Kennissessie ICT- en Informatiebeleid Hoe haalt u met ICT het maximale uit uw organisatie?
28-2-2013
Welkom ! Sprekers: Louk Dirken (ICT- en Informatiebeleid) Hans van Zwam (Informatiebeveiliging)
Voorstellingsronde Wie bent u, voor welke organisatie werkt u en wat is uw rol? Heeft u ICT- of informatiebeleid? Hoe actueel is deze? Wat verwacht u van deze middag?
Agenda
14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:30 uur ICT- en Informatiebeleid 15:30 – 15:50 uur Pauze 15:50 – 16:30 uur Informatiebeveiliging 16:30 – ..:.. uur Napraten en Afsluiting
1
INNERVATE …het andere ICT bedrijf Anders Werken en Anders Organiseren Vraagt een
andere
kijk op ICT
Wij geloven in organisaties waar ieder individu de ruimte krijgt om te bewegen en de verantwoording neemt om zijn of haar bijdrage te leveren. Volgens deze visie hebben we Innervate ingericht. Onze dienstverlening is erop gericht ICT binnen organisaties aan te laten sluiten op de nieuwe manieren van werken en organiseren.
Innervate Opgericht in 1999 Twee vestigingen Zuid Nederland en Midden Nederland Kernwaarden van Innervate zijn professionaliteit, transparant, ondernemerschap, vertrouwen en sociaal betrokken. Succesvol Onafhankelijk Multidisciplinair
Veranderingen als zekerheid ICT
Files
Vergrijzing
Schaarste op arbeidsmarkt
Kwaliteit van leven
Het Nieuwe Werken Consumeratie, Bring Your Own Device Cloud Computing/Applicaties As A Service Regelgeving en informatiebeveiliging ICT als dienstverlening, communicatie enabled IT Management Informatie Milieu
Individualisering
Kredietcrisis
Veiligheid
2
Agenda
14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:30 uur ICT- en Informatiebeleid 15:30 – 15:50 uur Pauze 15:50 – 16:30 uur Informatiebeveiliging 16:30 – ..:.. uur Napraten en Afsluiting
Spelregels
Iedereen is deelnemer Niemand is toeschouwer Alle interactie is goed Respect voor het individu Korte koffiepauze
Via verschillende stellingen en vragen het bevorderen van uitwisseling van gedachten en ideeën. 17
3
Agenda ICT- en Informatiebeleid
Aanleiding en issues Aanpak Discussie & Vragen
Interactief: dus als u vragen heeft…
Aanleiding / Noodzaak
Alignment is de combinatie van ‘verbinden’ en ‘vertalen’ Verbinden Eigenaarschap en proces van afstemming tussen Business & IT “Speel het spel” Vertalen Bedrijfsdoelstellingen vertalen naar informatiedoelen en inzet juiste ICT middelen “Best Fit”
4
Waar hebben we het over? InformatieBeleid (I)
ICT Beleid (A)
VERBINDEN V E R T A L E N
VERBINDEN
V E R T A L E N
VERBINDEN
Verbinden & Vertalen
Uw mening : Enkele stellingen
Zonder ICT- en/of Informatiebeleid wordt ICT bepaald door de boekhouder. De ‘Business’ voelt zich niet betrokken bij I en/of ICT Beleid ! Informatiemanagement (middelste kolom) is alleen iets voor de grotere organisatie(s)?
ICT- en Informatiebeleid: Aanleiding en issues Alles is onderworpen aan verandering… …en steeds sneller !
..
5
ICT : The Department of NO ..?
NO Functie: Cino
ICT- en Informatiebeleid: Aanleiding en issues Waarom beleid? Reorganisatie Fusie of overname Aanpassing in wet- en regelgeving Herijking van bestaande ICT middelen Wel of niet Outsourcen? Welke delen outsourcen? Management Informatie? Benchmark ICT organisatie
ICT- en Informatiebeleid: Aanleiding en issues Waarom beleid? (2) Kunnen kosten omlaag? Welke uitgaven voor de komende jaren? Innovatie vraagstukken Afstemming organisatie-processenmiddelen Continuïteitvraagstukken Informatiebeveiliging BYOD En ook voor ..Unified Communications
6
De afbeelding k an momenteel niet worden weergegev en.
Unified Communications Messaging
De afbeelding k an momenteel niet worden weergegev en.
Welke devices?
Bring your own device Aantal tablets in Nederland in 2012 is ca. 4,1 miljoen! “78% van de bedrijven geeft aan in 2013 tablets te gebruiken” “90% van de bedrijven ondersteunt zakelijke applicaties op personal devices in 2014” “In 2015 meer ontwikkelaars voor mobiele software dan voor vaste werkplekken”
7
Wat is de beweging in de ICT Cloud?
