Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Copyright 2015 © CompLions B.V.

Mike de Bruijn Product Owner Copyright 2015 © CompLions B.V.

Agenda

• Inleiding • Over CompLions

• GRCcontrol management software • Risicomanagement • Uitdagingen • Dynamisch risicomanagement • Analyses • Risicobehandelingen • Maatregelencyclus • Governance • Compliance


CompLions


Over CompLions Onze doelstelling Het ondersteunen van organisaties

in het efficiënt en effectief beheersen van Governance, risico en compliance behoeften door middel van het borgen van managementsystemen, normen en standaarden met behulp van managementsoftware en ondersteunende (advies)diensten. Copyright 2015 © CompLions B.V.

Over CompLions

Portfolio Management software

Adviesdiensten

Operationele ondersteuning

Business Consultancy

GRCcontrol suite

Abonnementen

 Privacy- & Informatiebeveiliging  Business Continuïty  Kwaliteits- en milieumanagement  Certificering (ISO 27001, NEN7510, BIG, ISO 22301, etc.)  Interne audits & risico assessments

- Basis - Standaard - Modules  IRM (IT Risk Man.)  IMM (Incident Man.)  DMS (Doc. Man.)  PIA  ERM  AAM

 Security Officer as a Service  Security Manager as a Service  IT Audit as a Service (IAS) • GRCcontrol Functioneel beheer as a Service

Software Consultancy

Training

 Installatie en implementatie

Projectdoelstellingen

• •

S E C T O R E N

• • •

• • •

Zorg ICT & telecom Publieke Sector Accountancy Handel & diensten Financieel

Basis GRC Expert GRC

Inzicht & controle t.b.v. G–R–C

Ontzorging


GRCcontrol management software


GRCcontrol • Doelstelling • Eén geautomatiseerd managementsysteem • Voor beheersing (Governance & Riskmanagement) • Inzicht in het voldoen aan (Compliance) • normenkader(s) • managementsystemen (certificering) • wet- en regelgeving


GRCcontrol • Van ISMScontrol naar GRCcontrol (1) • Van vakinhoudelijke gebruikers met proceskennis van een ISMS naar brede gebruikerskring • Vereist eenvoudigere management functionaliteit en workflows om complexe processen te beheersen.

• Meer gebruikers buiten het ISMS (security) domein: • • • • •

Kwaliteitsmanagement Business continuïteit Milieumanagement Procesmanagement Etc.

• Vereist eenvoud in gebruik, schermen en taakafhandeling Copyright 2015 © CompLions B.V.

GRCcontrol • Van ISMScontrol naar GRCcontrol (2) • Van ISMS bereik naar Governance, Riskmanagement en Compliance • Beheersen van veelvoud van managementsystemen • Certificering • Assurance • Vereist enerzijds complexe functionaliteit maar eenvoudiger management functies en workflows om complexe brede materie en grote diversiteit aan gebruikers(niveaus) te beheersen.


Risicomanagement De uitdagingen!


Risicomanagement uitdagingen • Uitdagingen • Organisatiedoelstellingen veranderen door: • • • •

ambities wijzigingen in bijvoorbeeld wet- en regelgeving markten etc.

Door veranderingen ontstaan kansen (doelstellingen), maar ook risico’s.


Risicomanagement uitdagingen • Uitdagingen • Inzicht nodig in risico’s om: • Risico’s te nemen, te verminderen, te vermijden of over te dragen • Input komt uit: • uit de eigen organisatie • en/of externe(keten)partijen • systemen


Risicomanagement uitdagingen • Uitdagingen • Actueel inzicht en grip behouden over: • Assetrisico’s • Procesrisico’s & doelstellingen • Organisatierisico’s & doelstellingen


P Welk P Risicomanagement – De uitdaging P P

P

Middelverant woordelijke

P P

• PGrip op middelrisico’s Proces E P

P

P

P


P P P Proces D

P

P

Proces C

P P

Proces E

Welke middelen?

Definitie midde

Proces C

P

P

P

P

P

Proces D

P

Proces B

Proces A

• • • • •

ICT middelen Applicaties Definitie van Gegevens middelen Gebruikte terminologie Gebouwen etc.

Risicomanager

Proces B

Proces A

Risicomanager



P


P P


P

P

P


P P P Proces D

P

P

Proces C

P P

Proces E

Welke middelen?

Definitie midde

Proces C

P

P

P

P

P

Proces D

P

Proces B

Proces A

• • • • •

ICT middelen Applicaties Definitie van Gegevens middelen Gebruikte terminologie Gebouwen Etc.

Risicomanager

Proces B

Proces A

• Organisatie- /personele wijzigingen • Materie wordt als complex ervaren

Risicomanager



P


P P


P

P

P P

?

