Kennissessie. ICT- en Informatiebeleid. Welkom! Agenda. Hoe haalt u met ICT het maximale uit uw organisatie?

Kennissessie ICT- en Informatiebeleid Hoe haalt u met ICT het maximale uit uw organisatie?

28-2-2013

Welkom !
Sprekers:
Louk Dirken (ICT- en Informatiebeleid)
Hans van Zwam (Informatiebeveiliging)


Voorstellingsronde
Wie bent u, voor welke organisatie werkt u en wat is uw rol?
Heeft u ICT- of informatiebeleid?
Hoe actueel is deze?
Wat verwacht u van deze middag?

Agenda






14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:30 uur ICT- en Informatiebeleid 15:30 – 15:50 uur Pauze 15:50 – 16:30 uur Informatiebeveiliging 16:30 – ..:.. uur Napraten en Afsluiting

1

INNERVATE …het andere ICT bedrijf Anders Werken en Anders Organiseren Vraagt een

andere

kijk op ICT

Wij geloven in organisaties waar ieder individu de ruimte krijgt om te bewegen en de verantwoording neemt om zijn of haar bijdrage te leveren. Volgens deze visie hebben we Innervate ingericht. Onze dienstverlening is erop gericht ICT binnen organisaties aan te laten sluiten op de nieuwe manieren van werken en organiseren.

Innervate
Opgericht in 1999
Twee vestigingen Zuid Nederland en Midden Nederland
Kernwaarden van Innervate zijn professionaliteit, transparant, ondernemerschap, vertrouwen en sociaal betrokken.
Succesvol Onafhankelijk Multidisciplinair

Veranderingen als zekerheid ICT









Files

Vergrijzing

Schaarste op arbeidsmarkt

Kwaliteit van leven

Het Nieuwe Werken Consumeratie, Bring Your Own Device Cloud Computing/Applicaties As A Service Regelgeving en informatiebeveiliging ICT als dienstverlening, communicatie enabled IT Management Informatie Milieu

Individualisering

Kredietcrisis

Veiligheid

2

Agenda






14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:30 uur ICT- en Informatiebeleid 15:30 – 15:50 uur Pauze 15:50 – 16:30 uur Informatiebeveiliging 16:30 – ..:.. uur Napraten en Afsluiting

Spelregels






Iedereen is deelnemer Niemand is toeschouwer Alle interactie is goed Respect voor het individu Korte koffiepauze

 Via verschillende stellingen en vragen het bevorderen van uitwisseling van gedachten en ideeën. 17

3

Agenda ICT- en Informatiebeleid
Aanleiding en issues
Aanpak
Discussie & Vragen

Interactief: dus als u vragen heeft…

Aanleiding / Noodzaak

Alignment is de combinatie van ‘verbinden’ en ‘vertalen’
Verbinden  Eigenaarschap en proces van afstemming tussen Business & IT “Speel het spel”
Vertalen  Bedrijfsdoelstellingen vertalen naar informatiedoelen en inzet juiste ICT middelen “Best Fit”

4

Waar hebben we het over? InformatieBeleid (I)

ICT Beleid (A)

VERBINDEN V E R T A L E N

VERBINDEN

V E R T A L E N

VERBINDEN

Verbinden & Vertalen

Uw mening : Enkele stellingen


Zonder ICT- en/of Informatiebeleid wordt ICT bepaald door de boekhouder.
De ‘Business’ voelt zich niet betrokken bij I en/of ICT Beleid !
Informatiemanagement (middelste kolom) is alleen iets voor de grotere organisatie(s)?

ICT- en Informatiebeleid: Aanleiding en issues Alles is onderworpen aan verandering… …en steeds sneller !

..

5

ICT : The Department of NO ..?

NO Functie: Cino

ICT- en Informatiebeleid: Aanleiding en issues
Waarom beleid?
Reorganisatie
Fusie of overname
Aanpassing in wet- en regelgeving
Herijking van bestaande ICT middelen
Wel of niet Outsourcen? Welke delen outsourcen?
Management Informatie?
Benchmark ICT organisatie

ICT- en Informatiebeleid: Aanleiding en issues
Waarom beleid? (2)
Kunnen kosten omlaag?
Welke uitgaven voor de komende jaren?
Innovatie vraagstukken
Afstemming organisatie-processenmiddelen
Continuïteitvraagstukken
Informatiebeveiliging
BYOD
En ook voor ..Unified Communications

6

De afbeelding k an momenteel niet worden weergegev en.

Unified Communications Messaging

De afbeelding k an momenteel niet worden weergegev en.

Welke devices?

Bring your own device
Aantal tablets in Nederland in 2012 is ca. 4,1 miljoen!
“78% van de bedrijven geeft aan in 2013 tablets te gebruiken”
“90% van de bedrijven ondersteunt zakelijke applicaties op personal devices in 2014”
“In 2015 meer ontwikkelaars voor mobiele software dan voor vaste werkplekken”

7

Wat is de beweging in de ICT Cloud?

