer.

Microsoft Partner Programma

Applicatieplatform congres 12 & 13 maart

Rob Elsinga Business Group Lead Information Worker Microsoft Nederland 18 maart 2009 Infrastructuur voor Het Nieuwe Werken.

Advanced Business Information Solutions Interactieve marketing.

3.6 Architecture of HIS. 3.7 Integrity & Integration within HIS Suraja Padarath /10/2007.

Marketing: Veranderingen in Belang en Rol

Automation SolutionsMFG/Pro Dutch usergroup 8 februari 2007 ISA S88 & S95 Het gebruik van deze normen in de productie.

Geheugen, distributie en netwerken Netwerken: de basis voor distributie van gegevens en taken (processen) –bestaan zo’n 40 jaar, zeer snelle ontwikkeling.

The new standard in Logistics CAROZ Edgard Hendrikse Business Development Director.

Context-Driven Adaptation of Mobile Services Vergadering met Gebruikerscommissie na jaar 2.

Introductie Cloud Computing Ruud Ramakers 19 April 2012 The best way to predict the future is to create it. Peter Drucker

© Copyright VIMC 2009 Telecom Expense Management A Discussion Ed Vonk

Ontstaan van het Rode Kruis 1859Veldslag in Solferino 1863Comité voor verzorging van gewonde soldaten 1864Eerste verdrag van Genève 1867Oprichting Nederlandse.

AOPA KNVvL 1 Safety Management System (SMS) The Basics Paul van den Berk AOPA KNVvL Lelystad.

1Security Technology PICT les 1 ICT Techniek - les 7 - onderwerpen Operating Systems n Waarom een OS? n Soorten n Taken n Opbouw n Processen.

Ontbijtsessie 2 juli 2014 Kwaliteitsverbeteringen in Infra Projecten.

Klantkennis Geïndividu- Relatie- Multi

Usability metrics Gebruiksvriendelijkheid ISO Effectiveness Efficiency Satisfaction Learnability Flexibility En nu? Inleiding Hoe gaan we de gebruiksvriendelijkheid.

Het geheim van Linked Data Marcel ReuversGeonovum CB-NL 20 november 2014.

Dr. Karen Maas 3 september 2010

Duurzame oplossingen het FIETS model. Het FIETS model Een eenvoudig model dat je helpt om na te denken over duurzame oplossingen. Het gaat om deze aspecten:

IBM Software A vehicle manufacturer deploys business rules in one hour instead of a week IBM Operational Decision Manager software helps speed new business.

Transcript van de presentatie:

Informatiebeveiliging: Investering of kostenpost? QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©

Marcel Westerhoud QED Integrity Services ©

QED Integrity Services ©

QED Integrity Services © Integrity Services

QED Integrity Services ©

Niveau 1: Ad hoc maatregelen Technisch Organisatorisch Fysiek QED Integrity Services ©

Niveau 2: Klassieke risicobenadering tbv informatiebeveiliging Omgeving Activa Waarde Processen Maatregelen- mix C I A Risicoanalyse Maatregelen afstemmen op eisen QED Integrity Services ©

Tekortkomingen klassieke aanpak Werking Bestaan Opzet QED Integrity Services ©

Afstemmen maatregelen op aard frauderisico Preventie, integriteitbevordering Effect Detectie Toezicht Beperkte control Kans Terug QED Integrity Services ©

Enkele ontwikkelingen in accountancy QED Integrity Services ©

Wat is risico? Risico is de kans op een onzekere gebeurtenis die invloed heeft op het bereiken van doelstellingen. Risico is het product van de kans op een bepaalde bedreiging/mogelijkheid en de omvang van impact op de doelstellingen. Een bedreiging is in deze definitie een onzekere gebeurtenis die een negatieve impact heeft op de doelstellingen en mogelijkheid is een onzekere gebeurtenis die een positieve impact heeft op de doelstellingen QED Integrity Services ©