Overzicht Cloud leveranciers
De Hype Cycle nader bekeken
8
De meest gestelde vraag…
Bent u al Cloud-Ready? Cloud Computing grijpt in op alle aspecten van ICT: operations (Infrastructure as a Service), development (Platform as a Service) en portfoliomanagement voor applicaties (Software as a Service). De belangrijkste vraag bij Cloud Computing is nu of alle interne processen voldoende klaar zijn om zonder problemen uit te besteden. Het gaat dan over alle processen; operatie-, applicatie-, ontwikkelings- en integratie processen.
Vraag: Welke aanleidingen spelen er binnen uw organisatie? Hoe specifiek zijn deze? Hoe worden deze momenteel benaderd?
26
Beleid: definitie
Beleid is een verzameling van uitspraken, uitgangspunten, voorwaarden die gelden voor de besturing, de inzet van mensen en middelen in organisaties Het is een heldere, duidelijke en compacte omschrijving van doelstellingen. (= Communicatie document)
9
Beleid staat niet op zich: Projectie op Negenvlak ICT Strategie en beleid Organisatie Strategie en beleid Business & Proces architectuur
. Informatiearchitectuur . . Informatieprojecten . .
Organisatieplanning
Projecten
Operationele voorzieningen
Verbinden & Vertalen
. . . . .
. . . Informatieplan . . Informatievoorziening
ICT architectuur
Informatiebeleid
ICT planning
ICT Projecten
ICT voorzieningen
Verbinden & Vertalen
11
Uw mening : Enkele stellingen
Wat levert ICT- en Informatiebeleid volgens u op? Wie heeft het meeste voordeel van Beleid en wie het meeste ‘ last’ ? Wie heeft een Informatiebeleid (de Icomponent)?
Doelstelling ICT- en Informatiebeleid Het doel van het vastleggen van het ICT- en informatiebeleid is het bieden van een kader om maatregelen en investeringen in ICT voorzieningen te toetsen en om helder de verantwoordelijkheden binnen de organisatie te beleggen. Koppelt met bedrijfsstrategie. Periode van 3 jaar en wordt jaarlijks geëvalueerd en aangevuld.
10
ICT- en Informatiebeleid gaat over samenwerken
…en niet over g€ld (costcenter)
De uitdagingen Wat zijn de uitdagingen/valkuilen? Verkeerde verwachtingen (afstemming) Het wordt gezien als document ‘van’ ICT (draagvlak) Iedereen is het eens, maar er is geen uitvoering van het beleid (programma management) Het uitvoeren van het beleidsplan kost veel geld (Businesscases) ICT Beleidsplan is geen technologische verhandeling (verwachting) Deelnemers/opstellers beleidsplan zijn geen afspiegeling van organisatie (draagvlak)
Nog meer Beren?
Missie Het opstellen van het ICT- en Informatiebeleidsplan voor de komende 3-5 jaar Mensen
Processen
Middelen
11
Hoe aanpakken? Beleid is meer dan alleen inhoud (modellen) Stem scope af Verbinden: maak gebruik van de context! Humor? Definieer/Accepteer en volg een aanpak Vertalen: Niet denken vóór een ander. Multi disciplinair! Creëer ruimte voor voortschrijdend inzicht Draagvlak: eigenaarschap en sponsor
Model: Organisationele context Mensgericht
Innovatiegericht
Beheersgericht
Resultaatgericht
Organizational Culture Assessment Instrument (OCAI) van Quinn en Cameron
Model: Aard van het project Outcome
Unknown
Known
Pathway
Unknown
Greater chance of success
Greater chance of failure
A walk in the fog
Quest
New product development
Known
Painting by numbers Engineering, construction
Research, Organizational Change projects
Making a movie Software development
Turner, J.R; Cochrane, R.A; Goals-and-methods matrix
12
Roadmap ICT- en Informatiebeleid Hoe pakken we (=Innervate) dit aan? Roadmap Informatiebeleidsplan Roadmap ICT Beleidsplan Kernpunten:
Aanpakken verdeeld over aantal stappen; Aanpakken vergelijkbaar, doch verschillend; Pragmatisch en Flexibel (geen dogma’s); Innervate aanpakken gebaseerd op ervaring bestaande concepten en methodieken; Alle domeinen (mensen/organisatie, processen en middelen) worden onderzocht.
Aanpak ICT- en/of Informatiebeleidsplan Prioriteitstelling management
2
Strategie / Bedrijfsdoelstellingen / Algemeen bedrijfsbeleid / organisatieontwikkelingen / Business !