Overzicht Cloud leveranciers

De Hype Cycle nader bekeken

8

De meest gestelde vraag…

Bent u al Cloud-Ready?  Cloud Computing grijpt in op alle aspecten van ICT: operations (Infrastructure as a Service), development (Platform as a Service) en portfoliomanagement voor applicaties (Software as a Service).  De belangrijkste vraag bij Cloud Computing is nu of alle interne processen voldoende klaar zijn om zonder problemen uit te besteden. Het gaat dan over alle processen; operatie-, applicatie-, ontwikkelings- en integratie processen.

Vraag:
Welke aanleidingen spelen er binnen uw organisatie?  Hoe specifiek zijn deze?  Hoe worden deze momenteel benaderd?

26

Beleid: definitie


Beleid is een verzameling van uitspraken, uitgangspunten, voorwaarden die gelden voor de besturing, de inzet van mensen en middelen in organisaties
Het is een heldere, duidelijke en compacte omschrijving van doelstellingen. (= Communicatie document)

9

Beleid staat niet op zich: Projectie op Negenvlak ICT Strategie en beleid Organisatie Strategie en beleid Business & Proces architectuur

. Informatiearchitectuur . . Informatieprojecten . .

Organisatieplanning

Projecten

Operationele voorzieningen

Verbinden & Vertalen

. . . . .

. . . Informatieplan . . Informatievoorziening

ICT architectuur

Informatiebeleid

ICT planning

ICT Projecten

ICT voorzieningen

Verbinden & Vertalen

11

Uw mening : Enkele stellingen


Wat levert ICT- en Informatiebeleid volgens u op?
Wie heeft het meeste voordeel van Beleid en wie het meeste ‘ last’ ?
Wie heeft een Informatiebeleid (de Icomponent)?

Doelstelling ICT- en Informatiebeleid
Het doel van het vastleggen van het ICT- en informatiebeleid is het bieden van een kader om maatregelen en investeringen in ICT voorzieningen te toetsen en om helder de verantwoordelijkheden binnen de organisatie te beleggen.
Koppelt met bedrijfsstrategie.
Periode van 3 jaar en wordt jaarlijks geëvalueerd en aangevuld.

10

ICT- en Informatiebeleid gaat over samenwerken

…en niet over g€ld (costcenter)

De uitdagingen
Wat zijn de uitdagingen/valkuilen?
Verkeerde verwachtingen (afstemming)
Het wordt gezien als document ‘van’ ICT (draagvlak)
Iedereen is het eens, maar er is geen uitvoering van het beleid (programma management)
Het uitvoeren van het beleidsplan kost veel geld (Businesscases)
ICT Beleidsplan is geen technologische verhandeling (verwachting)
Deelnemers/opstellers beleidsplan zijn geen afspiegeling van organisatie (draagvlak)

Nog meer Beren?

Missie Het opstellen van het ICT- en Informatiebeleidsplan voor de komende 3-5 jaar Mensen

Processen

Middelen

11

Hoe aanpakken? Beleid is meer dan alleen inhoud (modellen) Stem scope af Verbinden: maak gebruik van de context! Humor? Definieer/Accepteer en volg een aanpak Vertalen: Niet denken vóór een ander. Multi disciplinair! Creëer ruimte voor voortschrijdend inzicht Draagvlak: eigenaarschap en sponsor

Model: Organisationele context Mensgericht

Innovatiegericht

Beheersgericht

Resultaatgericht

Organizational Culture Assessment Instrument (OCAI) van Quinn en Cameron

Model: Aard van het project Outcome

Unknown

Known

Pathway

Unknown

Greater chance of success

Greater chance of failure

A walk in the fog

Quest

New product development

Known












Painting by numbers Engineering, construction

Research, Organizational Change projects

Making a movie Software development

Turner, J.R; Cochrane, R.A; Goals-and-methods matrix

12

Roadmap ICT- en Informatiebeleid
Hoe pakken we (=Innervate) dit aan? Roadmap Informatiebeleidsplan Roadmap ICT Beleidsplan  Kernpunten:







Aanpakken verdeeld over aantal stappen; Aanpakken vergelijkbaar, doch verschillend; Pragmatisch en Flexibel (geen dogma’s); Innervate aanpakken gebaseerd op ervaring bestaande concepten en methodieken;
Alle domeinen (mensen/organisatie, processen en middelen) worden onderzocht.

Aanpak ICT- en/of Informatiebeleidsplan Prioriteitstelling management

2

Strategie / Bedrijfsdoelstellingen / Algemeen bedrijfsbeleid / organisatieontwikkelingen / Business !

Analyse

5

Huidige situatie ICT- en/of informatiebeleid? SLA? ICT inrichting / Beschikbaarheid Organisatie/Rollen Thematische aanpak

1

4 3

Beleidsplan

Externe ontwikkelingen Overheid/ Markt / Techniek / Maatschappij

Scope: Verschillende domeinen Organisatie

Bedrijfsprocessen

Informatievoorziening

Software Applicaties Servers, Beveiliging, Internet, Hardware, Infrastructuur (kabels, datanetwerk) ‘Traditionele ICT Domein’

13

9-vlaks model (scope)

Stap 1: Vooronderzoek
Bepalen van de scope (vastleggen)
Vaststellen bestaande situatie (IST)
Verzamelen van eerdere beleidsdocumenten en onderzoeksrapporten
High-level bepaling van de volwassenheid van de organisatie
EnBepalen ook: huidige informatievoorziening (I-plan?)

