BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk

Doel en doelgroep Doel Gericht op beveiligingsmaatregelen eenvoudig selecteerbaar verbeterde totale beveiliging tegen relatief lagere kosten Gericht op continuïteit van organisatieprocessen ICT organisaties of afdelingen MKB

Integratie risicomanagement Personeel Materieel Informatie Financiën ziekte motivatie kennis ... brand inbraak diefstal ... afluisteren virus hacker ... valuta rente claims ... Beleid Organisatie Selectie maatregelen Toepassing maatregelen

Schade als percentage van omzet: 0.17% Risico’s materieel Schade als percentage van omzet: 0.17% (bron: Jaarboek Beveiliging) Kans op externe criminaliteit: 42% (bron: Stichting Trendmeter 1998) Verdeling kansen

Schade als percentage van omzet: 0.16% Verdeling schade Risico’s informatie Schade als percentage van omzet: 0.16% (bron: CSI/FBI 2001) Verdeling schade

Bedreigingen MKB Materieel BORG Overige regelingen Informatie ICT hoog (bron: Kwint 2002) Materieel BORG onbevoegde indringing (inbraak, diefstal) Overige regelingen brand bliksem ... Informatie ICT hoog virussen stroomuitval brand / waterschade ICT midden diefstal gegevens door hacker diefstal computers uitval internet ICT laag niet zakelijk gebruik internet door mdws veranderen website

Informatiebedreigingen MKB reëel? (bron: Kwint 2002, Crypsys 2003)

Preventieve uitgaven voor beveiliging Materieel 0.21% omzet (bron: Beveiligings jaarboek) Informatie 0.16% - 0.32% omzet (bron: Heliview 2002, Gartner 2001) (16% automatiserings-budget)

Conclusie informatiebeveiliging MKB Passende maatregelen ontbreken veelal afhankelijkheid van informatie niet onderkend kennis maatregelen ontbreekt (bron: Kwint 2002) MKB wil pragmatische hulp bij informatiebeveiliging Tijd voor BORG en CvIB (Code voor Informatiebeveiliging)?

Essentie BORG en CvIB BORG CvIB kwaliteitssysteem erkenning beveiligingsbedrijven en -installaties Nationaal Centrum voor Preventie (NCP) CvIB beste praktijkmethoden voor bedrijfsleven NEN-norm, afgeleid van ISO-norm, verzameling informatiebeveiligings-maatregelen Min EZ / NNI

Bij integratie te behouden principes BORG assets als te beschermen objecten risicoklassen eenvoudige bepaling risicoklasse elke maatregel heeft bepaalde zwaarte sommige maatregelen zijn uitwisselbaar certificering van installatie geeft premiereductie CvIB informatie als primair te beschermen ‘objecten’ BIV breed scala aan bedreigingen, risico’s en maatregelen onderscheid tussen objectgroepen mogelijk, met elk een passend beveiligingsregime certificering van proces mogelijk

Stappen bij selectie van maatregelen BORG bepalen BORG risicoklasse bepalen BORG maatregelclusters ICT bepalen ICT risicoklasse bepalen ICT maatregelclusters BORG & ICT samenstellen maatregelmix

Bepaling risicoklassen BORG aard object (productiebedrijf, kantoor, …) 5 - 8 pt ligging object (buiten, binnen gebied) 4 - 6 pt waarde & attractiviteit goederen 2 - 12 pt ICT aard automatisering (primair proces, onder-steunend proces, ...) 5 - 8 pt ligging automatisering (fysiek en logisch) 4 - 6 pt waarde & attractiviteit info 2 - 12 pt voor anderen (branche * info type) voor MKB (misbaarheid * herstelbaarheid) indeling info type conform CBP

Risicoklassen m.b.t. bedrijven en instellingen BORG klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 - 20 pt klasse 4: > 20 pt ICT klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 -20 pt klasse 4: > 20 pt

Maatregelen indeling BORG ICT organisatorisch bouwkundig elektronisch compartimentering meeneembeperking alarmopvolging ICT organisatorisch (beleid, IB organisatie, toezicht op naleving, ...) voorschriften (procedures, huisregels, bewustwording, ...) logische toegang (user ids, passwords, anti-virus, netwerk, firewall, …) continuïteit (UPS, back-up, calamiteitenplan, uitwijk,..)

Maatregelclusters BORG ICT klasse 1: Bn of Bs+Es klasse 2: Bn+Es of Bs+Es+Cn klasse 3: Bz+En of Bs+En+Cn klasse 4: Bz+Ez of Bn+Ez+Cz ICT klasse 1: iO1+iV1+iL1+iC1 klasse 2: iO1+iV1+iL2+iC2 of … (6 pt) klasse 3: iO2+iV2+iL2+iC2 of … (8 pt) klasse 4: iO3+iV2+iL2+iC3 of … (10 pt) indeling niveaus conform Common Criteria

Maatregelen CvIB Voorbeeld iO1 = eindverantwoordelijke IB, controle door de ‘lijn’, ... iO2 = beleid, eigenaars bedrijfsmiddelen, overzicht bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, … iO3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, ...

Definitieve selectie maatregelenmix Afweging ICT maatregelen tegen BORG maatregelen