Analyse
5
Huidige situatie ICT- en/of informatiebeleid? SLA? ICT inrichting / Beschikbaarheid Organisatie/Rollen Thematische aanpak
1
4 3
Beleidsplan
Externe ontwikkelingen Overheid/ Markt / Techniek / Maatschappij
Scope: Verschillende domeinen Organisatie
Bedrijfsprocessen
Informatievoorziening
Software Applicaties Servers, Beveiliging, Internet, Hardware, Infrastructuur (kabels, datanetwerk) ‘Traditionele ICT Domein’
13
9-vlaks model (scope)
Stap 1: Vooronderzoek Bepalen van de scope (vastleggen) Vaststellen bestaande situatie (IST) Verzamelen van eerdere beleidsdocumenten en onderzoeksrapporten High-level bepaling van de volwassenheid van de organisatie EnBepalen ook: huidige informatievoorziening (I-plan?) Bepalen huidige informatiebeveiliging Stakeholder analyse (context) Gewenste situatie uitzetten opvaststellen 9-vlaks model Knelpunten in beleidvoering (workshop)
Stap 1: Vooronderzoek: deliverables Beschrijving van de IST-situatie
Organisatie Processen (ICT) Informatievoorziening (I-component) Applicaties Infrastructuur (datanetwerk, servers,e.d.)
Beschrijving van de risico’s
14
Domeinen afstemmen door Enterprise Architectuur
Enterprise Architectuur : zichtbaar maken van samenhang! Informatie architectuur
Product architectuur
? Business Proces architectuur
? ? ? Applicatie architectuur
Technische infrastructuur
?
applicaties
business
Voorbeeld model ‘service-desk’ view: lagenview (archimate) Servicedesk
Bedrijfsevent
Intake
Servicedesk Oplossen
Beoordelen
case admin service
contract service
Case Registratie
CMDB
config service
Module SLA
Servicedesk
infrastructuur
Fin Admin Informeren
CRM
Urenadmin
Messaging service
Outlook client
Urenadmin
Billing service
Purchasing
Exchangeservice
Facturatie
CRM
BILLING
SAPservice
Location R'mond
Telecity A'dam
Webserver
SAP server
Mailserver
Oracle APEX
SAP mail
Oracle XE DBMS
SQL
LAN
LAN
router2
WAN
router1
15
Stap 2: De gewenste situatie In kaart brengen van de gewenste situatie voor: Organisatie Rollen, functies, invulling
Processen Primaire-, Informatie-, Rapportage-, Beheer- processen
Informatievoorziening Informatieplan, informatiebeveiliging, management informatie
Applicaties Welke, Wie eigenaar, SLA, Funct. Beheer, Performance
Infrastructuur Welke, Architectuur, Inrichting, Omvang, SLA, BCP
Interviews Voldoende interviews met afspiegeling van organisatie Niet alleen halen van informatie maar ook Welke managers worden geïnterviewd? (vooraf vaststellen van sleutelfuncties) brengen Tijdsduur ca. 1 - 1,5 uur per interview een spiegel voorhouden Geïnterviewde Opnemen highlights interviews in eindrapport
Stap 2: De gewenste situatie Onderwerpen/thema’s:
Doel / missie van de organisatie concretiseren Beleid en strategie van onderneming (vooruit kijkend) Wat is de visie t.a.v. toekomst (groei/krimp)? Wat zijn gewenste KPI’s (welk informatieproces) Wat is visie t.a.v. Innovatie? Hoe ziet de ideale ondersteuning (verbinden en vertalen) eruit? Wat is de gewenste en benodigde ICT strategie? Hoe ziet ‘Informatie management’ in de toekomst uit? Hoe ziet ‘Informatie beveiliging’ in de toekomst uit? Welke procesverbeteringen zijn onderkend? Enz.
Stap 2: Resultaat Een helder en compleet inzicht in de wensen en eisen van de organisatie dat als basis dient voor alle volgende stappen. Awareness (start). Betrokkenheid.
16
Stap 3: Externe ontwikkelingen Nadat Stap 1 en Stap 2 zijn doorlopen, en alle interne factoren zijn bekend. In stap 3 worden de externe factoren bekeken. Organisatie betrekken via o.a. een workshop (vooral business). Verzamel belangrijkste ontwikkelingen Interactie vindt plaats via afstemming en bespreken stellingen.
Stap 3: Externe ontwikkelingen Wat doet de wereld om je heen? Algemene ontwikkelingen Arbeidsmarkt: Profilering als werkgever (bijv. social networking) Demografische ontwikkelingen:Toenemende Vergrijzing Veiligheid Technologische ontwikkelingen (zoals ICT Trends) Wetgeving en Beleid / Milieu Marktontwikkeling
Branchegerichte ontwikkelingen Brancherapporten Boeken: bijv. “ De invloed van externe ontwikkelingen op de interne sturing van Ziekenhuizen”
Trends (specifiek marktsegment) Klantwensen Bijv. Overheidsloket, e-overheid
Stap 4: Analyseren
STAP 2: Gewenste
STAP 1: Huidige situatie
situatie STAP 3: Externe factoren
Analyse
17
Stap 4: Analyseren De Invalshoeken Organisatie/Business Processen Informatie/ software Techniek De balans zoeken tussen organisatieprocessen en techniek-informatie
De verander potentie
6,6
6,4
6,7
Stap 4: Analyseren Organisatie Techniek
Processen
Informatie/ Software
18
Thema’s ICT- en Informatiebeleidsplan Huidige inrichting en stip op de horizon Standaardisatie (o.a.s software Microsoft etc, maar ook beheerstandaarden) Informatiebeveiliging Inrichting functionele en technische beheer (organisatie): Negenvlaksmodel Outsourcing & Cloud strategie Het Nieuwe Werken (incl. BYOD/CYOD) Enterprise Resource Planning (ERP) Enterprise Content Management (ECM) Digitaal werken
Stap 5: Opstellen ICT- en of informatiebeleidsplan
Organisatie/Business Techniek Informatie Processen
Snelheid afhankelijk van volwassenheid organisatie
ICT- en informatiebeleidsplan (de kapstok) Goedkeuring! Startup projectteam Doen! Aanpak Tools
Aanpak
Methodes Tools
Kennis
…..
