Nieuwe tijden – nieuwe normen
dr. ir. Paul Overbeek RE KPMG Information Risk Management 020 - 6568028
KPMG
2
Agenda Nieuwe tijden: U beslist n Een externe norm:
de vernieuwde “Code voor Informatiebeveiliging” - Achtergrond - Wat is er nieuw - Trends - Wat betekent het voor ons - Waar haal je de nieuwe Code vandaan n Interne normen: huisregels
Externe Externenorm: norm: de deCode Code
Trend: Trend: huisregels huisregels
Interne Internenormen normen
Nieuwe tijden: geen handout Presentatie downloaden van: KPMG.NL/IRM http://194.151.1.12/KPMG/organisatie/index.html?ID=300526 & language_cd=undefined&bu=KEA KPMG
3
Information security: the business perspective
measures
risks / risk areas
resource
Total TotalEnterprise EnterpriseRisk RiskManagement Management
Finance Finance
Assets Assets
Information Information
Personnel Personnel
currency currencyrisks risks interest interestrisks risks payments paymentsdue due cash cashflow flowrisks risks ......
fire fire burglary burglary theft theft calamities calamities ......
eavesdropping eavesdropping illegal illegalmodification modification interruptions interruptions masquerading masquerading ......
illness illness turnover turnover demotivation demotivation knowledge knowledgedrain drain ......
treasury, treasury, insurance, insurance,......
security, security,alarms, alarms, information informationsecurity, security, human humanresource resource insurance, EDP management, insurance,...... EDPaudit, audit,...... management,......
KPMG
4
QUALITY ASPECTS ‘in ‘incontrol’ control’ of ofwhat? what? •• •• •• •• •• •• •• ••
Confidentiality Confidentiality Integrity Integrity Auditability Auditability Availability Availability Effectiveness Effectiveness Efficiency Efficiency Manageability Manageability etc. etc.
Information InformationSecurity Security
KPMG
5
Risk Management
n Top management demands ‘control’ and therefore
overseeing the quality of the information security process and the measures n Management information often does not address today’s needs: - Large quantity of activities and measures - Responsibilities and reporting is ‘scattered’ n Solution: - Uniformity - A structured, integrated approach
KPMG
6
Uniformity, based on?
LAWS n Computer crime: the owner must apply certain measures to protect
networks, systems and data n Privacy: special attention for information about individual persons n IT for banks: regulations by national banks
STANDARDS n US Department of Defence, orange book: classification of trusted n n n
n
computing base European Community: ITSEC Common Criteria for Information System’s security evaluation Code of Practice (CoP: UK and NL) with the objectives - deals with the technical infrastructure and the organisation of IT - create a common basis to develop an effective security practice - increase the confidence in the business IT Infrastructure Library (ITIL): some 60 books on IT management practices
OUR CHOICE: We selected the Code of Practice as a basis
KPMG
7
UNIFORMITY: UNIFORMITY: CODE CODEof ofPractice Practicefor forInformation InformationSecurity SecurityManagement Management 1999 1999
KPMG
8
Positioning CoP Top management (Board of Directors)
Line management and staff
IT management and staff
Unix OS/400 NT
Policy Reporting on security health Code of Practice for IT Security Technical security standards and studies Implementation standards
Internet Intranet Workflow
OS/390 RACF Oracle
Proce dural
Physical
Personnel
KPMG
9
CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT (CoP) n Developed in UK and NL n Also published in many other countries n Update 1999 (NL:2000) n Based on best practice of participants n Purpose
- intended as a standard for a baseline level of security (due care) - enable mutual trust between partners - suitable for small, medium and large enterprises n Organisational and technical measures n 8 essential controls, 10 main categories, 36 objectives, + 125 measures
Note: It is not an implementation standard but a set of guidelines and attention items. Use it with common sense! KPMG
10
Use of the CoP n Services
- Implementation of information security management - IT security management based on ITIL Sec Man - Audits en benchmarking - Agreements between partners (SLA’s, IA) - Certification Consistent and uniform approach
KPMG
11
Revision of CoP (1999) 1/2
