De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

18 maart 2008 De resultaten van het beveiligingsonderzoek 2008 Cees Coumou Security trends 2008/2009.

Verwante presentaties


Presentatie over: "18 maart 2008 De resultaten van het beveiligingsonderzoek 2008 Cees Coumou Security trends 2008/2009."— Transcript van de presentatie:

1 18 maart 2008 De resultaten van het beveiligingsonderzoek 2008 Cees Coumou Security trends 2008/2009

2 18 maart 2008 Breed onderzoek naar de stand van zaken rond IB Basis is de Code 8.000 emailadressen (incl. PvIB) Individuen die kiezen voor rol als: –Manager –IB Specialist –Gebruiker

3 18 maart 2008 Marco BarkmeijerInfoblox Kelvin RoriveStrict B.V. Cees CoumouCoumou Security Continued Barry DerksenBisnez Carel AalbersBisnez Jeroen JanssenEssent Peter MeskerJuniper Rien DijkstraNS Rudi EngelbertinkInfraccent Leo Westra3angle Wil van EgdomBT De werkgroep voor de interpretatie

4 18 maart 2008 302 reacties van 8.000 adressen: < 4% IB specialisten drukken een stempel

5 18 maart 2008 Over de invullers: Deelnemers met interesse voor IT en IB De IB Specialisten zijn over het algemeen positiever in hun antwoorden dan de Managers en Gebruikers. Komt dat omdat zij meer kennis, inzicht of bewustzijn hebben?

6 18 maart 2008 Benchmark met 3 ‘oude’ onderzoeken: F: Commissie Franken, 1986 (computercriminaliteit). 282 ‘grootste ondernemingen en (overheids)instellingen en een steekproef van 569 MKB bedrijven (>50 medewerkers) Bruikbare response: 19,2 % De PC begint aan zijn opmars

7 18 maart 2008 Benchmark met 3 ‘oude’ onderzoeken: S: Spruijt en Looyen, 1993-94 (effectiviteit getroffen maatregelen). 1956 bedrijven en instellingen (>50 medewerkers) Bruikbare response: 18,5 % De Code voor IB verschijnt

8 18 maart 2008 Benchmark met 3 ‘oude’ onderzoeken: K: KPMG EDP Audit, 1999 (Stand van zaken m.b.t. de Code). 205 organisaties De Code viert haar eerste lustrum

9 18 maart 2008 2008: IB heeft een duidelijke plaats gekregen Vergelijking van de onderzoeken leert dat IB een plaats heeft in IT management en Enterprise Risk Management. Terminologie die wordt gebruikt, aantal en soort maatregelen is uitgebreid. Eisen aan maatregelen zijn scherper geworden. Het gebruik van hulpmiddelen bij IB is toegenomen.

10 18 maart 2008 Herkomst invullers 2008 Manager (22%) security specialist security officer (61%) Gebruiker (17%) Consument, Industrie & markt 20,0%60,0%20,0% Financiële dienstverlening 9,5%73,8%16,7% Publieke sector 16,9%67,4%15,7% Telecom, Utiliteit & media 25,0%50,0%25,0% Zakelijke dienstverlening 33,8%46,5%19,7% automatisering 25,6%60,5%14,0% Ondervertegen- woordigd

11 18 maart 2008 0-50 50- 250 250- 1.000 1.000- 5.000 > 5.000 Consument, Industrie & markt 3,4%6,9%51,7%37,9% Financiële dienstverlening 7,7% 33,4%25,6% Publieke sector 9,1%13,7%20,5%30,7%26,2% Telecom, utilit & media 38,5%30,8%15,4% Zakelijke dienstverlening 53,4%15,5%1,7%5,2%24,2% automatisering 25,6%7,0%11,7%11,6%44,2% Totaal 19,6%12,2%15,9%23,0%29,2%

12 18 maart 2008 Verdeling naar branche: 39% Dienstverleners 31% Publieke sector 30% Rest waarvan 50% “automatisering’

13 18 maart 2008 Is de organisatie al ISO 17799 gecertificeerd? 10 – 12% is dat een succes? Gebruikers weten het niet

14 18 maart 2008 Benchmark: K (1999): 11% zegt de Code te hebben geïmplementeerd, 15% is dat van plan terwijl 65% dat niet van plan is. Er is een bovengrens aan de wil om een certificaat te behalen (net als bij nieuwjaarsvoornemens)

15 18 maart 2008 Een volledig beleidsdocument? Managers kennen hun eigen beleid niet

16 18 maart 2008 Een volledig beleidsdocument? oneenseens weet niet / niet van toepassi ng Consument, Industrie & markt 16,7%66,7%16,7% Financiele dienstverlening 80,0%20,0% Publieke sector 38,5%53,8%7,7% Telecom, Utiliteit & media 100,0% Zakelijke dienstverlening 38,5%53,8%7,7% Automatisering 20,0%80,0% Totaal 26,7%64,4%8,9%