…..
Aanpak
Methodes Tools
Kennis
Planning
Methodes
Kennis
…..
19
Resultaten in perspectief (9 vlaksmodel)
Advies voor corrigerende maatregelen komen vanuit dit model 60
Inhoudsopgave 1 ALGEMEEN 1.1 Inleiding 1.2 Doelstelling 1.3 Positionering ICT Beleid 1.4 Opbouw van het rapport 2 HUIDIGE SITUATIE 2.1 Inleiding 2.1.1 Geraadpleegde documenten 2.1.2 Interviews 2.2 ICT inrichting 2.2.1 Organisatie 2.2.2 Technische inrichting Datanetwerk (LAN/WAN) 2.2.3 Centrale Serveromgeving 2.2.4 Client omgeving (werkplek omgeving) 2.2.5 Printers 2.2.6 Applicaties 2.2.7 Telefonie 2.2.8 Informatiebeveiliging (NEN7510) 2.2.9 Kosten 2.2.10 ICT Projecten & projectmethodiek 2.3 Domotica: Zorg alarmering (Sociale alarmering) 2.4 Processen 2.5 Externe ontwikkelingen 2.6 Samenvatting huidige situatie
3 GEWENSTE SITUATIE 3.1 Inleiding 3.2 Beleidskeuzes en afgeleide kaders 3.2.1 Keuzes 3.2.2 Beleid en organisatie 3.2.3 Informatie, -systemen, gebruik en beheer 3.2.4 Informatiebeveiliging 3.3 Stip op de horizon ICT inrichting 3.3.1 ICT Organisatie 3.3.2 ICT Infrastructuur 3.3.3 Applicaties 3.3.4 Domotica 3.3.5 Informatiebeveiliging 4 CONCLUSIES EN AANBEVELINGEN 4.1 Inleiding 4.2 Actieplan 4.2.1 Stap 1: Korte termijn actieplan (20xx+20xx) ‘Huis op orde’ 4.2.2 Stap 2: Middellange termijn actieplan (20xx-20xx) 4.2.3 Voorwaarden 4.2.4 Resultaat 4.2.5 Stap 3: Lange termijn actieplan ( vanaf 20xx) BIJLAGE 1: Schematisch overzicht LAN/WAN BIJLAGE 2: ICT infra huidige situatie BIJLAGE 3: Applicatie overzicht BIJLAGE 4: Korte termijn acties BIJLAGE 5: Overzicht Domotica/E-health landschap BIJLAGE 6: Rolbeschrijving Functioneel Applicatiebeheerder BIJLAGE 7: Rolbeschrijving Informatie Manager BIJLAGE 8: Planning activiteiten Stap 1 (20xx-20xx)
Voorbeeld (1), inventarisatie, analyse, keuzes Inventarisatie “ICT heeft focus op A-zijde (department NO)” “We hebben behoefte aan een ICT gesprekspartner die met ons mee denkt” “Ons bedrijf kent geen formele proceseigenaren en functionele beheerders”
Analyse “Ondersteuning aan de I-zijde is gewenst” “Weinig samenhang tussen uitvoering projecten en bedrijfsvoering”
Keuze(s) “Wij kiezen ervoor om bedrijfsvoering en ICT expliciet met elkaar te verbinden en te toetsen aan een vooraf opgesteld kwaliteitssysteem”
20
Voorbeeld (1), kaders, acties Kader
De informatiefunctie is gelijkwaardig aan andere functies (personeel, organisatie, financiën etc.). Beschrijving Om de verandering van een ‘aanbod’ gerichte informatiefunctie naar een ‘vraag gestuurde’ informatiefunctie te realiseren is het essentieel dat de informatiefunctie gelijkwaardig aan andere functies wordt gezien en ook concreet wordt ingericht. Dit betekent dat de informatiefunctie ingericht wordt met voldoende gekwalificeerd personeel, voldoende financiële middelen om de uitvoering van de informatieprojecten ook succesvol naar wens van de vragende organisatie te realiseren. Acties • Beleggen informatiefunctierollen in de organisatie; • Verbinden van ‘vraag’ en ‘aanbod’ door beschrijven en vaststellen van de werkwijze van informatiemanagement (BiSL[1] processen); • Het door een informatiemanager invulling geven aan de informatiefunctie in programma’s, en projecten, zodat borging van de informatiefunctie is geregeld en vastgesteld informatiebeleid ook altijd afgeleide blijft van organisatiebeleid.
