Hoe fysiek is informatiebeveiliging? Johan de Wit
Siemens Nederland NV
Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties een top prioriteit. Het beschermen van informatie wordt veelal gezien als een verantwoordelijkheid van een IT afdeling. Wat is de rol van fysieke beveiliging bij het beschermen van informatie? Een inspirerende en interactieve workshop waarin het belang van fysieke beveiliging voor het beveiligen van informatie wordt uitgediept. Tijdens deze workshop krijgt u de kans uw eigen kijk te reflecteren aan resultaten van uitgevoerd onderzoek.
Security management congres 2013
Hoe fysiek is informatiebeveiliging?
Restricted © Siemens AG 2013. All rights reserved.
Answers for infrastructure and cities.
De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Stelling 1
De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Onderdelen opgenomen in informatie beveiligingsrichtlijnen
Referentie: Changing the game, key findings from the global State of information Security survey 2013 Price Waterhouse Coopers
2011
2012
De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn “They’re generally two different silos and aren’t well co-ordinated” Between 10-15 percent of large organizations have appointed a CSO and their number is growing by five percent a year over the last few years (2010).
Het jaarlijkse Security Management Survey geeft in 2010 aan dat slechts 2 procent van de fysieke security officers ook verantwoordelijk is voor informatie beveiliging. In 2011 is dit percentage gestegen naar 20 procent en in 2012 naar 22 procent.
De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Organisatorische beveiligingsmaatregelen
Referentie: Changing the game, key findings from the global State of information Security survey 2013 Price Waterhouse Coopers
De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Huidige situatie: respondenten met een “adviserende rol” 0% 0%
0%
0%
0% Onbekend
Gescheiden verantwoordelijkheid
Gecombineerde verantwoordelijkheid
100%
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Huidige situatie: respondenten met een “verantwoordelijke rol” 0% 0%
0%
0% Onbekend
36%
Gescheiden verantwoordelijkheid
64%
Gecombineerde verantwoordelijkheid
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De scheiding van verantwoordelijkheden leidt tot (nieuwe) risico’s Stelling 2
De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico’s
Referentie: NEN-ISO/IEC 27005 Information technology Security techniques – Information security risk Management
De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico’s
Referentie: Informatiebeveiliging onder controle 2e editie Overbeek, Roos Lindgren, Spruit, 2005
De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico’s
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico’s
Referentie: Threat horizon 2014, Information Security Forum, 2012
Wat voor fysieke securityrisico’s voor informatie onderscheiden we? Stelling 3
Wat voor fysieke securityrisico’s voor informatie onderscheiden we?
*
* *
* *
* * *
* *
Referentie: Security management survey 2012/2013, De Hoog, Barlagen, 2013
Wat voor fysieke securityrisico’s voor informatie onderscheiden we?
Referentie: Information Security Breaches 2010, Price Waterhouse Coopers, 2010
Wat voor fysieke securityrisico’s voor informatie onderscheiden we?
Referentie: ICT Barometer over Cyber crime Jaargang 11, Ernst & Young, 2011
Wat voor fysieke securityrisico’s voor informatie onderscheiden we? Diefstal van hardware Op basis van opgetreden incidenten heeft diefstal plaatsgevonden bij: 33,5 % 30-40% 1% 3% 39% 53%
van de organisaties van de organisaties van de incidenten* van de incidenten* van de organisaties van de organisaties
(CSI 2010) (Symantec 2010) (Verizon 2011) (Verizon 2012) (PWC 2010) (Ponemon 2012)
(* incident data uit databases van speciale politie organisaties en geheime diensten. “Reguliere” diefstal van apparatuur wordt niet daarin opgenomen)
Wat voor fysieke securityrisico’s voor informatie onderscheiden we?
Referentie: NEN-ISO/IEC 27005 Information technology Security techniques – Information security risk Management
Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen Stelling 4
Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen Hoeveel organisaties hebben de ISO 27001 geïmplementeerd?
Referentie: Information Security Breaches 2010, Price Waterhouse Coopers, 2010
Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen De code voor informatiebeveiliging (NEN-ISO27002)
Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen Standard of Good Practice
De dreigingen voor informatie komen van buiten de organisatie Stelling 5
De dreigingen voor informatie komen van buiten de organisatie
Referentie: ICT Barometer over Cyber crime Jaargang 11, Ernst & Young, 2011
De dreigingen voor informatie komen van buiten de organisatie
Referentie: 2012 Data breach investigations report, Verizon, 2012
De dreigingen voor informatie komen van buiten de organisatie Is cybercrime meer een in- of externe dreiging?
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De dreigingen voor informatie komen van buiten de organisatie Is diefstal van hardware meer een in- of externe dreiging?
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De omvang van (mijn) fysieke risico’s is voldoende bekend (met betrekking tot informatie en informatiesystemen) Stelling 6
De omvang van (mijn) fysieke risico’s is voldoende bekend Hoe groot is de kans op fysieke binnendringing ten behoeve van diefstal van hardware?
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De omvang van (mijn) fysieke risico’s is voldoende bekend Hoe groot is de kans op fysieke binnendringing ten behoeve van diefstal/sabotage van informatie?
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
De effectiviteit van (mijn) security maatregelen is voldoende bekend Stelling 7
De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico’s
Referentie: NEN-ISO/IEC 27005 Information technology Security techniques – Information security risk Management
De effectiviteit van (mijn) security maatregelen is voldoende bekend
Referentie: Global Information Security survey , Ernst & Young, 2012
De effectiviteit van (mijn) security maatregelen is voldoende bekend
Referentie: 2011 Data breach investigations report, Verizon in cooperation with US Secret Service and Dutch high tech crime unit, 2011
Fysieke toegangscontrole beschermt (mijn) organisatie voldoende Stelling 8
Fysieke toegangscontrole beschermt (mijn) organisatie voldoende
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
Fysieke toegangscontrole beschermt (mijn) organisatie voldoende Hoe groot is de betrouwbaarheid van fysieke toegangscontrole?
Referentie: Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013
Hoe kunnen we risico’s voor informatie in de toekomst beter beperken? Slotvraag
Hartelijk dank voor uw belangstelling en aanwezigheid ! Johan de Wit Solution Manager Enterprise Security Siemens Infrastructure and Cities Phone: +31 (70) 333 12 36 Mobile: +31 (6) 55 76 60 29 E-mail:
[email protected]
www.siemens.nl/informatiebeveiliging
Answers for infrastructure and cities.