n Key controls à Essential controls n Part 2 for certification n Less mainframe, more IT independent n Language update n Independent from local context n Role of risk analysis n Role of auditors
KPMG
12
Revision of CoP (1999) 2/2 n n n n n n n n n n n n n n n
Outsourcing Use of third parties / services (insourcing, sw development,) Remote resource management Teleworking laptops, organizers, mobile phones Office systems (agenda, email, teleconferencing, …) electronic commerce New media External services on the internet Other authentication measures (tokens, certificates) beside passwords Malicious software (update) Personnel (own, insourced) (update) softwaredevelopment and maintenance (update) business continuity management (the process of …) The auditor
KPMG
Code of Practice for Information Security
13
– 10 Sections 3 Security Policy 4 Security Organisation 5 Asset Classification and Control 6 Personnel security 7 Physical and environmental security 8 Communications and operations management 9 Access control 10 Systems development and maintenace 11 Business continuity management 12 Compliance KPMG
14
Waar te beginnen n Essentiële beveiligingsmaatregelen vanuit wettelijk oogpunt
- Voorkomen van onrechtmatig kopiëren van programmatuur of informatie - Veiligstellen van bedrijfskritische documenten/bestanden in verband met wettelijke eisen rond bijvoorbeeld bewaar- en bewijsplicht (grootboek) - Bescherming van persoonsgegevens (privacy) n Essentiële maatregelen die de basis vormen voor beveiliging - Doelstellingen voor beveiliging (beleidsdocument) - Toewijzing van verantwoordelijkheden - Training en opleiding - Rapportage en afhandeling van beveiligingsincidenten - Continuïteitsplanning KPMG
15
Trends n Infrastructuur
- Netwerkgrenzen verdampen - Verdere integratie van technieken - Alles hangt aan elkaar - Security architectures: generieke services voor … n Informatiediensten - Fijnmazige autorisatiestructuren - Sterke authenticatie - Hier ligt het nieuwe zwaartepunt voor beveiligingsbehoeften n Organisatie - Organisatievormen worden steeds losser - Personeel wordt vloeibaar Huisregels Huisregels - Verantwoordelijkheden ‘lager’ in de organisatie - Meer behoefte aan ‘control’: show me - (CoP, ITIL SecMan, Certificatie) n Maatschappij en ‘omgeving’ - Verwachten verantwoording en verantwoordelijkheid - Publiek is geinteresseerd, zonder veel kennis van zaken - Communicatie wordt belangrijker
KPMG
16
Huisregels
n Gedragscodes voor normale
medewerkers n voorbeelden: - E-mail - Gebruik Website - Surfen - Telewerken - Omgang laptop n Hoe doet u dat …
KPMG
17
E-mail, wat wel – wat niet n WEL
- Zakelijk gebruik - Informele berichten - …. - Communiceren dat werkgever onder bepaalde omstandigheden uw email mag lezen.
n NIET
- Prive mail hoort niet op het werk - Over de muur deponeren - Taalgebruik - Bindende uitspraken - 12 gigabyte - Verplaatsen van workload van jou naar geadresseerde - Eindeloze cc-lijsten - Niet verwachten dat de email ook gelezen wordt? - …
-
Maar Maaris isdit ditook ookde depraktijk praktijk….. …..
KPMG
18
SURFEN, wat wel – wat niet n WEL
- Zakelijk gebruik - Of prive in eigen tijd? - Geen / nauwelijks belasting infrastructuur van de baas? - Vastleggen surfgedrag medewerkers ? + Com ? - ….
Maar Maaris isdit ditook ookde depraktijk praktijk….. …..
n NIET
- Sites die niets met het werk van doen hebben - Geen transacties ? - Beperkte belasting ? - Geen software downloaden -…
KPMG
19
Omgang laptop
n WEL
-
Zakelijk gebruik Gecrypte harddisk, etc Beschermen Periodiek backup maken op kantoor
n NIET
- Niet voor privédoeleinden gebruiken - Geen eigen software - Niet door anderen laten gebruiken - Niet op de achterbank tijdens vervoer - Geen backups thuis laten slingeren…
KPMG
20
Telewerken
n WEL
- Goed beschreven taken thuis uitvoeren ? - Goeie beveiliging werkplek thuis - PC is van de baas? - Afspraken over registratie of toezicht op activiteiten - Incidentenmelding
n NIET
- Geen vertrouwelijke informatie thuis ? - Geen anderen laten meekijken - Niet slepen met informatie
KPMG
21
Samenvattend: Nieuwe tijden – Nieuwe normen n De nieuwe Code
-
is er NNI te Delft /
[email protected] De veranderingen zijn eerder evolutie dan revolutie Zie artikel ‘de vernieuwde Code voor Informatiebeveiliging’ op KPMG.NL/IRM
Gebruik ‘m n Interne normen: huisregels
- Ja voor gebruik email, surfen, laptops, agenda’s, laptops - Communiceer over - Doelstellingen, verantwoordelijkheid van de medewerker - Wat je als werkgever in de gaten houdt - Houd’t simpel
KPMG