Voorbeeld (2), inventarisatie, analyse, keuzes Inventarisatie “De control en rapportage cyclus is niet (voldoende) bekend” “De betrouwbaarheid van informatie is nog onvoldoende”
Analyse “Door ontbreken van proces gestuurd werken wordt er op meerdere domeinen risico’s gelopen” “Er is nog geen eenduidige vertaling gemaakt van proces naar informatie en de bijbehorende stuurinformatie (KPI)”
Keuze(s) “We kiezen voor borging sturing en regie (plan-do-check-act). Invoering van betrouwbare, tijdige en eenduidige procesinformatie”
Voorbeeld (2), kaders, acties Kader
Informatie is in de volle breedte betrouwbaar, actueel en tijdig beschikbaar. De organisatie stuurt op resultaten, rapporteert helder en geeft rekenschap.
Beschrijving
Uit het onderzoek blijkt dat de controle en rapportage cyclus onvoldoende bekend is. Daarbij is niet alle informatie betrouwbaar en niet actueel.
Acties
• •
•
Stel KPI’s gezamenlijk en eenduidig vast; Stel vast en implementeer een eenduidige Control en rapportage cyclus incl. een passende informatie infrastructuur met bijbehorende afspraken en TBV; Ieder document/rapport is voorzien van een versienummer en datum.
21
Uw ervaring
Wat zijn uw ervaringen? Waar zitten de grootste knelpunten? Kunt u binnen uw organisatie de vervolgstappen nemen?
Informatiebeleid, en dan? Vaststellen informatiebeleidsplan Indien nodig informatiearchitectuur opstellen Informatieplan opstellen (=actieplan) ‘de verandering’ moet plaats gaan vinden Basis voor de verandering is het solide proces voor ‘vertalen’ en ‘verbinden’ (= informatiemanagement) incl. sturing en control (PDCA)
Implementatie informatiemanagement 1. Bepalen informatiedomeinen (incl. grenzen, overlap etc.). 2. Beleggen verantwoordelijkheden informatiedomein(en) bij de business. 3. Bepalen plaats informatiemanagement in de organisatie. 4. Bepalen ambitieniveau, keuze processen en best practices (uitwerking van de feitelijke werkwijze), bijv. BiSL. 5. Inregelen van de aanbodzijde. 6. Evaluatie & Bijstelling.
22
Demand & Supply (1) Supply verankerd in IT-organisatie Demand Veelal niet georganiseerd Impliciet binnen de IT-organisatie Gebruiker onbewust van zijn/haar vraag
Nauwelijks of geen alignement business - IT
Demand & Supply (2) IT-organisatie ‘back to own business’ Inregelen servicemanagement processen (bijv. ITIL/AsL)
Inrichten Informatiemanagement in business
Ontwikkelt beleid, visie en strategie voor I Maakt gebruikersorganisatie bewust (zendeling) Brengt structuur identificatie info-domeinen Zorgt voor eigenaarschap en verantwoordelijkheid Organiseer, bijvoorbeeld functioneel beheer Helpt de business bij het formuleren van de vraag
Demand & Supply (3) Organiseren van sturing op IT Inrichten van Informatie managementteam ( of bijvoorbeeld stuurgroep informatisering)
Mandaat
Informatiebeleidspelregels Informatieplanroadmap Projectportfolio managenprioriteitstelling Kortom: aansturen van de IT-organisatie
23
Management Frameworks
ASL
ITIL V3
BiSL
BiSL een framework voor Business IM
Vragen ?
[email protected]
PAUZE
Na de pauze : Informatiebeveiliging
24
Agenda
14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:30 uur ICT- en Informatiebeleid 15:30 – 15:50 uur Pauze 15:50 – 16:30 uur Informatiebeveiliging 16:30 – ..:.. uur Napraten en Afsluiting
Deel 2: Informatiebeveiliging
Hans van Zwam
Agenda : Informatiebeveiliging
Deel 2 : Informatiebeveiliging Aanleiding Informatiebeveiliging Gestandaardiseerde aanpak
25
Aanleiding….
Aanleiding Informatie (digitaal) van hulpmiddel naar fundament voor organisatie Beschikbaar: onafhankelijk van tijd, plaats, device Bring your own Device: BYOD Opkomst van de “Cloud” Misbruik van informatie: grote impact Verlies van informatie: ……. Maar ook: Wettelijke eisen Eisen van partners / klanten
Aanleiding Beveiliging is trend voor 2013
Beveiliging is de nieuwe wapenwedloop In 2013 zal beveiliging niet meer uitsluitend het domein van specialisten zijn. Beveiliging wordt mainstream en krijgt een cruciale rol binnen de ICT. Toegangsmogelijkheden, infrastructuren en apps — niets is nog veilig voor aanvallen van cybercriminelen. Zij richten hun pijlen op zowel vaste als mobiele netwerken en hebben het gemunt op fysiek, intellectueel en financieel eigendom. Er is sprake van een nieuwe wapenwedloop, waarin alles, elk eindpunt, elk apparaat en internet-verbonden device, moet optimaal worden beveiligd. Krachtige beveiliging is geen vrijblijvende kwestie meer, bedrijven en instellingen moeten alles op alles zetten om hun intellectuele en fysieke eigendommen, de identiteit van hun klanten en de samenleving in z'n geheel te beschermen.