Bepalen huidige informatiebeveiliging Stakeholder analyse (context)

Gewenste situatie uitzetten opvaststellen 9-vlaks model Knelpunten in beleidvoering (workshop)

Stap 1: Vooronderzoek: deliverables
Beschrijving van de IST-situatie






Organisatie Processen (ICT) Informatievoorziening (I-component) Applicaties Infrastructuur (datanetwerk, servers,e.d.)


Beschrijving van de risico’s

14

Domeinen afstemmen door Enterprise Architectuur

Enterprise Architectuur : zichtbaar maken van samenhang! Informatie architectuur

Product architectuur

? Business Proces architectuur

? ? ? Applicatie architectuur

Technische infrastructuur

?

applicaties

business

Voorbeeld model ‘service-desk’ view: lagenview (archimate) Servicedesk

Bedrijfsevent

Intake

Servicedesk Oplossen

Beoordelen

case admin service

contract service

Case Registratie

CMDB

config service

Module SLA

Servicedesk

infrastructuur

Fin Admin Informeren

CRM

Urenadmin

Messaging service

Outlook client

Urenadmin

Billing service

Purchasing

Exchangeservice

Facturatie

CRM

BILLING

SAPservice

Location R'mond

Telecity A'dam

Webserver

SAP server

Mailserver

Oracle APEX

SAP mail

Oracle XE DBMS

SQL

LAN

LAN

router2

WAN

router1

15

Stap 2: De gewenste situatie
In kaart brengen van de gewenste situatie voor:
Organisatie
Rollen, functies, invulling


Processen
Primaire-, Informatie-, Rapportage-, Beheer- processen


Informatievoorziening
Informatieplan, informatiebeveiliging, management informatie


Applicaties
Welke, Wie eigenaar, SLA, Funct. Beheer, Performance


Infrastructuur
Welke, Architectuur, Inrichting, Omvang, SLA, BCP


Interviews
Voldoende interviews met afspiegeling van organisatie Niet alleen halen van informatie maar ook
Welke managers worden geïnterviewd? (vooraf vaststellen van sleutelfuncties) brengen
Tijdsduur ca. 1 - 1,5 uur per interview een spiegel voorhouden
Geïnterviewde Opnemen highlights interviews in eindrapport

Stap 2: De gewenste situatie Onderwerpen/thema’s:











Doel / missie van de organisatie concretiseren Beleid en strategie van onderneming (vooruit kijkend) Wat is de visie t.a.v. toekomst (groei/krimp)? Wat zijn gewenste KPI’s (welk informatieproces) Wat is visie t.a.v. Innovatie? Hoe ziet de ideale ondersteuning (verbinden en vertalen) eruit? Wat is de gewenste en benodigde ICT strategie? Hoe ziet ‘Informatie management’ in de toekomst uit? Hoe ziet ‘Informatie beveiliging’ in de toekomst uit? Welke procesverbeteringen zijn onderkend? Enz.

Stap 2: Resultaat
Een helder en compleet inzicht in de wensen en eisen van de organisatie dat als basis dient voor alle volgende stappen.
Awareness (start).
Betrokkenheid.

16

Stap 3: Externe ontwikkelingen
Nadat Stap 1 en Stap 2 zijn doorlopen, en alle interne factoren zijn bekend.
In stap 3 worden de externe factoren bekeken. Organisatie betrekken via o.a. een workshop (vooral business).
Verzamel belangrijkste ontwikkelingen
Interactie vindt plaats via afstemming en bespreken stellingen.

Stap 3: Externe ontwikkelingen Wat doet de wereld om je heen?
Algemene ontwikkelingen
Arbeidsmarkt: Profilering als werkgever (bijv. social networking)
Demografische ontwikkelingen:Toenemende Vergrijzing
Veiligheid
Technologische ontwikkelingen (zoals ICT Trends)
Wetgeving en Beleid / Milieu
Marktontwikkeling


Branchegerichte ontwikkelingen
Brancherapporten
Boeken: bijv. “ De invloed van externe ontwikkelingen op de interne sturing van Ziekenhuizen”


Trends (specifiek marktsegment)
Klantwensen
Bijv. Overheidsloket, e-overheid

Stap 4: Analyseren

STAP 2: Gewenste

STAP 1: Huidige situatie

situatie STAP 3: Externe factoren

Analyse

17

Stap 4: Analyseren De Invalshoeken
Organisatie/Business
Processen
Informatie/ software
Techniek De balans zoeken tussen organisatieprocessen en techniek-informatie

