Agenda
Fysieke beveiliging ontmoet Informatiebeveiliging (grensoverschrijdend of grensverleggend?)
Introductie InfoSecure Introductie ISF Fysieke beveiliging ontmoet Informatiebeveiliging ISF Threat Horizon 2010 en hoe hierop te reageren Slotopmerkingen
Melle Beverwijk CEO InfoSecure Lid ISF Executive Board
Page 2
30-3-2009
Client Name, Location
Introductie InfoSecure Opgericht in 1999 Activiteiten: Informatiebeveiliging, Risikoanalyse, Compliance, Governance Vestigingen in 7 landen Levering aan klanten in 80 landen Programma’s in 22 talen Meer dan 3 miljoen personen hebben onze programma’s gevolgd Oplossingen en Consultancy aangepast aan de specifieke wensen van de klant Lid Information Security Forum (ISF) sinds 2000 Lid Executive Board
Page 3
30-3-2009
An international association of approximately 300 leading global organisations, which... • •
addresses key issues in information risk management through research and collaboration develops practical tools and guidance
•
is fully independent and driven by its Members
•
promotes networking within its membership.
Client Name, Location
Managing Security in a Downturn Economy Information security strategy Threat Horizon 2010 Profit Driven Attacks Insider Threats Effective approaches to managing a security function Examining the needs of CISO RISE: role of information security in the enterprise The Insider view
Maar hoe kunnen we de aandacht voor beveiliging blijven vasthouden in een dynamische omgeving? Page 6
30-3-2009
Client Name, Location
Inleidende opmerkingen Incident films
Beveliging; continuïteit van de organisatie Raakvlakken van fysieke en informatiebeveiliging Besluitvormingsprocessen Onderscheid Security & Safety
Wees op je hoede buiten kantoor
Gratis Publiciteit
Inleidende opmerkingen
Meer aandacht voor de business aspecten van Informatiebeveiliging
Verantwoord (Informatie) beveiligingsbeleid Waar moet het beveiligingsbeleid op gericht zijn: - Mensen - Informatie - bedrijfsactiviteiten - Fysieke omgevingen
Increased focus on InfoSecurity
Business aspects Standards Compliance
Organisatorische verantwoording Leidend zijn de bedrijfsactiviteiten
Incidents Legislation Privacy Liabilities
Increased legislation Turnbull Report Sarbanes-Oxley Act New Basel Capital Accord
More attention for Corporate Governance
More attention for a.o Business aspects Management commitment
Information Security Management Framework
Verminderen van (Business) risiko’s
SECURITY STRATEGY
Information leaks from internal sources to third parties
SECURITY STRATEGY
BUSINESS OBJECT IVES
Strategy & Policy BUSINESS OBJECTIVES
Intrusion or attack on internal networks
POLICIES
RISK ANALYSIS
CONTROLS ORGANISATION
ASSESSMENT
Information is unavailable for business continuity
IMPLEMENTATION
Non-compliance with regulatory or governmental requirements
Solutions & Implementations
POLICIES
RISK ANALYSIS
CONTROLS ORGANISATION
ASSESSMENT
Risk management & Governance
IMPLEMENTATION
Strategies to reduce risks
Het bereiken van een bedrijfscultuur met oog voor (informatie) beveiliging
Betrokkenheid van het topmanagement
Verandering in kennis, houding en gedrag Van fout naar goed Van bewust naar ‘eigen gemaakt’ (tweede natuur) ‘Eigen gemaakt’ Bewust
(tweede natuur)
Betrokkenheid van het topmanagement
Page 15
30-3-2009
René Obermann, CEO of Deutsche Telekom
ISF Threat Horizon 2010
Client Name, Location
ISF Threat Horizon 2010 Economic development Increased criminal attacks on specific organisations or customers How do we respond to this development: Educate staff and customers Include topics such as social engineering techniques in education programmes and awareness programmes for staff
Business case: Deutsche Telekom Veilig reizen
Political developments Increase in incidents, decrease in public trust -> governments have to increase attention for security. Incidents must be prevented. Although technology incidents are discussed, you can decrease employee incidents. How do we respond to this development: Classify important and sensitive information and protect in accordance to its value. To be able to recognised techniques such as social engineering To be able to recognised techniques such as Phishing
Socio cultural development
Business case: KPN
Increase outsourcing Unauthorised disclosure business information Compliance failure – different laws and regulations Unauthorised access How do we respond to this development: Let third party employees comply to your policies and rules
Socio development Gartner: “Consumerization” of IT Young people communicate differently with each other then the old generation (generation X/Generation Y problem) Management’s lack of understanding E.g. Social networks P2P (Peer to Peer, filesharing) Google apps iPhone How do we respond to this development: Use young people in the business clip Address new generation tools in topics
Cultural economic developments New business values: More ambulant people Economic slow down Less time to spend Programmes not mandatory How do we respond to that: Push content to employee Less time More frequent
Legal regulatory developments Tougher regulatory and privacy legislation Increase support for ISO 27001 security management
ISO 27001 and physical security A.9 Fysieke beveiliging en beveiliging van de omgeving A.9.1 Beveiligde ruimten Doelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie. A.9.1.1 Fysieke beveiliging van de omgeving Beheersmaatregel:: Er moeten toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) aangebracht om ruimten te beschermen waar zich informatie IT voorzieningen bevinden. A.9.1.2 Fysieke toegangsbeveiliging Beheersmaatregel:: Beveiligde zones moeten worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. A.9.1.3 Beveiliging van kantoren, ruimten en faciliteiten Beheersmaatregel:: Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en toegepast. A.9.1.4 Bescherming tegen bedreigingen van buitenaf Beheersmaatregel: Er moet fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten worden ontworpen toegepast.
A.9.1.5 Werken in beveiligde ruimten Beheersmaatregel: Er moeten fysieke bescherming en richtlijnen voor werken in beveiligde ruimten worden ontworpen en toegepast. A.9.1.6 Openbare toegang en gebieden voor laden en Lossen Beheersmaatregel: Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerst en indien mogelijk worden afgeschermd A.9.2.1 Plaatsing en bescherming van apparatuur Beheersmaatregel: Apparatuur moet zo worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd. A.9.2.2 Nutsvoorzieningen Beheersmaatregel: Apparatuur moet worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen. A.9.2.3 Beveiliging van kabels Beheersmaatregel: Voedings- en telecommunicatiebekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, moeten tegen interceptie of beschadiging worden beschermd. A.9.2.4 Onderhoud van apparatuur Beheersmaatregel: Apparatuur moet op correcte wijze worden onderhouden, zodat deze voortdurend beschikbaar is en in goede staat verkeert. …..…
Slotopmerkingen Regulatory developments ISO 27001 auditor look more and more for data classification activities How do we respond to this development: Special Topic “Information Classification”
Uitgangspunt bedrijfsaktiviteiten Invuling per industriesector sterk verschillend Risico-driven Samenwerking manager en (informatie) beveiligingspecialist Essentie “verstaan of begrijpen” Aandacht voor bewustwordingscampagnes, opleidingen en introducties Toeneming van wettelijke regelgeving Compliance Fysieke beveiliging ontmoet Informatiebeveiliging; grensoverschrijdend en grensverleggend
Vragen? Opmerkingen? Respons?
Incident films
Laat uw token en pincode nooit onbeheerd achter Informatie:
[email protected]
Page 29
30-3-2009
Client Name, Location
Gehaaste binnenkomst