17 18 maart 2008 Benchmark: F(1986): 69% heeft beleid, 50% vastgelegd in document K(1999): Er zijn wel procedures maar veelal geen overkoepelend beleidsdocument als basis voor IB. Financiële sector loopt voorop met 79%, overheid scoort 45% De bovengrens lijkt al bereikt te zijn

18 18 maart 2008 Een juiste attitude tegenover IB? Managers zijn pessimist en onwetend

19 18 maart 2008 Attitude tegenover IB oneenseens weet niet / niet van toepassing Consument, Industrie & markt 50,0%33,3%16,7% Financiele dienstverlening 20,0%60,0%20,0% Publieke sector 69,2%15,4% Telecom, Utiliteit & media 33,3%66,7% Zakelijke dienstverlening 46,2%38,5%15,4% Automatisering 20,0%80,0%0% Total 44,4%37,8%17,8%

20 18 maart 2008 Juiste attitude IB (volgens M) oneenseensWeet niet 0-50 werknemers 14,3%76,2%9,5% 50-250 werknemers 50,0% 19%31% 250-1000 werknemers 88% 12% 1000-5000 werknemers 40,0% 60,0% >5000 werknemers 100,0% Klein is fijn

21 18 maart 2008 De beveiligingsfunctionaris De Beveiligingsfunctionaris is bekend. Over onafhankelijke controle zijn de meningen verdeeld. De G weet dat niet (30%)

22 18 maart 2008 De beveiligings- functionarisoneenseens weet niet / niet van toepassing Consument, Industrie & markt 50,0% Financiele dienstverlening 75,0%25,0% Publieke sector 30,8%69,2% Telecom, Utiliteit & media 75,0%25,0% Zakelijke dienstverlening 45,0%50,0%5,0% Automatisering 30,0%60,0%10,0% Total 38,6%56,1%5,3%

23 18 maart 2008 Benchmark: F (1986) 28% zegt een specifieke functie te hebben voor IB In 20 jaar tijd is de werkgelegenheid voor IB-ers verdubbeld

24 18 maart 2008 Consument, Industrie & markt 16,7%50,0%33,3% Financiele dienstverlening 20,0%40,0% Publieke sector 76,9%7,7%15,4% Telecom, Utiliteit & media 33,3% Zakelijke dienstverlening 46,2%15,4%38,5% Automatisering 20,0%60,0%20,0% Total 44,4%26,7%28,9% Controle per branche: een wereld te winnen

25 18 maart 2008 F (1986): 52% laat ‘het geheel van beveiligingsmaatregelen’ controleren. Benchmark: Dat zou 20 jaar later nog zo kunnen zijn, maar er is ook twijfel

26 18 maart 2008 Classificatie van bedrijfsmiddelen G weet meer dan S en M denken en weten

27 18 maart 2008 Classificatie naar branche oneenseens weet niet / niet van toepassing Consument, Industrie & markt 50,0%33,3%16,7% Financiele dienstverlening 40,0%60,0% Publieke sector 46,2%38,5%15,4% Telecom, Utiliteit & media 33,3%66,7% Zakelijke dienstverlening 53,8%38,5%7,7% Automatisering 60,0%40,0% Totaal 48,9%42,2%8,9%

28 18 maart 2008 Beveiliging van personeel Over het algemeen een grote mate van eenstemmigheid

29 18 maart 2008 Beveiliging van personeel: functieomschrijving De gebruiker voelt zich op IB niet aangesproken

30 18 maart 2008 Beveiligingstaken in functiebeschrijvingenoneenseens weet niet / niet van toepassing Consument, Industrie & markt 66,7% 33,3% Financiele dienstverlening 50,0% Publieke sector 46,2%53,8% Telecom, Utiliteit & media 50,0% Zakelijke dienstverlening 44,4% 11,1% Automatisering 40,0%50,0%10,0% Total 43,6% 12,7%

31 18 maart 2008 Geheimhoudingsverklaring en voorlichting over risico’s is goed voor elkaar Maar het melden van zwakke plekken kan beter

32 18 maart 2008 Benchmark: F (1986): 25% kent werkinstructies die ‘duidelijk aangeven wat wel en wat niet mag ’ G kent zijn plichten minder dan M en S denken

33 18 maart 2008 Fysieke beveiliging en beveiliging van de omgeving Ook hier veel overeenstemming

34 18 maart 2008 Fysieke beveiliging en beveiliging van de omgeving Opvallend is dat volgens 55% van de G het mogelijk is om meer dan één persoon gebruik te laten maken van een toegangspas.

35 18 maart 2008 Het gebruik van een clear desk policy is gemeengoed geworden. Clear desk policy

36 18 maart 2008 Consument, Industrie & markt 40,0%60,0% Financiele dienstverlening 40,0%60,0% Publieke sector 46,2% 7,7% 100,0% Zakelijke dienstverlening 41,7%50,0%8,3% Automatisering 40,0%60,0% Total 40,5%54,8%4,8% Telecom, Utiliteit & media Clear desk policy naar branche De publieke sector loopt achter

37 18 maart 2008 Benchmark: F (1986): invoering van maatregelen tegen fysieke dreigingen op computercentra in 23% tot 42% van de organisaties S (1993/4): meldt percentages tussen 50% en 90% voor maatregelen die door deelnemende organisaties zijn getroffen tegen dreigingen op het fysieke vlak. K (1999): Fysieke maatregelen behalen een niveau van boven 90%. Er is sprake geweest van een remmende voorsprong. IT apparatuur staat tegenwoordig voor een groot gedeelte ‘buiten formele ruimtes’.

