Informatierisico’s en –beveiliging: Een integrale benadering van beheersing (ERMplus) Drs Urjan Claassen RA RE CIA Vennoot Clascon
13 oktober 2010
Security-Congres
1
© Clascon b.v. 2010. Alle rechten voorbeho
Urjan Claassen Opleiding Drs: Bedrijseconomie Tilburg RA: Universiteit van Tilburg RE: Erasmus Universiteit Rotterdam
Loopbaan 96-97 Philips Electronics 97-01 Andersen Accountants 01-05 KPMG IT Advisory 05- Clascon Risicomanagement
Universitaire Docent 03-heden Business Universiteit Nyenrode, docent Advanced & Financial Auditing 04-heden Erasmus Universiteit Rotterdam, gastcolleges ICT Auditing en Risicomanagement 04 - 08 Universiteit Maastricht, docent Management Control en Interne Beheersing
Nevenfuncties ISBN: 978 90 13 06404 10-heden International Federation of Accountants (New York - USA) – Advisory councel risk management & internal controls – committee accountants in business 09-heden Hogeschool Arnhem Nijmegen, Raad van Advies post HBO opleiding Audit & Risicomgmt Publicaties 2010 – Het hoe en waarom van risicomanagement – Controllersmagazine 2009 – Handboek risicomanagement, een praktische toepassing van COSO ERM – Kluwer 2007 – Van Sociale Zekerheid naar Sociale Assurance 13 oktober 2010 Security-Congres – Reed Elsevier 2006 – Handreiking samenwerking RA RE – NOREA
Contact Email Kantoor Mobiel
[email protected] 040 – 22 31 030 06 - 22 32 20 42 2
© Clascon b.v. 2010. Alle rechten voorbeho
Waar gaan we het over hebben?
• • • •
Inleiding informatierisico’s Strategische en operationele risico’s Hoe houden we ze beheerst? Integraal In Control Framework
13 oktober 2010
Security-Congres
3
© Clascon b.v. 2010. Alle rechten voorbeho
Inleiding Informatierisico’s Hacking is greater threat than military attack
Twijfels over beveiliging
Stadsdeel Centrum mogelijk slachtoffer cybercriminaliteit
Source ZDNet UK, 30 Mar 2001
Van onze verslaggever Amsterdam, 3 november – Bij de gemeente Amsterdam zijn waarschijnlijk tientallen uite gevoelige documenten ontvreemd. Vorige we circuleerden vertrouwelijke gegevens over burgers in verschillende nieuwsgroepen op internet.
Foreign secretary Robin Cook warns that the fabric of British life is at risk from viruses or a hack attack The foreign secretary warned on Thursday that hacking and computer viruses present a bigger threat to Britain than a military attack.
13 oktober 2010
Volgens een woordvoerder van de gemeente de zaak in onderzoek en kunnen op dit mome geen mededelingen worden gedaan.
Nog onbekend is of het incident het gevolg is gebrekkige beveiligingsmaatregelen of nalati van de eigen medewerkers. Volgens deskund laat de beveiliging bij veel organisaties te we over.
Security-Congres
4
© Clascon b.v. 2010. Alle rechten voorbeho
Strategische en operationele risico’s Reputatieschade door verlies data (bijv dossier rechtzaak)
Strategisch
Tactisch
IT Vernietiging hard disks (Werkplekken)
Operationeel
13 oktober 2010
Verlies USB stick
Proces: Configuratiemanagement
Security-Congres
HRM
FACILITY
Niet integer personeel
Ongeautoriseerd toegang tot terrein
Werving & Selectieproces
Toegang tot locatie
5
© Clascon b.v. 2010. Alle rechten voorbeho
Code voor Informatiebeveilig 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen voor personeel 5. Fysieke beveiliging 6. Beheer communicatie en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van systemen 9. Continuiteitsmanagement 10. Naleving 13 oktober 2010
Security-Congres
6
© Clascon b.v. 2010. Alle rechten voorbeho
Waar lopen we tegen aan?.... IT IT Organisatie 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
13 oktober 2010
Security-Congres
Beveiligingsbeleid Beveiligingsorganisatie Classificatie en beheer van bedrijfsmid Beveiligingseisen voor personeel Fysieke beveiliging Beheer communicatie en bedieningsp Toegangsbeveiliging Ontwikkeling en onderhoud van system Continuiteitsmanagement Naleving
7
© Clascon b.v. 2010. Alle rechten voorbeho
Waar lopen we tegen aan?....HRM HRM afdeling 1. 2. 3. 4. 5. 6.
13 oktober 2010
Security-Congres
Beveiligingsbeleid Beveiligingsorganisatie Beveiligingseisen voor persone Beheer communicatie en bedien Toegangsbeveiliging Naleving
8
© Clascon b.v. 2010. Alle rechten voorbeho
Waar lopen we tegen aan?....FACILITY Facility Management 1.
Facility Management
Beveiligings- en Hospitality Diensten •Receptie •Catering (automaten, bedrijfsrestaurant, koffie, thee, lunches, evenementen, borrels, pantry’s) •Beveiligingsdiensten (toegangscontrole, bewaking, bedrijfshulpverlening, brandbeveiliging)
2.
Werkplek Diensten (Facilitair) •Werkplek (fysiek) •Kantoorartikelen en computer supplies (papier enveloppen) •Secretariaat (agendabeheer, correspondentie/post, telefoon, •Vergaderingen, reserveringen, aanmelden (bezoekers, toegangsID) •Documentaire informatievoorziening o Grafische vormgeving/ (DTP), Postkamer, •Repro-Drukwerk, Archief , Bibliotheek (vakliteratuur & abonnementen)
3.