De verander potentie

6,6

6,4

6,7

Stap 4: Analyseren Organisatie Techniek

Processen

Informatie/ Software

18

Thema’s ICT- en Informatiebeleidsplan
Huidige inrichting en stip op de horizon
Standaardisatie (o.a.s software Microsoft etc, maar ook beheerstandaarden)
Informatiebeveiliging
Inrichting functionele en technische beheer (organisatie): Negenvlaksmodel
Outsourcing & Cloud strategie
Het Nieuwe Werken (incl. BYOD/CYOD)
Enterprise Resource Planning (ERP)
Enterprise Content Management (ECM)
Digitaal werken

Stap 5: Opstellen ICT- en of informatiebeleidsplan





Organisatie/Business Techniek Informatie Processen

Snelheid afhankelijk van volwassenheid organisatie

ICT- en informatiebeleidsplan (de kapstok)
Goedkeuring!
Startup projectteam
Doen! Aanpak Tools

Aanpak

Methodes Tools

Kennis

…..

…..

Aanpak

Methodes Tools

Kennis

Planning

Methodes

Kennis

…..

19

Resultaten in perspectief (9 vlaksmodel)

Advies voor corrigerende maatregelen komen vanuit dit model 60

Inhoudsopgave 1 ALGEMEEN 1.1 Inleiding 1.2 Doelstelling 1.3 Positionering ICT Beleid 1.4 Opbouw van het rapport 2 HUIDIGE SITUATIE 2.1 Inleiding 2.1.1 Geraadpleegde documenten 2.1.2 Interviews 2.2 ICT inrichting 2.2.1 Organisatie 2.2.2 Technische inrichting Datanetwerk (LAN/WAN) 2.2.3 Centrale Serveromgeving 2.2.4 Client omgeving (werkplek omgeving) 2.2.5 Printers 2.2.6 Applicaties 2.2.7 Telefonie 2.2.8 Informatiebeveiliging (NEN7510) 2.2.9 Kosten 2.2.10 ICT Projecten & projectmethodiek 2.3 Domotica: Zorg alarmering (Sociale alarmering) 2.4 Processen 2.5 Externe ontwikkelingen 2.6 Samenvatting huidige situatie

3 GEWENSTE SITUATIE 3.1 Inleiding 3.2 Beleidskeuzes en afgeleide kaders 3.2.1 Keuzes 3.2.2 Beleid en organisatie 3.2.3 Informatie, -systemen, gebruik en beheer 3.2.4 Informatiebeveiliging 3.3 Stip op de horizon ICT inrichting 3.3.1 ICT Organisatie 3.3.2 ICT Infrastructuur 3.3.3 Applicaties 3.3.4 Domotica 3.3.5 Informatiebeveiliging 4 CONCLUSIES EN AANBEVELINGEN 4.1 Inleiding 4.2 Actieplan 4.2.1 Stap 1: Korte termijn actieplan (20xx+20xx) ‘Huis op orde’ 4.2.2 Stap 2: Middellange termijn actieplan (20xx-20xx) 4.2.3 Voorwaarden 4.2.4 Resultaat 4.2.5 Stap 3: Lange termijn actieplan ( vanaf 20xx) BIJLAGE 1: Schematisch overzicht LAN/WAN BIJLAGE 2: ICT infra huidige situatie BIJLAGE 3: Applicatie overzicht BIJLAGE 4: Korte termijn acties BIJLAGE 5: Overzicht Domotica/E-health landschap BIJLAGE 6: Rolbeschrijving Functioneel Applicatiebeheerder BIJLAGE 7: Rolbeschrijving Informatie Manager BIJLAGE 8: Planning activiteiten Stap 1 (20xx-20xx)

Voorbeeld (1), inventarisatie, analyse, keuzes
Inventarisatie
“ICT heeft focus op A-zijde (department NO)”
“We hebben behoefte aan een ICT gesprekspartner die met ons mee denkt”
“Ons bedrijf kent geen formele proceseigenaren en functionele beheerders”


Analyse
“Ondersteuning aan de I-zijde is gewenst”
“Weinig samenhang tussen uitvoering projecten en bedrijfsvoering”


Keuze(s)
“Wij kiezen ervoor om bedrijfsvoering en ICT expliciet met elkaar te verbinden en te toetsen aan een vooraf opgesteld kwaliteitssysteem”

20

Voorbeeld (1), kaders, acties Kader

De informatiefunctie is gelijkwaardig aan andere functies (personeel, organisatie, financiën etc.). Beschrijving Om de verandering van een ‘aanbod’ gerichte informatiefunctie naar een ‘vraag gestuurde’ informatiefunctie te realiseren is het essentieel dat de informatiefunctie gelijkwaardig aan andere functies wordt gezien en ook concreet wordt ingericht. Dit betekent dat de informatiefunctie ingericht wordt met voldoende gekwalificeerd personeel, voldoende financiële middelen om de uitvoering van de informatieprojecten ook succesvol naar wens van de vragende organisatie te realiseren. Acties • Beleggen informatiefunctierollen in de organisatie; • Verbinden van ‘vraag’ en ‘aanbod’ door beschrijven en vaststellen van de werkwijze van informatiemanagement (BiSL[1] processen); • Het door een informatiemanager invulling geven aan de informatiefunctie in programma’s, en projecten, zodat borging van de informatiefunctie is geregeld en vastgesteld informatiebeleid ook altijd afgeleide blijft van organisatiebeleid.