38 18 maart 2008 Computer –en netwerkbeheer Bedieningsprocedures en Verantwoordelijkheid Systeemplanning en Acceptatie Bescherming tegen kwaaadaardige programmatuur en huisregels Computer en netwerkbeheer Virusbescherming: S: 100% M: 94%

39 18 maart 2008 S (1993/4): 59% doet aan virusdetectie. Benchmark: K (1999): 88% geeft aan “standaarden en procedures te hanteren om computervirussen tegen te gaan” Dat er iets tegen virussen moet worden gedaan, wordt begrepen

40 18 maart 2008 Toegangsbeveiliging voor systemen De aanwezigheid van controle op toegangsrechten is voor G (29%) onduidelijk. De vragen worden steeds sterk positief beantwoord Men is zich goed bewust van de bestaande maatregelen want de onzekerheid is klein

41 18 maart 2008 Het gebruik van wachtwoorden en andere regels voor de controle op autorisatie van toegang, is duidelijk en breed aanwezig

42 18 maart 2008 F (1986): 47% gebruikt wachtwoord, gekoppeld aan één ID-Code. Benchmark: K (1999): wachtwoordsystemen worden het meest (86%) toegepast bij financiële systemen en (83%) kritische systemen.

43 18 maart 2008 Ontwikkeling en onderhoud van systemen Dat er beveiligingseisen worden gesteld aan informatiesystemen is duidelijk. Dat geldt ook voor de regels omtrent het wijzigingenbeheer Over de validatie van inputgegevens en de verwerking van de gegevens zijn zowel M (25%) en S (23%) onzeker.

44 18 maart 2008 Continuïteitsplanning Dit is een van de weinige onderwerpen waarbij M positiever is dan S Testen en bijwerken van continuïteitsplannen vindt niet zo regelmatig plaats Procedures voor continuïteitsplannen zijn aanwezig. Een consistente structuur voor dergelijke plannen is er minder vaak Een maximale uitvalduur van 72 uur is gewaarborgd

45 18 maart 2008 Continuïteit naar branchesoneenseens weet niet / niet van toepassing Consument, Industrie & markt 35,7%64,3% Financiële dienstverlening 4,3%95,7% Publieke sector 49,0%41,2%9,8% Telecom, Utiliteit & media 28,6%42,9%28,6% Zakelijke dienstverlening 37,5%54,2%8,3% Automatisering 23,5%58,8%17,6% Totaal 33,8%57,4%8,8%

46 18 maart 2008 Testen oneenseens weet niet / niet van toepassing Consument, Industrie & markt 35,7%57,1%7,1% Financiele dienstverlening 26,1%73,9% Publieke sector 54,9%27,5%17,6% Telecom, Utiliteit & media 42,9%28,6% Zakelijke dienstverlening 45,8%37,5%16,7% automatisering 41,2%35,3%23,5% Total 44,1%41,2%14,7%

47 18 maart 2008 Bijwerken oneenseens weet niet / niet van toepassing Consument, Industrie & markt 42,9%50,0%7,1% Financiele dienstverlening 13,0%87,0% Publieke sector 60,0%24,0%16,0% Telecom, Utiliteit & media 42,9% 14,3% Zakelijke dienstverlening 37,5%41,7%20,8% automatisering 41,2%35,3%23,5% Total 43,0% 14,1%

48 18 maart 2008 Benchmark: F(1986): Een ‘noodvoorzieningenplan’ is beschikbaar in 44% van de organisaties. Regelmatig testen wordt door 27% van de organisaties gedaan. Er zijn meer CP’s (60%) en die worden beter getest (40%)

49 18 maart 2008 Toezicht Het voldoen aan wettelijke eisen is goed. M is daar veel onzekerder over dan S. Over het voorkomen van misbruik en het uitvoeren van controles zijn M en S het zo ongeveer eens. De onafhankelijke instantie komt er maar beperkt aan te pas

50 18 maart 2008 Benchmark: F(1986): Inspectie van de uitvoering van het beveiligingsbeleid wordt in 70% van de organisaties gedaan Wij zijn op het punt van de onafhankelijke controle in 20 jaar niets opgeschoten In 49% van de gevallen wordt daarbij onafhankelijke hulp ingeroepen.

51 18 maart 2008 Conclusies: De intentie is goed (beleid, organisatie, toezicht) maar de realisatie laat te wensen over. Er is geen sprake van grote stappen. Van dit onderzoek moet een jaarlijkse thermometer worden gemaakt


Download ppt "18 maart 2008 De resultaten van het beveiligingsonderzoek 2008 Cees Coumou Security trends 2008/2009."

Verwante presentaties


Ads door Google