26
Uw mening : Enkele stellingen
Wij hebben een plan voor Informatiebeveiliging Onze informatie is goed beveiligd Een Informatiebeveiliging Plan heeft geen praktisch nut We hebben al een Firewall en virusscanner: klaar!
Informatiebeveiliging gaat over Vertrouwen
Juni 2011: Hacker ‘Comohacker’ breekt in bij Diginotar. Hierdoor werd een fals certificaat afgegeven. Eind Juli: Diginotar raakt op de hoogte van het voorval, maar maakt hier geen melding van. 27-8-2011: Blog melding van de hack 30-8-2011: Diginotar bevestigt de hack 7-9-2011: De toezichthouder heeft tot het onderzoek besloten vanwege de ophef die is ontstaan over DigiNotar, nadat het bedrijf was gehackt. Er zijn problemen ontstaan bij de uitgifte van SSLcertificaten. Deze zijn bedoeld om de identiteit van een website te waarborgen. 20-9-2011: De Rechtbank Haarlem heeft de besloten vennootschap DigiNotar B.V. failliet verklaard.
Vertrouwen komt te voet en gaat te paard !
Informatiebeveiliging gaat over Vertrouwen
10-2-2012: KPN heeft per direct de e-mailaccounts van twee miljoen gebruikers geblokkeerd omdat klantgegevens gestolen en deels gepubliceerd zijn. Het gaat om e-mailaccounts van KPN.nl, Planet.nl en Hetnet.nl. Vanmiddag werden de gegevens van ruim 500 gebruikers gepubliceerd. Het ging onder andere om emailadressen, adresgegevens, telefoonnummers en onversleutelde wachtwoorden. De vermoedelijke dader, een 17 jarige jongen afkomstig uit Barendrecht, werd in maart aangehouden en vastgezet.
27
Wifi-netwerken te hacken door 'WPS-lek' <3-1-2013> . Veel draadloze routers zijn kwetsbaar door een gevaarlijk lek in de Wifi Protected Setup (WPS) functie. Je loopt het risico door een buurman te worden gehackt, draadloos en ... ongemerkt. Loop jij ook risico en wat moet je doen? Het wifiwachtwoord van minstens een half miljoen routers - waaronder modellen van KPN, UPC en Ziggo - is te kraken. Dit wifilek is al bekend sinds eind 2011 maar komt nog steeds voor, blijkt uit onderzoek door de Digitaalgids (editie 1/2013). In deze video geven we meer informatie over het lek in de Wifi Protected Setup van moderne routers en leggen we uit wat de risico's van een gehackt wifiwachtwoord zijn. In de 'veelgestelde vragen' hieronder vind je meer informatie, zoals welke provider(modem)routers met het probleem te kampen hebben en wat je als consument kunt doen.
Thuiswerken?...! Actie: Schakel WPS uit
Turkse Diginotar ? <4-1-2013> Globalisering: Denk !
Onder de verantwoordelijkheid van de Certificaatautoriteit Turktrust zijn tenminste twee valse certificaten in omloop gebracht, zo ontdekte Google. Google, Mozilla en Microsoft hebben inmiddels hun vertrouwen in de concrete certificaten – inmiddels drie – opgezegd. Op de Turktrust-website staat niets vermeld over de certificaten. Bron: omerta
Lessons Learned?
Inleiding Informatiebeveiliging is van levensbelang en dus géén ICTfeestje. Implementeren van alléén oplossingen (FW, virus-scanner, authenticatie-software) is niet voldoende. Informatiebeveiliging betreft het gehele bedrijf:
ICT-infrastructuur Personeel Software Informatie in alle verschijningsvormen Organisatie/procedures Omgeving Diensten
Gestructureerde aanpak: kies voor een standaard!
28
Het belang van standaards
Van adhoc naar gestructureerd Duidelijke regels tussen organisaties Duidelijkheid naar klanten Gemeenschappelijk geaccepteerd Controleerbaar Basis voor ontwikkeling
Gebruik de kennis van instanties/ bedrijven die de standaards hebben ontwikkeld!
Basis
In 2000 Britse standaard BS7799 overgenomen in ISO/IEC 17799 Vertaling hiervan als Nederlandse norm: Code voor Informatiebeveiliging CvIB, subset NEN7510 voor Gezondheidszorg Nieuwste versie: ISO-27001 en 27002
BS7799
ISO17799
CvIB
ISO 27001/2
NEN7510 NEN7511
De Fasering Uitgangspunt zijn de bedrijfsprocessen Belangrijkste op te stellen documenten: 1.