Voorbeeld (2), inventarisatie, analyse, keuzes
Inventarisatie
“De control en rapportage cyclus is niet (voldoende) bekend”
“De betrouwbaarheid van informatie is nog onvoldoende”


Analyse
“Door ontbreken van proces gestuurd werken wordt er op meerdere domeinen risico’s gelopen”
“Er is nog geen eenduidige vertaling gemaakt van proces naar informatie en de bijbehorende stuurinformatie (KPI)”


Keuze(s)
“We kiezen voor borging sturing en regie (plan-do-check-act). Invoering van betrouwbare, tijdige en eenduidige procesinformatie”

Voorbeeld (2), kaders, acties Kader

Informatie is in de volle breedte betrouwbaar, actueel en tijdig beschikbaar. De organisatie stuurt op resultaten, rapporteert helder en geeft rekenschap.

Beschrijving

Uit het onderzoek blijkt dat de controle en rapportage cyclus onvoldoende bekend is. Daarbij is niet alle informatie betrouwbaar en niet actueel.

Acties

• •

•

Stel KPI’s gezamenlijk en eenduidig vast; Stel vast en implementeer een eenduidige Control en rapportage cyclus incl. een passende informatie infrastructuur met bijbehorende afspraken en TBV; Ieder document/rapport is voorzien van een versienummer en datum.

21

Uw ervaring


Wat zijn uw ervaringen?
Waar zitten de grootste knelpunten?
Kunt u binnen uw organisatie de vervolgstappen nemen?

Informatiebeleid, en dan?
Vaststellen informatiebeleidsplan
Indien nodig informatiearchitectuur opstellen
Informatieplan opstellen (=actieplan)
‘de verandering’ moet plaats gaan vinden
Basis voor de verandering is het solide proces voor ‘vertalen’ en ‘verbinden’ (= informatiemanagement) incl. sturing en control (PDCA)

Implementatie informatiemanagement 1. Bepalen informatiedomeinen (incl. grenzen, overlap etc.). 2. Beleggen verantwoordelijkheden informatiedomein(en) bij de business. 3. Bepalen plaats informatiemanagement in de organisatie. 4. Bepalen ambitieniveau, keuze processen en best practices (uitwerking van de feitelijke werkwijze), bijv. BiSL. 5. Inregelen van de aanbodzijde. 6. Evaluatie & Bijstelling.

22

Demand & Supply (1)
Supply verankerd in IT-organisatie
Demand
Veelal niet georganiseerd
Impliciet binnen de IT-organisatie
Gebruiker onbewust van zijn/haar vraag


Nauwelijks of geen alignement business - IT

Demand & Supply (2)
IT-organisatie ‘back to own business’
Inregelen servicemanagement processen (bijv. ITIL/AsL)


Inrichten Informatiemanagement in business







Ontwikkelt beleid, visie en strategie voor I Maakt gebruikersorganisatie bewust (zendeling) Brengt structuur  identificatie info-domeinen Zorgt voor eigenaarschap en verantwoordelijkheid Organiseer, bijvoorbeeld functioneel beheer Helpt de business bij het formuleren van de vraag

Demand & Supply (3)
Organiseren van sturing op IT
Inrichten van Informatie managementteam ( of bijvoorbeeld stuurgroep informatisering)


Mandaat





Informatiebeleidspelregels Informatieplanroadmap Projectportfolio managenprioriteitstelling Kortom: aansturen van de IT-organisatie

23

Management Frameworks

ASL

ITIL V3

BiSL

BiSL een framework voor Business IM

Vragen ?

 [email protected]

PAUZE


Na de pauze : Informatiebeveiliging

24

Agenda






14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:30 uur ICT- en Informatiebeleid 15:30 – 15:50 uur Pauze 15:50 – 16:30 uur Informatiebeveiliging 16:30 – ..:.. uur Napraten en Afsluiting

Deel 2: Informatiebeveiliging

Hans van Zwam

Agenda : Informatiebeveiliging

Deel 2 : Informatiebeveiliging
Aanleiding
Informatiebeveiliging
Gestandaardiseerde aanpak

25

Aanleiding….

