Post on 12-May-2015
QEDIntegrity Services
Informatiebeveiliging: Investering of kostenpost?
QEDIntegrity Services ©
Marcel Westerhoud
QEDIntegrity Services ©
QEDIntegrity Services ©
QEDIntegrity ServicesIntegrity Services ©
QEDIntegrity Services ©
Niveau 1: Ad hoc maatregelen
Technisch
FysiekOrganisatorisch
QEDIntegrity Services ©
OmgevingActiva
WaardeProcessen
RisicoanalyseCIA
Maatregelen-mix
Maatregelen afstemmen
op eisen
Niveau 2: Klassieke risicobenadering tbv informatiebeveiliging
QEDIntegrity Services ©
Tekortkomingen klassieke aanpak
Werking
Bestaan
Opzet
QEDIntegrity Services ©
Enkele ontwikkelingen in accountancy
QEDIntegrity Services ©
Wat is risico?
Risico is de kans op een onzekere gebeurtenis die invloed heeft op het bereiken van doelstellingen. Risico is het product van de kans op een bepaalde bedreiging/mogelijkheid en de omvang van impact op de doelstellingen. Een bedreiging is in deze definitie een onzekere gebeurtenis die een negatieve impact heeft op de doelstellingen en mogelijkheid is een onzekere gebeurtenis die een positieve impact heeft op de doelstellingen
QEDIntegrity Services ©
WinstVerlies
%€€%
Bedreigingen MogelijkhedenBusiness onderhevig aan
risico
Risico context Positieve uitkomstenNegatieve uitkomsten
Kans op benutten
mogelijkheid
Kans optreden
mogelijkheid
Positieve impact op
waarde
Waarde activa
Negatieve impact op
waarde
Waarde activa
Kans op uitbuiten
kwetsbaar-heid
Kans optreden
bedreiging
Twee kanten van de medaille
QEDIntegrity Services ©
Security driver:Eisen vertaald in termen
van security Prestatie indicator
Business attributes
Meeteenheid
Meetmethode
Doelstellingen van de business vertalen naar herleidbare/hapklare eenheden
KRI’s en Risk
appetite
Doelstelling/eis van de business
QEDIntegrity Services ©
Vertaling van doelstellingen naar security drivers
Doelstellingen van de business
Bijvoorbeeld: Het leveren van online accountancy diensten
Drivers voor security(Aan de doelstellingen gerelateerde eisen die vanuit het oogpunt van security relevant zijn)
-Systemen moeten altijd voor klanten beschikbaar zijn-Gegevens dienen altijd up to date en correct te zijn.
QEDIntegrity Services ©
Drivers naar Attributes
BusinessDriver
Supporting Attributes
Systeem voor klanten beschikbaar
Toegankelijk, betrouwbaar, change management
Gegevens correct en up-to-date
Toegankelijk, Tijdig, Accuraat
QEDIntegrity Services ©
Voorbeeld attribute
Change management
Veranderingen aan systemen moeten goed gemanaged
worden zodat impact op klanten
minimaal is
Type meeteenheid: soft
Meetmethode: Gedocumenteerd changemanagementsysteem aanwezig
inclusief history en audit
QEDIntegrity Services ©
Voorbeeld attribute
Accuraat
De informatie aan de gebruikers moeten vallen
binnen de kaders die vooraf zijn
bepaald
Type meeteenheid: hard
Meetmethode: Acceptatietest op invoer van data zodat deze voldoen aan vooraf
bepaalde regels
QEDIntegrity Services ©
Doelstellingen en eisen
van de business
Transparant en meetbaar
Risk management proces
BusinessAttributes
Profile
Herleidbare maatregelen
Transparante Analyse
Security drivers
Volledigheid en herleidbaarheid
Geïntegreerde risicobenaderingEen gekwantificceerde
risk appetite, vastgesteld door
management
Een gebalanceerde mix van maatregelen
(ICT, mensen en processen)
Risk management gebaseerd op expliciete
drivers en doelstellingen
Een onderbouwde selectie van maatregelen
Risico Dashboard
Sturen op effect van controls (worden de
doelstellingen behaald?)QED
Integrity Services ©
QED
Integrity Services
Marcel WesterhoudT: +31 (0) 6 122 699 24E: m.westerhoud@qed-integrityservices.nlI: www.qed-integrityservices.nl
QEDIntegrity Services ©