Seminar Trends in Business & IT bij woningcorporaties
Informatiebeveiliging
+ Agenda
Rondje verwachtingen
Even voorstellen..
Informatiebeveiliging – waarom?
Stand van zaken bij corporaties
Informatiebeveiliging – hoe?
Verbetering?
© BITTI BV 2011
+
Voorstellen Jorrit van de Walle
Achtergrond:
Operational- en IT auditor, projectmanager, adviseur
Lead auditor ISO 27000 (informatiebeveiliging) en ISO9001:2008 (kwaliteitsmanagement)
19 jaar overheid – Ministerie van Defensie en gemeenten
Regelmatig op de bühne met trainingen, workshops en presentaties.
Echtgenote, zoon en dochter.
Twitter: @audittrail_nl
Partner bij het Business & IT Trends Institute (BITTI)
Opgericht 1995 (KPMG), separaat per 2010 met 9 collega’s
Onafhankelijk benchmark, assesment, audit en adviesbureau op het snijvlak van business en IT
www.bitti.nl twitter: @BITTInl
+
Informatiebeveiliging – waarom?
Stellingen:
Informatiebeveiliging is niet belangrijk
Informatiebeveiliging is goed geregeld
Het meest lastige onderwerp van IB is….
© BITTI BV 2011
+
Informatiebeveiliging – waarom?
Ziekenhuis verliest laptop met gegevens 4800 patiënten
© BITTI BV 2011
De belangrijkste trend op het gebied van informatiebeveiliging is het almaar toenemende belang ervan. In het algemeen kan worden gesteld dat dit belang toeneemt, naarmate het aantal mensen met toegang tot de diverse informatiebronnen groter wordt.
+ Informatiebeveiliging – waarom? IB is volwassen maar nog steeds een top 10 item
© BITTI BV 2011
bron: Business & IT Trends bij woningcorporaties, pagina 44
+
Stand van zaken…
Vier recente benchmarks op Informatiebeveiliging:
2008-2009 Nederlands brede professionaliteit benchmark naar IB met 338 deelnemende organisaties (alle branches, inclusief corporaties).
2009 onderzoek IB volwassenheid bij 165 corporaties
2010-2011 IB benchmark gemeenten incl. audit op opzet en bestaan van IB Gericht op het onderkennen van verbeteracties en implementatie daarvan
2011 Quick Scan informatiebeveiliging onder deelnemers seminar corporaties (29 respondenten)
Allen op basis van de code voor informatiebeveiliging (ISO27002). …alle kennis/kunde/ervaring aanwezig, gebruik deze!
© BITTI BV 2011
+
Stand van zaken – peiling
Een vraag naar aanleiding van de code voor informatiebeveiliging, ten opzichte van de cijfers uit de quick scan
Per goed antwoord een punt
Degene met de meeste punten is de winnaar
De winnaar wint…
© BITTI BV 2011
+
Stand van zaken – peiling
Algemeen:
Welke hoofdstukken van de code voor informatiebeveiliging scoren het best?
A: IB beleid en organisatie van IB
B: fysieke beveiliging en toegangsbeveiliging
C: toegangsbeveiliging en naleving
Antwoord B: fysieke beveiliging en toegangsbeveiliging
© BITTI BV 2011
+
Stand van zaken – peiling
Hoofdstuk 4 – Beveiliging van personeel
Hoeveel % van de onderzochte woningcorporaties neemt bedrijfsmiddelen meestal in na einde van het dienstverband?
A: minder dan 40%
B: minder dan 70%
C: 70% of meer
Antwoord C: 75% neemt meestal de bedrijfsmiddelen in (dus ook autorisaties); 25% altijd.
© BITTI BV 2011
+
Stand van zaken – peiling
Hoofdstuk 10 - Continuïteitsplanning
Bij hoeveel % worden continuïteitsplannen regelmatig opnieuw beoordeeld en de continuïteitsvoorzieningen (uitwijk, back-up en recovery) volgens een vaste frequentie getest?
Geen meerkeuze, noem het percentage
Antwoord: 20%
Overigens is in 67% van de onderzochte corporaties uitwijk, back-up en recovery op zichzelf wél geregeld.
© BITTI BV 2011
+
Stand van zaken – conclusies Quick scan
De ‘klassieke’ onderwerpen als fysieke beveiliging en toegangsbeveiliging scoren goed.
Beleid scoort minder goed – sluit aan de op de algemene trend (zoals ook bij gemeenten). Oorzaken kunnen zijn onbekendheid of onderschatting van het management.
Organisatorische maatregelen zoals naleving en incidentenbeheer scoren eveneens minder goed (incidentenbeheer duidelijk onder de norm).
Uitwijk is veelal geregeld, echter een visie op continuïteitsplanning en –management is minder geborgd.
© BITTI BV 2011
© BITTI BV 2011 Alle maatregelen op het terrein van informatiebeveiliging worden jaarlijks diepgaand gecontroleerd door een interne en externe onafhankelijke instantie.
van toepassing
De continuïteitsplannen worden regelmatig opnieuw beoordeeld en de continuïteitsvoorzieningen, zoals uitwijk, back-up en recovery worden volgens een vaste frequentie getest.
beperkt van toepassing
Er zijn formele procedures vastgesteld voor het melden en afhandelen van beveiligingsincidenten en de gemelde incidenten worden periodiek geëvalueerd
Bij de aanschaf of uitbreiding van een informatiesysteem zijn beveiligingsmaatregelen in het programma van eisen opgenomen.
niet van toepassing
Toegangsrechten tot ruimten en applicaties, en het gebruik van (eventuele) speciale bevoegdheden worden periodiek gecontroleerd
totaal niet van toepassing
Adequate functiescheiding is toegepast, zowel in besluitprocessen als in het toekennen van de autorisatie in applicaties
Beveiligde zones zijn zodanig beschermd dat alleen bevoegd personeel wordt toegelaten (zoals serverruimten, werkruimten, niet voor publiek toegankelijke ruimten)
Quick scan Informatie Beveiliging
Bij de beëindiging van het dienstverband worden alle bedrijfsmiddelen geretourneerd (zoals mobiele telefoon en laptops) EN AUTORISATIES WORDEN INGETROKKEN (TOEGANG TOT SYSTEMEN,…
Er wordt een inventaris bijgehouden van bedrijfsmiddelen (INFORMATIE, mobiele, telefoons en laptops) en het overzicht wordt regelmatig geactualiseerd. Ook wordt hierop gestuurd!