Kantoor en Hygiëne Diensten
1. 2. 3. 4. 5. 6. 7. 8.
Beveiligingsbeleid Beveiligingsorganisatie Classificatie en beheer van bedrijfsm Beveiligingseisen voor personeel Fysieke beveiliging Beheer communicatie en bedieningsp Toegangsbeveiliging Naleving
•Huisvestings- en ruimtebeheer inventaris, AV-middelen •Kantoorinrichting/meubilair, hotel- en vergaderaccommodatie •Groenvoorziening binnenbeplanting •Schoonmaak, Afvalverwerking papiervernietiging Materiaal- en Materieel Diensten •Materiaal Uitrusting, Kleding •Materieel wagenpark •Vervoer- en verhuisdiensten (vlieg)reizen, Transport, Koerier, Mailing 4.
Huisvestings- en Vastgoed Diensten
13
•Gebouwen •Terreinen •Parkeren vergunningen •Belastingen •Verzekeringen oktober •Gas, water, 2010 licht (energie)
Security-Congres
9
© Clascon b.v. 2010. Alle rechten voorbeho
Op strategisch en operationeel niveau
RvB
HRM ICT
Strateg Facility
Director
Director
Director
IT managers
HRM managers
Facility managers
IT-proceseigenaren
HRM-proceseigenaren
Facilityproceseigenaren
13 oktober 2010
Security-Congres
Operat
10
© Clascon b.v. 2010. Alle rechten voorbeho
Lines of Defense
13 oktober 2010
Security-Congres
11
© Clascon b.v. 2010. Alle rechten voorbeho
• Maar hoe waarborgen we de samenhang?
13 oktober 2010
Security-Congres
12
© Clascon b.v. 2010. Alle rechten voorbeho
ERMplus (1)
www.ermplus 13 oktober 2010
13 Security-Congres
13
© Clascon b.v. 2010. Alle rechten voorbeho
ERMplus (2)
Strategisch Management
BETROKKEN MANAGEMENT NIVEAU
Operationeel management
13 oktober 2010
Control en mgt betrokkenheid Governance Strategische Management controls Controls Controls
Soft controls
Soft controls
Soft controls
Randvoorwaardelijke Proces Controls
Soft controls
Proces Controls Soft controls
In lage mate
TRANSACTIEGERELATEERD
In hoge mate
In hoge mate
RELATIE- / REPUTATIEGERELATEERD
In lage mate
Security-Congres
www.ermpl 14
© Clascon b.v. 2010. Alle rechten voorbeho
ERMplus (3) Kwadrant
Omschrijving
Type Interne beheersingsmaatregelen
Kwadrant 1
Soft Controls
- Zachte beheersingsmaatregelen die de overige kwadranten versterken of verzwakken - Normen: COSO ERM, Quinn & Cameron e.d.
Kwadrant 2
Interne management beheersing
Strategische planning: -Beleidsvorming & Rapportage Management Control: - Organisatiestructuur - Inrichting bedrijfsprocessen - Resultaatgebieden managers - budgettering - Beoordeling en belonen Taakbeheersing: - Management toezicht o.b.v. rapportages uit de lijn - Stuurgroep en programmamanagement - KPI’s en benchmarking - Auditrapportage
Kwadrant 3
Randvoorwaarde procescontroles
Functiescheidingen: - Binnen AO-beschrijvingen - Competentietabellen binnen applicaties Algemene ICT controles: - Change management - Continuiteitsmanagement - Beheer en onderhoud
Kwadrant 4
13 oktober 2010
www.ermplus.nl
Procescontroles
- Handmatige controles - Applicatiecontroles
Security-Congres
15
© Clascon b.v. 2010. Alle rechten voorbeho
Control in samenhang Director
Director
Director
IT managers
HRM managers
Facility managers
IT-proceseigenaren
HRM-proceseigenaren
Facilityproceseigenaren
Tactisch
Mgmt Controls
Task Controls
Soft controls
Soft controls
13 oktober 2010
Operationeel
Security-Congres
Randvoorwaardelijke Proces Controls
Proces Controls
Soft controls
Soft controls
16
© Clascon b.v. 2010. Alle rechten voorbeho
Control in samenhang
RvB
HRM ICT
ICT Director
Facility
HRM Director
Facility Director
Tactisch
Strategisch Governance controls
Strategic Controls
Mgmt Controls
Task Controls
Mgmt Controls
Task Controls
Soft controls
Soft controls
Soft controls
Soft controls
Soft controls
Soft controls
13 oktober 2010
Security-Congres
17
© Clascon b.v. 2010. Alle rechten voorbeho
Vragen?
• Meer informatie: www.ermplus.nl
13 oktober 2010
Security-Congres
18
© Clascon b.v. 2010. Alle rechten voorbeho
• Bedankt voor uw aandacht!
13 oktober 2010
Security-Congres
19
© Clascon b.v. 2010. Alle rechten voorbeho
Clascon, hét adviesbureau voor risicomanagement.
Clascon Audit & Consulting, De Neerheide 12D, 5581 TP Waalrre T: 040 - 2231030, F: 040 – 2231039, E:
[email protected], I: www.clascon.nl
13 oktober 2010
Security-Congres
20
© Clascon b.v. 2010. Alle rechten voorbeho