Aanleiding
Informatie (digitaal) van hulpmiddel naar fundament voor organisatie
Beschikbaar: onafhankelijk van tijd, plaats, device
Bring your own Device: BYOD
Opkomst van de “Cloud”
Misbruik van informatie: grote impact
Verlies van informatie: ……. Maar ook:
Wettelijke eisen
Eisen van partners / klanten

Aanleiding Beveiliging is trend voor 2013


Beveiliging is de nieuwe wapenwedloop
In 2013 zal beveiliging niet meer uitsluitend het domein van specialisten zijn. Beveiliging wordt mainstream en krijgt een cruciale rol binnen de ICT. Toegangsmogelijkheden, infrastructuren en apps — niets is nog veilig voor aanvallen van cybercriminelen. Zij richten hun pijlen op zowel vaste als mobiele netwerken en hebben het gemunt op fysiek, intellectueel en financieel eigendom. Er is sprake van een nieuwe wapenwedloop, waarin alles, elk eindpunt, elk apparaat en internet-verbonden device, moet optimaal worden beveiligd. Krachtige beveiliging is geen vrijblijvende kwestie meer, bedrijven en instellingen moeten alles op alles zetten om hun intellectuele en fysieke eigendommen, de identiteit van hun klanten en de samenleving in z'n geheel te beschermen.

26

Uw mening : Enkele stellingen


Wij hebben een plan voor Informatiebeveiliging
Onze informatie is goed beveiligd
Een Informatiebeveiliging Plan heeft geen praktisch nut
We hebben al een Firewall en virusscanner: klaar!

Informatiebeveiliging gaat over Vertrouwen

Juni 2011: Hacker ‘Comohacker’ breekt in bij Diginotar. Hierdoor werd een fals certificaat afgegeven. Eind Juli: Diginotar raakt op de hoogte van het voorval, maar maakt hier geen melding van. 27-8-2011: Blog melding van de hack 30-8-2011: Diginotar bevestigt de hack 7-9-2011: De toezichthouder heeft tot het onderzoek besloten vanwege de ophef die is ontstaan over DigiNotar, nadat het bedrijf was gehackt. Er zijn problemen ontstaan bij de uitgifte van SSLcertificaten. Deze zijn bedoeld om de identiteit van een website te waarborgen. 20-9-2011: De Rechtbank Haarlem heeft de besloten vennootschap DigiNotar B.V. failliet verklaard.

Vertrouwen komt te voet en gaat te paard !

Informatiebeveiliging gaat over Vertrouwen

10-2-2012: KPN heeft per direct de e-mailaccounts van twee miljoen gebruikers geblokkeerd omdat klantgegevens gestolen en deels gepubliceerd zijn. Het gaat om e-mailaccounts van KPN.nl, Planet.nl en Hetnet.nl. Vanmiddag werden de gegevens van ruim 500 gebruikers gepubliceerd. Het ging onder andere om emailadressen, adresgegevens, telefoonnummers en onversleutelde wachtwoorden. De vermoedelijke dader, een 17 jarige jongen afkomstig uit Barendrecht, werd in maart aangehouden en vastgezet.

27

Wifi-netwerken te hacken door 'WPS-lek' <3-1-2013> . Veel draadloze routers zijn kwetsbaar door een gevaarlijk lek in de Wifi Protected Setup (WPS) functie. Je loopt het risico door een buurman te worden gehackt, draadloos en ... ongemerkt. Loop jij ook risico en wat moet je doen? Het wifiwachtwoord van minstens een half miljoen routers - waaronder modellen van KPN, UPC en Ziggo - is te kraken. Dit wifilek is al bekend sinds eind 2011 maar komt nog steeds voor, blijkt uit onderzoek door de Digitaalgids (editie 1/2013). In deze video geven we meer informatie over het lek in de Wifi Protected Setup van moderne routers en leggen we uit wat de risico's van een gehackt wifiwachtwoord zijn. In de 'veelgestelde vragen' hieronder vind je meer informatie, zoals welke provider(modem)routers met het probleem te kampen hebben en wat je als consument kunt doen.

Thuiswerken?...! Actie: Schakel WPS uit

Turkse Diginotar ? <4-1-2013> Globalisering: Denk !

Onder de verantwoordelijkheid van de Certificaatautoriteit Turktrust zijn tenminste twee valse certificaten in omloop gebracht, zo ontdekte Google. Google, Mozilla en Microsoft hebben inmiddels hun vertrouwen in de concrete certificaten – inmiddels drie – opgezegd. Op de Turktrust-website staat niets vermeld over de certificaten. Bron: omerta

Lessons Learned?

Inleiding
Informatiebeveiliging is van levensbelang en dus géén ICTfeestje.
Implementeren van alléén oplossingen (FW, virus-scanner, authenticatie-software) is niet voldoende.
Informatiebeveiliging betreft het gehele bedrijf:








ICT-infrastructuur Personeel Software Informatie in alle verschijningsvormen Organisatie/procedures Omgeving Diensten

Gestructureerde aanpak: kies voor een standaard!

28

Het belang van standaards







Van adhoc naar gestructureerd Duidelijke regels tussen organisaties Duidelijkheid naar klanten Gemeenschappelijk geaccepteerd Controleerbaar Basis voor ontwikkeling

Gebruik de kennis van instanties/ bedrijven die de standaards hebben ontwikkeld!