Informatiebeveiligings beleid (IBB): vastleggen van principes, doelstellingen, richtinggevend aan de analyse! => Ambitieniveau
2.
Afhankelijkheidsanalyse: vaststellen wélke componenten nodig zijn om proces draaiende te houden.
3.
Kwetsbaarheidsanalyse: wat kan fout gaan met de componenten (bedreigingen) en met welke schade.
4.
Ontwerp maatregelen: welke maatregelen wil/kan/moet ik treffen tegen welke prijs.
29
De 11 categorieën CvIB 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen t.a.v. personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud systemen 9. Incidentmanagement 10.Continuïteitsmanagement 11.Naleving
Maatregelen NEN7510
Kwetsbaar?
30
Acht stappen naar een Informatie Beveiliging Plan
Geeft richting
Waar zijn we nu?
Waar willen we zijn?
Hoe komen we daar?
Hoe doen we dat?
Zijn we er?
Stap 1: Informatiebeveiligingsbeleid IBB (de elementen) Vervolgstappen zijn alleen zinvol als er beleid (en commitment) is. 1. 2. 3. 4. 5.
Weerspiegelt de bedrijfsdoelstellingen Past binnen de organisatiecultuur Vereist betrokkenheid van management Intern vermarkten Bepaalt in sterke mate de omvang van de analyse!
Start met ruwe inventarisatie. Verwerf steun van de leiding. Formuleer beleid (!)
Stap 2: Inventarisatie (afhankelijkheidsanalyse) Branche afhankelijk:
1. Voorstudie
Bescherming persoonsgegevens NEN7510 Continuïteitsplan GBA SAS70
Bedrijfsprocessen in beeld brengen Onderlinge afhankelijkheid processen vaststellen Waardering toekennen: onbelangrijk – zeer belangrijk
2. Business Impact Analyse Componenten die proces mogelijk maken: Mensen Apparatuur Beschikbaarheid Programmatuur Integriteit (gevolgen van fouten) Gegevens Vertrouwelijkheid (gevoelige informatie) Organisatie Omgeving Diensten
• Processen met grootste toegevoegde waarde • Afhankelijkheidsniveaus vastgesteld
31
Stap 3: Eisen (Kwetsbaarheidsanalyse) 1. Externe eisen / externe partijen
Wetgever Klanten Toeleveranciers Partners (incl outsourcing partners) Moedermaatschappij …..
Tegengestelde eisen?
2. Interne eisen
Voorstudie BIA Waarden en normen
3. Bedreigingen
4.
Lijst bedreigingen (bv. CRAMM of branche-specifiek NEN7510) Relevantie Kans op manifesteren There are lies, Risico analyse damned lies and Risico = kans x schade statistics. Benjamin Disraeli
NEN7510: Integrale risico analyse (IRA)
Jericho Forum Jericho Forum: Een internationale denktank op het gebied van Informatiebeveiliging, die zich buigt over nieuwe beveiligingsconcepten. Het forum is opgericht op 16 januari 2004.
Jericho 2.0 gaat uit van de volgende beveiligingsmaatregelen: • encryptie/versleuteling, • inherent veilige computerprotocollen, • inherent veilige computersystemen, • authenticatie op gegevensniveau
32
Overheid opent meldpunt voor datalekken en storingen
Telecomwaakhond Opta en het Agentschap Telecom beginnen gezamenlijk een meldpunt voor datalekken en netwerkstoringen. Door wijzigingen in de telecomwet zijn bedrijven die een cruciale maatschappelijke functie vervullen verplicht om incidenten te melden.
Stap 4: Ontwerp Wat is bekend: • Belangrijkste processen • Bedreiging + kans + impact Selecteer de maatregelen: • Belangrijke processen vs risico • Wetgeving: verplicht • Business: keuze • 2 á 3 oplossingen oplopend in mate van verzekering en kosten • Afweging en keuze: functioneel – nulmeting - technisch Risico
Maatregel
maatregel
risico
Laag
Middel
Hoog
Preventief Repressief
Kosten
Correctief
Acht stappen naar een Informatie Beveiliging Plan: Fase 1 gereed
33
Fase 2 = Stap 5 tm 7: Implementatie / Doen Project • • • • •
Hele organisatie is betrokken! Directie vertegenwoordigd in stuurgroep Projectleider heeft autoriteit en mandaat • Bijv beoogd securitymanager Kies de projectmethodiek 20% maatregelen…… 80% oplossingen
• • • •
Techniek Procedures / werkinstructies / opleiding Beveiligingsorganisatie Borging gedrag / management
Documenteer Controleer
Stap 8: Audit 1. Documenten 2. Gesprekken 3. Aanbevelingen 4. Borging
Audit NEN7510:2011 • Auditors kijken naar 3 zaken: 1. Opzet 2. Bestaan 3. Werking
• Welk ambitieniveau heeft de organisatie? • Hoe is dit bij U?