Twee kanten van de medaille Business onderhevig aan risico Negatieve uitkomsten Positieve uitkomsten Risico context Bedreigingen Business onderhevig aan risico Mogelijkheden % € € % Kans optreden bedreiging Waarde activa Waarde activa Kans optreden mogelijkheid Kans op uitbuiten kwetsbaar-heid Negatieve impact op waarde Positieve impact op waarde Kans op benutten mogelijkheid Verlies Winst QED Integrity Services ©

Doelstellingen van de business vertalen naar herleidbare/hapklare eenheden Doelstelling/eis van de business Meeteenheid KRI’s en Risk appetite Security driver: Eisen vertaald in termen van security Prestatie indicator Meetmethode Business attributes QED Integrity Services ©

Vertaling van doelstellingen naar security drivers van de business Bijvoorbeeld: Het leveren van online accountancy diensten Drivers voor security (Aan de doelstellingen gerelateerde eisen die vanuit het oogpunt van security relevant zijn) Systemen moeten altijd voor klanten beschikbaar zijn Gegevens dienen altijd up to date en correct te zijn. QED Integrity Services ©

Drivers naar Attributes Business Driver Supporting Attributes Systeem voor klanten beschikbaar Toegankelijk, betrouwbaar, change management Gegevens correct en up-to-date Toegankelijk, Tijdig, Accuraat QED Integrity Services ©

Overzicht Business attributes User Attributes Management Attributes Operational Attributes Risk Management Attributes Legal / Regulatory Attributes Technical Strategy Attributes Business Strategy Attributes Accessible Automated Available Access-controlled Admissible Architecturally Open Brand Enhancing Accurate Change-managed Detectable Accountable Compliant COTS / GOTS Business-Enabled Anonymous Continuous Error-Free Assurable Enforceable Extendible Competent Consistent Controlled Inter-Operable Assuring Honesty Insurable Flexible / Adaptable Confident Current Cost-Effective Productive Auditable Legal Future-Proof Credible Duty Segregated Efficient Recoverable Authenticated Liability Managed Legacy-Sensitive Culture-sensitive Educated & Aware Maintainable Authorised Regulated Migratable Enabling time-to-market Informed Measured Capturing New Risks Resolvable Multi-Sourced Governable Motivated Confidential Time-bound Scalable Monitored Providing Good Stewardship and Custody Crime-Free Simple Protected Supportable Providing Investment Re-use Reliable Flexibly Secure Standards Compliant Identified Traceable Responsive Providing Return on Investment Transparent Independently Secure Upgradeable Reputable Supported In our sole possession Timely Integrity-Assured Usable Non-Repudiable Terug Owned Private Trustworthy

Type meeteenheid: soft Voorbeeld attribute Veranderingen aan systemen moeten goed gemanaged worden zodat impact op klanten minimaal is Change management Type meeteenheid: soft Meetmethode: Gedocumenteerd changemanagementsysteem aanwezig inclusief history en audit QED Integrity Services ©

Type meeteenheid: hard Voorbeeld attribute De informatie aan de gebruikers moeten vallen binnen de kaders die vooraf zijn bepaald Accuraat Type meeteenheid: hard Meetmethode: Acceptatietest op invoer van data zodat deze voldoen aan vooraf bepaalde regels QED Integrity Services ©

Geïntegreerde risicobenadering Risk management gebaseerd op expliciete drivers en doelstellingen Een gekwantificceerde risk appetite, vastgesteld door management Een onderbouwde selectie van maatregelen Een gebalanceerde mix van maatregelen (ICT, mensen en processen) Doelstellingen en eisen van de business Business Attributes Profile Herleidbare maatregelen Transparante Analyse Security drivers Transparant en meetbaar Risk management proces Volledigheid en herleidbaarheid Risico Dashboard Sturen op effect van controls (worden de doelstellingen behaald?) QED Integrity Services ©

QED Marcel Westerhoud T: +31 (0) 6 122 699 24 Integrity Services Marcel Westerhoud T: +31 (0) 6 122 699 24 E: m.westerhoud@qed-integrityservices.nl I: www.qed-integrityservices.nl QED Integrity Services ©