Basis




In 2000 Britse standaard BS7799 overgenomen in ISO/IEC 17799 Vertaling hiervan als Nederlandse norm: Code voor Informatiebeveiliging CvIB, subset NEN7510 voor Gezondheidszorg Nieuwste versie: ISO-27001 en 27002

BS7799

ISO17799

CvIB

ISO 27001/2

NEN7510 NEN7511

De Fasering Uitgangspunt zijn de bedrijfsprocessen Belangrijkste op te stellen documenten: 1.

Informatiebeveiligings beleid (IBB): vastleggen van principes, doelstellingen, richtinggevend aan de analyse! => Ambitieniveau

2.

Afhankelijkheidsanalyse: vaststellen wélke componenten nodig zijn om proces draaiende te houden.

3.

Kwetsbaarheidsanalyse: wat kan fout gaan met de componenten (bedreigingen) en met welke schade.

4.

Ontwerp maatregelen: welke maatregelen wil/kan/moet ik treffen tegen welke prijs.

29

De 11 categorieën CvIB 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen t.a.v. personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud systemen 9. Incidentmanagement 10.Continuïteitsmanagement 11.Naleving

Maatregelen NEN7510

Kwetsbaar?

30

Acht stappen naar een Informatie Beveiliging Plan

Geeft richting

Waar zijn we nu?

Waar willen we zijn?

Hoe komen we daar?

Hoe doen we dat?

Zijn we er?

Stap 1: Informatiebeveiligingsbeleid IBB (de elementen) Vervolgstappen zijn alleen zinvol als er beleid (en commitment) is. 1. 2. 3. 4. 5.

Weerspiegelt de bedrijfsdoelstellingen Past binnen de organisatiecultuur Vereist betrokkenheid van management Intern vermarkten Bepaalt in sterke mate de omvang van de analyse!

 Start met ruwe inventarisatie.  Verwerf steun van de leiding.  Formuleer beleid (!)

Stap 2: Inventarisatie (afhankelijkheidsanalyse) Branche afhankelijk:

1. Voorstudie

Bescherming persoonsgegevens NEN7510 Continuïteitsplan GBA SAS70

Bedrijfsprocessen in beeld brengen Onderlinge afhankelijkheid processen vaststellen Waardering toekennen: onbelangrijk – zeer belangrijk

2. Business Impact Analyse Componenten die proces mogelijk maken: Mensen Apparatuur Beschikbaarheid Programmatuur Integriteit (gevolgen van fouten) Gegevens Vertrouwelijkheid (gevoelige informatie) Organisatie Omgeving Diensten

• Processen met grootste toegevoegde waarde • Afhankelijkheidsniveaus vastgesteld

31

Stap 3: Eisen (Kwetsbaarheidsanalyse) 1. Externe eisen / externe partijen      

Wetgever Klanten Toeleveranciers Partners (incl outsourcing partners) Moedermaatschappij …..

Tegengestelde eisen?

2. Interne eisen   

Voorstudie BIA Waarden en normen

3. Bedreigingen   

4.

Lijst bedreigingen (bv. CRAMM of branche-specifiek NEN7510) Relevantie Kans op manifesteren There are lies, Risico analyse damned lies and  Risico = kans x schade statistics. Benjamin Disraeli

NEN7510: Integrale risico analyse (IRA)

Jericho Forum Jericho Forum: Een internationale denktank op het gebied van Informatiebeveiliging, die zich buigt over nieuwe beveiligingsconcepten. Het forum is opgericht op 16 januari 2004.

Jericho 2.0 gaat uit van de volgende beveiligingsmaatregelen: • encryptie/versleuteling, • inherent veilige computerprotocollen, • inherent veilige computersystemen, • authenticatie op gegevensniveau

32

Overheid opent meldpunt voor datalekken en storingen

Telecomwaakhond Opta en het Agentschap Telecom beginnen gezamenlijk een meldpunt voor datalekken en netwerkstoringen. Door wijzigingen in de telecomwet zijn bedrijven die een cruciale maatschappelijke functie vervullen verplicht om incidenten te melden.

Stap 4: Ontwerp Wat is bekend: • Belangrijkste processen • Bedreiging + kans + impact Selecteer de maatregelen: • Belangrijke processen vs risico • Wetgeving: verplicht • Business: keuze • 2 á 3 oplossingen oplopend in mate van verzekering en kosten • Afweging en keuze: functioneel – nulmeting - technisch Risico

Maatregel

maatregel

risico

Laag

Middel

Hoog

Preventief Repressief

Kosten

Correctief

Acht stappen naar een Informatie Beveiliging Plan: Fase 1 gereed

33

Fase 2 = Stap 5 tm 7: Implementatie / Doen Project • • • • •

Hele organisatie is betrokken! Directie vertegenwoordigd in stuurgroep Projectleider heeft autoriteit en mandaat • Bijv beoogd securitymanager Kies de projectmethodiek 20% maatregelen…… 80% oplossingen

• • • •

Techniek Procedures / werkinstructies / opleiding Beveiligingsorganisatie Borging  gedrag / management

Documenteer Controleer

Stap 8: Audit 1. Documenten 2. Gesprekken 3. Aanbevelingen 4. Borging

Audit NEN7510:2011 • Auditors kijken naar 3 zaken: 1. Opzet 2. Bestaan 3. Werking

• Welk ambitieniveau heeft de organisatie? • Hoe is dit bij U?