Hoe verder?
1. Waar staan we (Nulmeting) 2. Wat willen we ? (Beleid) 3. Verschil analyse: Hoe komen we daar? (plan van aanpak: Plan) 4. Hoe implementeren we de maatregelen (uitvoeren PVA: Do) 5. Hoe borgen we dit? (Check/Act) • Hoe zien jullie dit?
34
NPCF: Schandalig misbruik van patiëntgegevens toont noodzaak goede beveiliging <24-4-2012> Patiëntenfederatie NPCF heeft met afgrijzen gekeken naar de uitzending van Zembla waarin duidelijk werd gemaakt hoe achteloos soms met patiëntgegevens omgegaan wordt. Door een beveiligingslek in het computerprogramma Humannet , dat onder meer medische dossiers van bedrijfsartsen beheert, zijn medische en persoonlijke dossiers maandenlang toegankelijk geweest voor onbevoegden. In Humannet staan onder meer medische dossiers van bedrijfsartsen. De gegevens van werknemers van honderden bedrijven en arbodiensten staan in het systeem. Onder de bedrijven zijn FC Twente, de gemeente Deventer, Praxis, Bijenkorf en V&D. "Het is shocking en schandalig dat dit heeft kunnen gebeuren. Dit zit echt op niveau 'sleutel naast de voordeur onder bloempot'. Verschrikkelijk voor de mensen die het betreft," reageert Wilna Wind, directeur NPCF. De NPCF vindt dat onomstotelijk duidelijk moet zijn wie toegang heeft en wie inlogt. Het mag niet zo zijn dat je zomaar bij de gegevens van 300.000 patiënten kunt, zoals bij Humannet blijkbaar het geval was.
De 10 hoofdzonden (Windows Security) 10 deadly sins of Administrators about Windows Security: 10. 9. 8. 7. 6. 5. 4. 3. 2. 1.
Weak password Insecure internet browsing Lack of updates Lack of encryption Wysi not what you get Network monitor Pirated software Lack of backup mechanisms Lack of training Lack of documentation
9 van de 10 wachtwoorden…. <18 januari 2013: Bron: Security.nl>
Volgens Duncan Stewart, hoofdonderzoeker van de Canadese tak van Deloitte, is meer dan 90% van alle wachtwoorden die gebruikers op internet gebruiken, binnen enkele seconden te kraken. • Een wachtwoord van acht karakters zou met algemeen verkrijgbare virtualisatiesoftware en snelle videokaarten binnen vijf uur te kraken zijn. • Compleet willekeurige wachtwoorden zijn nog altijd het beste maar voor de doorsneegebruiker niet werkbaar. • …pleit voor multifactor-authenticatie waarbij niet alleen het wachtwoord maar ook zaken als bijvoorbeeld de mobiele telefoon, een creditcard of zelf biometriscche gegevens gebruikt moeten worden. • Twee Russische beveiligingsonderzoekers zette deze week ook een tool online waarmee SCADA-wachtwoorden te kraken zijn (systemen die o.a. worden gebruikt in de infrastructuur van energie- en watervoorziening). • Dus: Zelfs in 2013 is er dus nog veel voor verbetering vatbaar op het gebied van beveiliging.
35
Zorg voor goed opgeleide mensen…
ICT beveiligingsassessments voor web applicaties die gebruik maken van DigiD
Het Ministerie van Binnenlandse Zaken heeft besloten de kwaliteit van ICT beveiliging bij overheidsinstanties die gebruik maken van DigiD een forse impuls te geven. Het gekozen middel hiervoor is een jaarlijks terugkerend ICT beveiligings assessment dat deze instanties dienen te ondergaan.
Innervate DigiD nulmeting
Vragen ?
[email protected]
36
Aanbieding: Workshop Workshop opstellen ICTInformatiebeleidsplan
Speciale Aanbieding:
U levert vooraf informatie u binnen 2 weken beslist…. InnervateIndien verwerkt de informatie dan is de Workshopterugkoppeling ICT- informatiebeleidop informatie Tijdens workshop voor Tijdens workshop verdieping op onderwerpen € 1.500,00 excl. BTW Uitkomst: voldoende input voor de volgende stap
Agenda
14:00 – 14:15 uur Ontvangst/Welkomstwoord 14:15 – 15:15 uur ICT Beleidsplan 15:15 – 15:35 uur Pauze 15:35 – 16:20 uur Informatiebeleid 16:20 – 16:50 uur Informatiebeveiliging 16:50 – ..:.. uur Napraten en Afsluiting
Afsluiting
Vragen? Evaluatieformulier Napraten onder het genot van een drankje En natuurlijk bedankt voor uw aanwezigheid!
37
Bedankt voor uw aandacht.
Innervate
Innervate Midden Nederland
Aziëlaan 12 6199 AG Maastricht Airport
De Corridor 21A 3621 ZA Breukelen
043-3581880 www.innervate.nl
38