P P P P

P P P

P

?Proces C

?Proces B

P

Proces B

Proces A

Middel kritisch?

? Proces D

Classificatie van Proces?

Definitie van middelen RTO/RPO Eisen?

Definitie midde

Proces C

P


? Proces E

Welke middelen?

P

P

?

Proces D

BIV eisen?

Gebruikte terminologie

Risicomanager

Geïdentificeerde dreigingen?

Proces A


Risicomanager



P


P P

P

P

P

?

P P P P

P P P

P

Proces A

P


Proces B

Proces A

? Proces E

Middel kritisch?

Classificatie van Proces?

Definitie van middelen RTO/RPO Eisen?

BIV eisen?

Proces Dreigingen


Definitie midde

Proces C

P

? Proces D

?Proces C

?Proces B

P

?

P

• PGrip op middelrisico’s Proces E P op procesrisico’s en • Grip Proces D Welke middelen? Pdoelstellingen

Gebruikte terminologie

Risicomanager

Geïdentificeerde dreigingen?

Proces Doelstellingen

Risicomanager



P


P P

P

P P

? P

P

?

P

Moeilijke P materie, moeilijk proces! Waar vind ik P eerdere analyses? P

P

P

P

• PGrip op middelrisico’s Proces E P op procesrisico’s en • Grip Proces D Welke middelen? Pdoelstellingen Proces C

P P


Definitie midde

Proces B

Proces A

Kwetsbaarheden analyse middelen

Classificatie Middel Proces E van Proces? kritisch? Kwetsbaarheden P Definitie van analyse proces Proces D middelenBusiness impact Gebruikte terminologie analyses Proces C BIV eisen? RTO/RPO Geidentificeerde Eisen? dreigingen? Proces B

?

?

Risicomanager

?

?

Proces A

Proces Dreigingen



Risicomanager



P


P P

P

P

P

?

P P

P

?

P

• PGrip op middelrisico’s Proces E P op procesrisico’s en • Grip Proces D Welke middelen? Pdoelstellingen Proces C

P P


Proces B

Frequentie

Proces A

Kwetsbaarheden analyse middelen

Classificatie Middel Proces E van Proces? P kritisch? Kwetsbaarheden P Definitie van analyse proces Proces D middelenBusiness impact P Gebruikte terminologie analyses Proces C BIV eisen? Klopt de RTO/RPO Geidentificeerde Eisen? dreigingen?info? Proces B

?

?

P P P

Definitie midde

Risicomanager

?

?

Proces A

Proces Dreigingen



Bij geen info? Toch door?

Risicomanager


Dynamisch risicomanagement beheersing met GRCcontrol


Dynamisch risicomanagement beheersing met GRCcontrol Plan

Plan

middel- / proces analyses

risicobehandeling

- BIA’s

- Per middel

- DA’s

- Per proces

Maatregelcyclus Van Plan naar implementatie (Do) voor verdere Governance en Compliance (Check en Act)


GRCcontrol


GRCcontrol Beheer instellingen






Risicomanagement

Plan

Plan


risicobehandeling

- BIA’s

- Per middel

- DA’s

- Per proces



Analyses


Analyses

Gebruiker ziet altijd op dezelfde plek alle ‘verlopen’ of ‘nieuwe’ analyses die uitgevoerd moeten worden.


Analyses


Analyses


Analyses


Risicomanagement

Plan

Plan

middel- / proces Analyses

risicobehandeling

- BIA’s

- Per middel

- DA’s

- Per proces



Risicobehandelingen

Risicomanager ziet altijd op dezelfde plek alle ‘verlopen’ of ‘nieuwe’ behandelingen automatisch

Risicobehandelingen


Risicobehandelingen

Stapsgewijs proces


Risicobehandelingen

Risicobehandelingen Visuele heatmap


Risicobehandelingen Inzicht in risico’s vóór en nà de behandeling


Risicomanagement

Plan

Plan


risicobehandeling

- BIA’s

- Per middel

- DA’s

- Per proces



Maatregelcyclus: Governance & Compliance

Interne beheersing

Organisatie Maatregelenset Onderdelen Medewerkers

Maatregel 5.1.1 Maatregel 5.2.1 Maatregel 6.1.1

Processen

Maatregel 7.1.1 Maatregel 7.2.2

Middelen


Incidenten

Maatregel 9.5.1

Documenten



Interne beheersing

Verzameling van alle ontdubbelde benodigde beheersingsmaatregelen

Organisatie Maatregelenset Onderdelen Medewerkers Processen Middelen

Documenten

ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


Incidenten

Compliance raamwerk

Maatregel 9.5.1

WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control



Interne beheersing op basis van risicomanagement benadering

Compliance raamwerk

Organisatie Maatregelenset Onderdelen Medewerkers Processen Middelen

Maatregelselectie o.b.v. Risicobehandeling

Documenten

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


Incidenten

ISO 27002 # ctrl

Maatregel 9.5.1

WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Selectie maatregelen o.b.v. ISO 27002 procesof middelrisico-133 ctrl Maatregelenset analyses of doelstellingenControl