Uw organisatie beschikt over een INFORMATIE beveiligingsfunctionaris EN EEN AANTAL MENSEN WERKEN GEORGANISEERD AAN INFORMATIE BEVEILIGING
Uw organisatie beschikt over een RECENT EN VAN TOEPASSING ZIJNDE beleidsdocument voor informatiebeveiliging.
+ Stand van zaken – conclusies Quick scan volledig van toepassing
20
18
16
14
12
10
8
6
4
2
0
+
Stand van zaken – conclusies algemeen
Informatiebeveiliging wordt relevanter door verdergaande digitalisering, het toepassen van mobiele apparatuur en het toegang geven van klanten en leveranciers tot bedrijfsinformatie.
Informatiebeveiliging krijgt vaak te weinig aandacht. Vooral de organisatorische kant blijft vaak achter bij genomen maatregelen in de techniek.
De code voor informatiebeveiliging (ISO27002) biedt een goed raamwerk voor het op orde krijgen van informatiebeveiliging.
© BITTI BV 2011
+
Informatiebeveiliging – hoe? Ook informatiebeveiliging heeft een levenscyclus…
Werking
Bestaan
Documentatie (opzet)
© BITTI BV 2011
…benut deze!
+
ISO27002 biedt een goed raamwerk…
NEN-ISO/IEC 27002 (code voor informatiebeveiliging) beslaat 11 onderwerpen: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
IT-beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging (omgeving) Beheer van communicatie en bedieningsprocessen Toegangsbeveiliging Aanschaf, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiliging incidenten Continuïteitsplanning Naleving
…voor het op orde krijgen van informatiebeveiliging © BITTI BV 2011
+
Verbetering? Beginnen bij het begin: bepaal de stand bij uw corporatie Meten is weten; deelname aan benchmark Informatiebeveiliging voor woningcorporaties?
© BITTI BV 2011
+
Verbetering (2) Waar
liggen uw sterke en zwakke punten?
Sterke punten: benut deze! Behoeven ook minder aandacht
Geef zwakke punten specifieke aandacht; breng focus aan in uw activiteiten.
© BITTI BV 2011
+
Risico response Vier acties
Vermijden
Accepteren
Overdragen
Verminderen
+ Breng structuur aan! (gebruik een model)
Benchmark
Audit
© BITTI BV 2011
+
Na het meten:
Risicoanalyse starten of uitbreiden
Bepalen risk-appetite
(Eventueel) documentatie bijwerken
Opstellen implementatieplan
Uitvoeren implementatie
© BITTI BV 2011
+
En dan:
Meten of de gestelde doelen behaald zijn en welke verbeteringen mogelijk zijn. (continue verbetering).
Nieuwe innovaties en dreigingen blijven monitoren.
© BITTI BV 2011
+
Informatiebeveiliging
En waar loopt u nu tegen aan? Uitwisselen tips en trucs – kennis en kaartjes..
© BITTI BV 2011
+
Informatiebeveiliging
Informatiebeveiliging… …omdat het moet! Business & IT Trends voor woningcorporaties – Hoofdstuk 13
© BITTI BV 2011
Contact informatie: BITTI bv. Tel. 071-8795174
[email protected] Jorrit van de Walle Mob: 06 - 105 311 81 Email:
[email protected]
© BITTI BV. 2011
25
+ Informatiebeveiliging – waarom? Welke risico’s loopt een corporatie?
Algemeen
Medewerkers
Informatiehuishouding
ICT assets
© BITTI BV 2011
+
Stand van zaken – peiling
Hoofdstuk 1 – IT Beveiligingsbeleid:
Hoeveel % van de onderzochte woningcorporaties heeft een formeel en afdoende beveiligingsbeleid?
A: minder dan 10%
B: minder dan 60%
C: 60% of meer
Antwoord B: 10% heeft afdoende beleid heeft, en 45% in beperkte mate afdoend.
© BITTI BV 2011
+
Stand van zaken – peiling
Hoofdstuk 6 – Aanschaf en onderhoud van informatiesystemen
Hoeveel % van de onderzochte woningcorporaties heeft bij de aanschaf of uitbreiding van een informatiesysteem beveiligingsmaatregelen in het programma van eisen opgenomen.
A: minder dan 40%
B: minder dan 70%
C: 70% of meer
Antwoord B: 45% houdt hier rekening mee.
© BITTI BV 2011
+
Stand van zaken – peiling
Hoofdstuk 9 - Beheer van informatiebeveiligingsincidenten
Bij hoeveel % van de onderzochte woningcorporaties is er een afdoende procedure om meldingen van beveiligingsincidenten te rapporteren aanwezig?
A: minder dan 50%
B: minder dan 80%
C: 80% of meer
Antwoord A: slechts 10% heeft een afdoende procedure (45% in beperkte mate).
© BITTI BV 2011
