Master Class Risicoanalyse PvIB oktober 2009 Jacques A. Cazemier
[email protected]
Jacques A. Cazemier IT sinds 1975 Digitale elektronica Technisch (F-16, Jovial J3B2, Atlas) Administratief (Mimer RDBMS, 3GL) Development methods (Stradis, ESA PSS05)
ISO 9000 Informatiebeveiliging sinds 1989 ISO 27000 Co-author ITIL Security Management Business Continuity Management Mgt Consultant, VKA Zoetermeer
2/34
Inhoud Inleiding RA: verplichte onderdelen Ervaringen Casus
3/34
Inleiding Risicoanalyse
4/34
Structurele informatiebeveiliging Veiligheidsbeleid Informatiebeveiligingsbeleid
e extern gen in dreig
Proces maatregelen Evaluatie
5/34
Verdeling van oorzaken van incidenten
accidental
water
fire
outsiders insiders
sources: DTI: 1993, 1996. ISF 1999, 2000, 2001, 2004, 2008 6/34
Generieke Risicomatrix BCM Actie: vermijden
Preventieve maatregelen
Proces aanpassen
Schade
Hoog
Actie: voorzorgen
Laag
Actie: optimaliseren
Actie: maatregelen nemen
Business as usual Maatregelen nemen
Risicoanalyse Maatregelen nemen
Laag
Hoog
Kans op optreden 7/34
Een van de redenen … … ‘t wordt steeds complexer
8/34
Nog een voorbeeld
9/34
Maatregel - voorbeeld Slot en sleutel 20% technisch 80% organisatorisch
10/34
Standaarden
www.bsi.de IT-Grundschutz
ISO 27002 – CvIB ISO 27001 – ISMS NEN7510 – voor de zorg
Dreigingen en maatregelen ISO 27005 – Risk Mgt BSI standard 100-3: Risk Analysis based on IT-Grundsvhutz
NIST ISF Best Practice Common Criteria (ISO 15408) producten
11/34
Vakjargon Informatiebeveiligingsaspecten:
Confidentiality
[Vertrouwelijkheid, Exclusiviteit]
geheim houden voor concurrentie, belastingdienst, media
Integrity
[Integriteit]
juist, tijdig, compleet informatie, gebuikers, h/w, s/w
Availability
[Beschikbaarheid]
het is er wanneer dat nodig is informatie, h/w, s/w, functionaliteit
12/34
Principes van maatregelen Vertrouwelijkheid
Afscheiding Envelop Functiescheiding, access control Hek
Juistheid, integriteit
Controle Controletotaal Inspectie Validatie
Beschikbaarheid
Redundantie Reserve(wiel) Back up Fax
13/34
Maatregelen
14/34
Risico Analyse - wat is het Activiteit om uit te vinden welke risico’s er zijn, en wat te doen om daar niet teveel last van te hebben
Resultaten en redenering vastgelegd in rapport
Optimaliseren ipv minimaliseren
15/34
Complete Risico Analyse Informatiebeveiligingsbeleid Standaarden
Bepalen werkingsgebied en diepgang
Werkingsgebied
Procesbeschrijvingen Inventarisatie processen en informatiesystemen
Bestaande betrouwbaarheidseisen
Betrouwbaarheidseisen
Opstellen betrouwbaarheidseisen
Faalanalyse
Dreigingsanalyse
Restrisico’s
Controle
Opstellen maatregelen
Overzicht risico’s
Bestaande maatregelen
Maatregelen
16/34
Q&D RA - overzicht • Inventariseer (sub)processen • Inventariseer informatie en hulpmiddelen • Bepaal belang
mapgood • Ga na wat er mis kan gaan en wat het effect daarvan is op het procesresultaat • Ken prioriteiten toe • Bepaal mogelijke oorzaken van falen • Stel maatregelen op om mogelijk oorzaken te voorkomen
17/34
Prioriteiten Hoog Invloed op gehele organisatie – ‘crisis’
Medium, midden Zichtbaar buiten organisatie Hogere prijzen, grotere levertijd
Laag Blijft binnenskamers Binnen de marges
18/34
Tools COBRA - www.riskworld.net Visart (NSA) - OPSEC Ctr. US Government @RISK - Excel sheet – Monte Carlo simulation Riskwatch - www.riskwatch.com CRAMM - CCTA Risk Analysis and Management Method Marion - USAF/OT&E Sprint, SARA, IRAM (ISF) - www.securityforum.com Firm - Citicus ONE
19/34
Tools -
cont’d
+
Consistency Repeatability Availability Communication aid
Unknown accuracy Learning curve Difficult to scale down Acceptance of results 872 controls
20/34
Voorbeeld: jouw thuiswerken
21/34
Scope en diepgang Werkprocessen Consultants & Projectmanagers
In de auto
Bij de klant
focus/diepgang
Back Office
Op kantoor
Sales Office
Thuiswerken
• Medewerker bereikbaar • Informatie beschikbaar, niet kwijt • Informatie niet in vreemde handen • Informatie niet onbedoeld veranderd 22/34
Vanuit thuis Met xxx laptop Via eigen lijntje naar Internetprovider xxx portal E-mail, agenda DMS voor projectfiles CRM voor klantgegevens Local storage van tijdelijke files
GSM voor telefonie
23/34
Voorbeeld: jouw telewerken - 1 • • • •
Welke activiteiten/processen? Welke informatie? Welke hulpmiddelen? Prioriteiten?
nr proces
hulpmiddel
prio
24/34
Voorbeeld: jouw telewerken - 2 • Wat kan er mis gaan? • Welk effect heeft dat? • Prioriteiten?
nr falen
effect
prio
25/34
Voorbeeld: jouw telewerken - 3 • • • •
Wat zijn de oorzaken? Wat kunnen we preventief doen? Wat kunnen we correctief doen? Wat kost dat?
nr falen
oorzaak
maatregel
26/34
Werk aan de winkel 27/34
Gemeente Glaswijk
Middelgrote gemeente Aan de rand van de Veluwe Organisatie volgens sectormodel Diensten met verantwoordelijkheid voor een beleidsgebied
28/34
Organisatie gemeente Glaswijk
29/34
Dienst Ruimtelijke Ordening 50 medewerkers Voorheen Bouw en Woningtoezicht Verkoopt o.m. grond aan projectontwikkelaars Proces staat in de schijnwerpers door ruzie tussen kopers H-RO wil informatiebeveiliging van proces ‘grondverkoop’ optimaliseren
30/34
Dienst Ruimtelijke Ordening Proces ‘grondverkoop’ Afgelopen 10 jaar gemiddeld 3,2 M€/jaar Voornemen tot verkoop wordt tijdens Raadsvergadering bekend gemaakt Inschrijving per gesloten couvert Gunningscriteria liggen vast; zijn vooraf niet openbaar GIS systeem voor beheer van openbare ruimte – incl te verkopen grond – link met Kadaster
31/34
Opdracht Master Class RA In groepen Voer risicoanalyse uit op proces ‘grondverkoop’ Leg tussenresultaten vast Bepaal 5 belangrijkste preventieve maatregelen Presenteer resultaten en onderbouwing
32/34
Prioriteiten definities Hoog Zeer grote schade (meer dan EUR 250.000) Politieke schade Heeft effect op gemeente Glaswijk
Midden Duidelijke schade (meer dan EUR 50.000)
Laag Schade valt binnen de marges, planning, budget Niet merkbaar buiten de gemeente
33/34