Hoe verder?

1. Waar staan we (Nulmeting) 2. Wat willen we ? (Beleid) 3. Verschil analyse: Hoe komen we daar? (plan van aanpak: Plan) 4. Hoe implementeren we de maatregelen (uitvoeren PVA: Do) 5. Hoe borgen we dit? (Check/Act) • Hoe zien jullie dit?

34

NPCF: Schandalig misbruik van patiëntgegevens toont noodzaak goede beveiliging <24-4-2012> Patiëntenfederatie NPCF heeft met afgrijzen gekeken naar de uitzending van Zembla waarin duidelijk werd gemaakt hoe achteloos soms met patiëntgegevens omgegaan wordt. Door een beveiligingslek in het computerprogramma Humannet , dat onder meer medische dossiers van bedrijfsartsen beheert, zijn medische en persoonlijke dossiers maandenlang toegankelijk geweest voor onbevoegden. In Humannet staan onder meer medische dossiers van bedrijfsartsen. De gegevens van werknemers van honderden bedrijven en arbodiensten staan in het systeem. Onder de bedrijven zijn FC Twente, de gemeente Deventer, Praxis, Bijenkorf en V&D. "Het is shocking en schandalig dat dit heeft kunnen gebeuren. Dit zit echt op niveau 'sleutel naast de voordeur onder bloempot'. Verschrikkelijk voor de mensen die het betreft," reageert Wilna Wind, directeur NPCF. De NPCF vindt dat onomstotelijk duidelijk moet zijn wie toegang heeft en wie inlogt. Het mag niet zo zijn dat je zomaar bij de gegevens van 300.000 patiënten kunt, zoals bij Humannet blijkbaar het geval was.

De 10 hoofdzonden (Windows Security) 10 deadly sins of Administrators about Windows Security: 10. 9. 8. 7. 6. 5. 4. 3. 2. 1.

Weak password Insecure internet browsing Lack of updates Lack of encryption Wysi not what you get Network monitor Pirated software Lack of backup mechanisms Lack of training Lack of documentation

9 van de 10 wachtwoorden…. <18 januari 2013: Bron: Security.nl>

Volgens Duncan Stewart, hoofdonderzoeker van de Canadese tak van Deloitte, is meer dan 90% van alle wachtwoorden die gebruikers op internet gebruiken, binnen enkele seconden te kraken. • Een wachtwoord van acht karakters zou met algemeen verkrijgbare virtualisatiesoftware en snelle videokaarten binnen vijf uur te kraken zijn. • Compleet willekeurige wachtwoorden zijn nog altijd het beste maar voor de doorsneegebruiker niet werkbaar. • …pleit voor multifactor-authenticatie waarbij niet alleen het wachtwoord maar ook zaken als bijvoorbeeld de mobiele telefoon, een creditcard of zelf biometriscche gegevens gebruikt moeten worden. • Twee Russische beveiligingsonderzoekers zette deze week ook een tool online waarmee SCADA-wachtwoorden te kraken zijn (systemen die o.a. worden gebruikt in de infrastructuur van energie- en watervoorziening). • Dus: Zelfs in 2013 is er dus nog veel voor verbetering vatbaar op het gebied van beveiliging.

35

Zorg voor goed opgeleide mensen…

ICT beveiligingsassessments voor web applicaties die gebruik maken van DigiD

Het Ministerie van Binnenlandse Zaken heeft besloten de kwaliteit van ICT beveiliging bij overheidsinstanties die gebruik maken van DigiD een forse impuls te geven. Het gekozen middel hiervoor is een jaarlijks terugkerend ICT beveiligings assessment dat deze instanties dienen te ondergaan.

Innervate DigiD nulmeting

Vragen ?

 [email protected]

36

Aanbieding: Workshop
Workshop opstellen ICTInformatiebeleidsplan

Speciale Aanbieding:

 U levert vooraf informatie u binnen 2 weken beslist….  InnervateIndien verwerkt de informatie dan is de Workshopterugkoppeling ICT- informatiebeleidop informatie  Tijdens workshop voor  Tijdens workshop verdieping op onderwerpen € 1.500,00 excl. BTW  Uitkomst: voldoende input voor de volgende stap

Agenda







14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:15 uur ICT Beleidsplan 15:15 – 15:35 uur Pauze 15:35 – 16:20 uur Informatiebeleid 16:20 – 16:50 uur Informatiebeveiliging 16:50 – ..:.. uur Napraten en Afsluiting

Afsluiting





Vragen? Evaluatieformulier Napraten onder het genot van een drankje En natuurlijk bedankt voor uw aanwezigheid!

37

Bedankt voor uw aandacht.

Innervate

Innervate Midden Nederland

Aziëlaan 12 6199 AG Maastricht Airport

De Corridor 21A 3621 ZA Breukelen

043-3581880 www.innervate.nl

38