Meten is Weten Evaluatie van Informatiebeveiliging Balanced Scorecard Robert Veenstra Projectleider Informatiebeveiliging Nederlands Forensisch Instituut
Presentatie 1.
Nederlands Forensisch Instituut (NFI)
2.
NFI en Informatiebeveiliging
3.
Informatiebeveiliging in Control ?
4.
INK en Balanced Scorecard
5.
Ontwikkeling Balanced Scorecard Informatiebeveiliging
6.
Toekomst
Nederlands Forensisch Instituut Ontstaan uit fusie Gerechtelijk Laboratorium & Laboratorium Gerechtelijke Pathologie (1999) Het NFI wil een toonaangevend instituut zijn op het gebied van toepassing, ontwikkeling en overdracht van de forensische wetenschap
Kerntaken & Cijfers
Chemie Chemie Verdovende Verdovende Middelen Middelen
Digitale Digitale Technologie Technologie
Zaakonderzoek Zaakonderzoek Biologie Biologie
Milieu Milieu Pathologie Pathologie
R&D
Toxicologie Toxicologie
Fysische Fysische Technologie Technologie
Aanvragen 19.543 SVO’s 58.818 Personeel 319 Budget 30 mln
Kennis &Expertise
NFI en Informatiebeveiliging • Wettelijke eisen (VIR, VIR-BI,WBP,…) • Voorschriften vanuit Ministerie van Justitie Maar ook: • Maatschappelijke verantwoordelijkheid (belemmering van de rechtsgang) • Imagoschade • Stagnatie van processen
NFI en Informatiebeveiliging Doelstelling van informatiebeveiliging voor het NFI is het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van alle vormen van informatie die het NFI gebruikt voor de uitoefening van haar taken. Informatiebeveiliging vormt een onderdeel van de kwaliteitszorg voor bedrijfsprocessen en ondersteunende informatiesystemen
Informatiebeveiliging: In Control ? Meten is weten ! • • • •
Informatiebeveiliging slechts op ad-hoc basis gemeten Geen éénduidige evaluatiemethodiek Geen duidelijke vaste meetdoelstellingen Geen duidelijke vaste meetmomenten. Dus Wat/Hoe/Hoe Vaak Meten ?
Informatiebeveiliging: In Control ? ‘Traditioneel’ - Checklists/normen (ISO17799, WBP, Justitie) - Nadruk op stand van zaken implementatie, weinig procesgericht - Zijn de elementen die ‘anderen’ belangrijk vinden ook belangrijk voor het NFI ?
- Financiële aspecten (ROI, terugverdientijd,..) - Risico’s, kosten en opbrengsten informatiebeveiliging meetbaar ?
- Afname beveiligingsincidenten - Toeval of gevolg van ?
Dus Wat/Hoe/Hoe Vaak Meten ?
INK, Informatiebeveiliging en Balanced Scorecard Waarom informatiebeveiliging koppelen aan INK ? • Bekendheid bij de directie en het management van het NFI. Aansluiting maakt beter inzichtelijk welke effort nodig is en waarom. • Informatiebeveiliging integraal onderwerp binnen kwaliteitszorg. • Gebruik als ontwikkelmodel voor informatiebeveiliging • Gebruik als sturingsmodel. Regelmatig evalueren van informatiebeveiliging.
INK-management model
Waardering door medewerkers
Medewerkers
Waardering door klanten
Waardering door maatschappij
Eindresultaten
Middelen
Processen
Leiderschap
Strategie & beleid
INK en Balanced Scorecard • Doelformulering: ‘We willen een ketengerichte organisatie zijn, wat zijn de kenmerken van de diverse organisatievelden’. • Ontwikkelmodel: ‘Hoe moeten we de organisatievelden inrichten, gegeven de eindresultaten’. • Sturingsmodel: ‘Doen we dingen zoals afgesproken’. Balanced Scorecard gebruikt als meetinstument voor sturing!!
