De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Informatiebeveiliging: Investering of kostenpost?

Verwante presentaties


Presentatie over: "Informatiebeveiliging: Investering of kostenpost?"— Transcript van de presentatie:

1 Informatiebeveiliging: Investering of kostenpost?
QED Integrity Services Informatiebeveiliging: Investering of kostenpost? QED Integrity Services ©

2 Marcel Westerhoud QED Integrity Services ©

3 QED Integrity Services ©

4 QED Integrity Services © Integrity Services

5 QED Integrity Services ©

6 Niveau 1: Ad hoc maatregelen
Technisch Organisatorisch Fysiek QED Integrity Services ©

7 Niveau 2: Klassieke risicobenadering tbv informatiebeveiliging
Omgeving Activa Waarde Processen Maatregelen- mix C I A Risicoanalyse Maatregelen afstemmen op eisen QED Integrity Services ©

8 Tekortkomingen klassieke aanpak
Werking Bestaan Opzet QED Integrity Services ©

9 Afstemmen maatregelen op aard frauderisico
Preventie, integriteitbevordering Effect Detectie Toezicht Beperkte control Kans Terug QED Integrity Services ©

10 Enkele ontwikkelingen in accountancy
QED Integrity Services ©

11 Wat is risico? Risico is de kans op een onzekere gebeurtenis die invloed heeft op het bereiken van doelstellingen. Risico is het product van de kans op een bepaalde bedreiging/mogelijkheid en de omvang van impact op de doelstellingen. Een bedreiging is in deze definitie een onzekere gebeurtenis die een negatieve impact heeft op de doelstellingen en mogelijkheid is een onzekere gebeurtenis die een positieve impact heeft op de doelstellingen QED Integrity Services ©

12 Twee kanten van de medaille Business onderhevig aan risico
Negatieve uitkomsten Positieve uitkomsten Risico context Bedreigingen Business onderhevig aan risico Mogelijkheden % % Kans optreden bedreiging Waarde activa Waarde activa Kans optreden mogelijkheid Kans op uitbuiten kwetsbaar-heid Negatieve impact op waarde Positieve impact op waarde Kans op benutten mogelijkheid Verlies Winst QED Integrity Services ©

13 Doelstellingen van de business vertalen
naar herleidbare/hapklare eenheden Doelstelling/eis van de business Meeteenheid KRI’s en Risk appetite Security driver: Eisen vertaald in termen van security Prestatie indicator Meetmethode Business attributes QED Integrity Services ©

14 Vertaling van doelstellingen naar security drivers
van de business Bijvoorbeeld: Het leveren van online accountancy diensten Drivers voor security (Aan de doelstellingen gerelateerde eisen die vanuit het oogpunt van security relevant zijn) Systemen moeten altijd voor klanten beschikbaar zijn Gegevens dienen altijd up to date en correct te zijn. QED Integrity Services ©

15 Drivers naar Attributes
Business Driver Supporting Attributes Systeem voor klanten beschikbaar Toegankelijk, betrouwbaar, change management Gegevens correct en up-to-date Toegankelijk, Tijdig, Accuraat QED Integrity Services ©

16 Overzicht Business attributes
User Attributes Management Attributes Operational Attributes Risk Management Attributes Legal / Regulatory Attributes Technical Strategy Attributes Business Strategy Attributes Accessible Automated Available Access-controlled Admissible Architecturally Open Brand Enhancing Accurate Change-managed Detectable Accountable Compliant COTS / GOTS Business-Enabled Anonymous Continuous Error-Free Assurable Enforceable Extendible Competent Consistent Controlled Inter-Operable Assuring Honesty Insurable Flexible / Adaptable Confident Current Cost-Effective Productive Auditable Legal Future-Proof Credible Duty Segregated Efficient Recoverable Authenticated Liability Managed Legacy-Sensitive Culture-sensitive Educated & Aware Maintainable Authorised Regulated Migratable Enabling time-to-market Informed Measured Capturing New Risks Resolvable Multi-Sourced Governable Motivated Confidential Time-bound Scalable Monitored Providing Good Stewardship and Custody Crime-Free Simple Protected Supportable Providing Investment Re-use Reliable Flexibly Secure Standards Compliant Identified Traceable Responsive Providing Return on Investment Transparent Independently Secure Upgradeable Reputable Supported In our sole possession Timely Integrity-Assured Usable Non-Repudiable Terug Owned Private Trustworthy

17 Type meeteenheid: soft
Voorbeeld attribute Veranderingen aan systemen moeten goed gemanaged worden zodat impact op klanten minimaal is Change management Type meeteenheid: soft Meetmethode: Gedocumenteerd changemanagementsysteem aanwezig inclusief history en audit QED Integrity Services ©

18 Type meeteenheid: hard
Voorbeeld attribute De informatie aan de gebruikers moeten vallen binnen de kaders die vooraf zijn bepaald Accuraat Type meeteenheid: hard Meetmethode: Acceptatietest op invoer van data zodat deze voldoen aan vooraf bepaalde regels QED Integrity Services ©

19 Geïntegreerde risicobenadering
Risk management gebaseerd op expliciete drivers en doelstellingen Een gekwantificceerde risk appetite, vastgesteld door management Een onderbouwde selectie van maatregelen Een gebalanceerde mix van maatregelen (ICT, mensen en processen) Doelstellingen en eisen van de business Business Attributes Profile Herleidbare maatregelen Transparante Analyse Security drivers Transparant en meetbaar Risk management proces Volledigheid en herleidbaarheid Risico Dashboard Sturen op effect van controls (worden de doelstellingen behaald?) QED Integrity Services ©

20 QED Marcel Westerhoud T: +31 (0) 6 122 699 24
Integrity Services Marcel Westerhoud T: +31 (0) E: I: QED Integrity Services ©


Download ppt "Informatiebeveiliging: Investering of kostenpost?"

Verwante presentaties


Ads door Google