Organisatie Onderdelen

Maatregel 5.1.1

Medewerkers Processen Middelen

Compliance raamwerk


Documenten

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


Incidenten

27001 # ctrl

Maatregel 9.5.1

WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Compliance raamwerk

Organisatie Maatregelenset Onderdelen Medewerkers Processen


Middelen Maatregel implementatie

Incidenten Documenten

ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Compliance raamwerk

Organisatie Maatregelenset Onderdelen Medewerkers Processen


Middelen Maatregel implementatie

Incidenten Documenten

ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Managen van implementaties Control Maatregel 7.1.1

Control

Control

Control

Maatregel 7.2.2 Maatregel 7.3.1 Maatregel 8.1.2 Maatregel 9.5.1

WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Compliance raamwerk

Organisatie Maatregelenset Onderdelen Medewerkers Maatregelselectie o.b.v. Risicobehandeling

Processen Middelen Incidenten Documenten

Maatregelcontroles & audits

Maatregel implementatie

ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Compliance raamwerk


Processen Middelen Incidenten Documenten Controle/audits van

implementaties van maatregelen



ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Compliance raamwerk


Processen Middelen Incidenten Documenten



ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Geïntegreerde audits door Control Control mapping met controls Copyright 2015 © CompLions B.V.



Compliance raamwerk

Organisatie Maatregelenset Onderdelen Medewerkers Processen Middelen Incidenten Documenten

Verbetermaatregelen of bij wijziging



Maatregelimplementatie

ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control



Interne beheersing op basis van risicomanagement benadering Organisatie n.a.v. Verbetermaatregelen controles/audits en door Onderdelen dynamisch risicomanagement

Maatregelenset

Medewerkers Processen Middelen Incidenten Documenten

Compliance raamwerk





ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control



Compliance raamwerk


Act

Plan





Do

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


Check

ISO 27002 # ctrl

WBP # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control



Compliance raamwerk






ISO 27002 # ctrl

27001 # ctrl

Maatregel 5.1.1

Control

Control

Maatregel 5.2.1

Control

Control

Maatregel 6.1.1

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control


WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control




Compliance raamwerk

Organisatie Maatregelenset

Onderdelen Act

 Nieuwe risicobehandeling bij o.a. Medewerkers andere risicoklasseVerbeter of maatregelen verlopen behandeling. Processen

Act

of bij wijziging

Middelen

Maatregel Controles/au dits

IncidentenCheck Controle op implementaties en geïntegreerde Documenten auditing

Check

Plan Maatregel 5.1.1  Proces/middel analyses Maatregel 5.2.1  maatregelvoorstellen  Risicobehandeling Maatregel 6.1.1 Maatregel-


Control

Control

Control

Control

Control

Maatregel 7.1.1

Control

Control

Maatregel 7.2.2

Control

Control

Maatregel 7.3.1

DoMaatregel 8.1.2 Managen implementaties Maatregel 9.5.1 van geaccepteerde maatregelen uit de risicobehandeling

Do

27001 # ctrl

Control

Plan

selectie o.b.v. Risicobehandeling

ISO 27002 # ctrl

WBP ’13 # ctrl

GITC # ctrl

Control

Control

Control

Control

Control

Control

Control

Control


GRCcontrol • Voordelen • Geïntegreerd dynamisch risicomanagement • Eenvoudige beheersing van wet- en regelgeving & normen (Compliance raamwerk: Map once, comply to many)

• Procesmatige structuur, PDCA en stapsgewijze workflows • Geïntegreerde auditing • Rapportages (geschikt voor certificering) • Content: grote hoeveelheid beschikbare normen/maatregelen, dreigingen, hulpvragen etc. (Plug & Play Governance) • Geen Big Bang implementatie • Mogelijkheid om “klein” te beginnen Copyright 2015 © CompLions B.V.

Risicomanagement

Plan

Plan


risicobehandeling

- BIA’s

- Per middel

- DA’s

- Per proces



Risicomanagement • Meer zien? • Een DEMO is mogelijk op onze stand: B117

Plan

Plan


risicobehandeling

- BIA’s

- Per middel

- DA’s

- Per proces


• Meer informatie? Demo/presentatie: [email protected] Copyright 2015 © CompLions B.V.

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Recommend Documents