Ontwikkeling Balanced Scorecard Stappen : •
Inventarisatie stakeholders: eisen, wensen en verwachtingen t.a.v. informatiebeveiliging – – – –
•
Vaststelling perspectieven (v Grembergen) – –
• •
Directie en lijnmanagement NFI Sub-Informatiebeveiligingsambtenaar Afdelingshoofden Automatisering en Facilitaire Zaken Medewerkers Medewerkers Operatie
– Directie – Toekomst
Vaststellen visie en strategieën per perspectief Vaststellen maatstaven per strategie
Ontwikkeling Balanced Scorecard Stappen : •
•
Detaillering maatstaven: – Beschrijving van de maatstaf (wat meten) – Doel van de maatstaf (voor wie meten ?) – Frequentie (hoe vaak meten) – Wijze van informatieverzameling (hoe meten) – Wat betekent een verandering in de maatstaf – Welke acties zijn noodzakelijk Presentatie indicatoren (stoplicht, radar, barcharts…)
Ontwikkeling Balanced Scorecard 1. Inventarisatie eisen, wensen van stakeholders 2. Voorstel Balanced Scorecard (eerste versie 15 strategieen, ca. 30 maatstaven) 3. Discussie maatstaven met stakeholders 4. Aangepast voorstel Balanced Scorecard (9 belangrijkste strategieën, 17 maatstaven) 5. Accordering door stakeholders
Visie, Strategie en Maatstaven: Voorbeeld
Directieperspectief: Visie Informatiebeveiliging vormt een onderdeel van de kwaliteitszorg voor bedrijfsprocessen en ondersteunende informatiesystemen. Informatiebeveiliging dient zodanig gemanaged te worden dat wordt voldaan aan de relevante wet- en regelgeving. De kosten van informatiebeveiliging dienen beheerst te worden, en in verhouding te staan tot de potentiële schade van beveiligingsincidenten.
Visie, Strategie en Maatstaven: Voorbeeld
Directieperspectief: Strategieën 1. Voldoen aan ‘Basisvoorzieningen Informatiebeveiliging Justitie’ 2. Voldoen aan eisen VIR-Bijzondere Informatie 3. Voldoen aan eisen Wet Bescherming Persoonsgegevens 4. Beheersing beveiligingsuitgaven 5. Aantoonbare risicoreductie
Visie, Strategie en Maatstaven: Voorbeeld
Directieperspectief: Maatstaven 1. Jaarlijkse assessment van de ‘Basisvoorzieningen Informatiebeveiliging’ op basis van de selfassessmentmethodiek van het Ministerie van Justitie. 2. Jaarlijks self-assessment WBP 3. Informatiebeveiligingsuitgaven maximaal 6% ICT-budget 3. Uitgaven boven/onder budget 4. Aantoonbare risicoreductie van maatregelen
Visie, Strategie en Maatstaven: Voorbeeld Maatstaf:
Voldoen aan basisvoorzieningen Informatiebeveiliging
Beschrijving: Assessment o.b.v. Excel-sheet met maatregelen Doel:
Rapportage directie NFI en Ministerie
Frequentie:
Jaarlijks
Informatie via:
Interviews afdelingshoofden Directe inspectie sub-IBVA
Indicator:
Radar
Visie, Strategie en Maatstaven: Voorbeeld Maatstaf:
Voldoen aan basisvoorzieningen Informatiebeveiliging Doelstelling: ‘blauw wegwerken’. Vergroting ‘groene deel’ betekent betere confirmatie aan het VIR.
Toekomst Balanced Scorecard 1. Introductie Balanced Scorecard in de organisatie. 2. Verzameling van meetgegevens stroomlijnen 3. Vaststellen presentatievorm Balanced Scorecard (dashboard, radar etc.) 4. Borgen van continue ontwikkeling/onderhoud Balanced Scorecard
Een mogelijke cockpit Implementatie VIR
ImplementatieWBP
200 180 160
Nieuwe maatregelen
140
Projectkosten
120
Onderhoud
100 80 60 40 20 0 2002
Uitgaven informatiebeveiliging
Risicoreductie
2003
2004
Kosten incidenten
Informatie ?
Ministerie van Justitie
a
Nederlands Forensisch Instituut
Postbus 24044 2490 AA Den Haag Laan van Ypenburg 6 2497 GB Den Haag Telefoon
(070) 4135141
Fax
(070) 4135454
E-mail
[email protected]
www.forensischinstituut.nl
Robert Veenstra Projectleider Informatiebeveiliging
Literatuur ? • The Balanced Scorecard; Kaplan/Norton • De cockpit van de organisatie; Kerklaan/Kingma/van Kleef • Keeping Score; Using the right metrics to drive worldclass performance • Approaches to Security Metrics, NIST • Information Security Metrics, an audit based approach; J.L.Bayuk • Security Metrics Guide for Information Technology Systems, NIST, Marianne Swanson et al. • Aligning Security with the Business: The Balanced Scorecard, Giga Information Group, 2004