Welkom bij parallellijn 1 ‘On the Move’ 14.20 – 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover?
1
IBD-Praktijkdag ‘Work IT Out’
‘Hoe stel ik vast of de IBmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover?’
Jule Hintzbergen Adviseur informatiebeveiliging IBD
Programma
• Introductie • Casus 1 – Inzicht in effectiviteit van maatregelen
• Casus 2 – Continue verhelpen van tekortkomingen
• Samenvatting & Afsluiting
4
Hoe stel ik vast of de IB-maatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover?
Welke activiteiten moet je als CISO uitvoeren om inzicht te krijgen en houden in de effectiviteit van de beveiligingsmaatregelen? Welke instrumenten en rapportages kunnen hierbij ondersteunen en hoe zorg je dat tekortkomingen worden verholpen?
5
Casus1: Inzicht in effectiviteit van maatregelen
6
Inzicht in informatiebeveiliging
• Drie hoofdstromen te onderkennen: – Meetbaar maken van het effect van beveiligingsmaatregelen – Meetbaar maken van kwantiteit en kwaliteit van beveiliging – Meetbaar maken van het beveiligingsniveau
7
Meten van de effectiviteit van het ISMS en de effectiviteit van de informatiebeveiliging • Waarom: – Investeringen in informatiebeveiliging te rechtvaardigen en te prioriteren. – Vaststellen of er ISMS-activiteiten zijn, die verbeterd dienen te worden omdat ze niet het beoogde effect hebben. – Aantonen dat de gemeente informatieveiligheid beheerst op een niveau die past bij de BIG (‘In control’ zijn).
• Hoe: – vaststellen van normen, – Hierover rapporteren – uitvoeren van controle over die rapportages. 8
Bent u in staat om onderstaande vragen te beantwoorden? • Waarom zijn de beveiligingsmaatregelen geïmplementeerd? • Welke informatie is nodig om processen te sturen zodat wordt voldaan aan de vooraf vastgestelde kwaliteitskenmerken en normen? • Met betrekking tot Security Metrics: – – – – –
9
Wat moet worden gemeten? Waarom het moet worden gemeten? Voor wie het wordt gemeten? Door wie moet het worden gemeten? Wanneer / hoe vaak moet het worden gemeten?
Processen
10
Casus 1a: Logische toegangsbeveiliging • Doel: – Uw ICT-systemen adequaat beschermen tegen ongeautoriseerde toegang door het waarborgen van gecontroleerde toegang.
• Vraag: – Weet u zeker dat degene met toegang tot de ICTsystemen ook geautoriseerd zijn?
• Hoe kun je dit vaststellen (testen)?
11
Casus 1a: Logische toegangsbeveiliging - Test • De actuele stand van zaken van de toegekende autorisaties wordt periodiek gecontroleerd. – Deze controle vindt plaats op geldigheid en rechtmatigheid van de verstrekte actuele autorisaties (medewerkers, gebruikersnamen, bevoegdheden). – Tijdens deze controle dient te worden vastgesteld dat de vastgestelde actuele autorisatiematrix in overeenstemming is met het, door de autorisatiebeheerder verstrekte, overzicht van autorisaties.
12
Casus 1b: Veilig programmeren • Doel: – Programmeerstandaarden of een (Secure) Software Development Life Cycle (SDLC) op- en vaststellen waarbij specifiek wordt beschreven hoe de website afdoende dient te worden beveiligd tegen bekende risico’s zoals beschreven in de OWASP top 10 of de CWE/SANS TOP 25 Most Dangerous Software Errors.
• Vraag: – Weet u zeker dat uw webapplicatie veilig is?
• Hoe kun je dit vaststellen (testen)?
13
Casus 1b: Veilig programmeren - Test • Webapplicatie scan en/of penetratietest uitvoeren met als doel het inventariseren van risico’s in de website waarbij specifiek wordt vastgesteld of de website afdoende is beveiligd tegen bekende risico’s zoals SQL injectie en Cross-site scripting.
14
Casus 1c: Patchmanagement en hardening
• Doel: – Zorgdragen dat ICT-systemen up-to-date zijn en bekend is wat precies op systemen geconfigureerd en geïnstalleerd is.
• Vraag: – Weet u zeker dat uw ICT-systemen voorzien zijn van de meest recentste (beveiligings)updates?
• Hoe kun je dit vaststellen (testen)?
15
Casus 1c: Patchmanagement en hardening - Test • Om vast te stellen of er nog bekende zwakheden in de eigen ICT-infrastructuur of applicaties aanwezig zijn kan men een zwakhedenscan of vulnerability scan (laten) uitvoeren. Meestal wordt daarbij speciale tooling gebruikt. Deze tooling kent van iedere soort hardware en software wat de laatste updates zijn en kan ook toetsen op het aanwezig zijn van bekende zwakheden.
16
Effectiviteit beveiligingsmaatregelen?
• Hoe krijg je als CISO inzicht in de effectiviteit van de geïmplementeerde beveiligingsmaatregelen? – Beantwoord hiervoor per beveiligingsmaatregel onderstaande vragen.
• Welke activiteiten dien je als CISO hiervoor uit te voeren? – Waarom deze activiteit? – Wanneer en hoe vaak (planning) dient deze activiteit uitgevoerd te worden? – Wie is verantwoordelijk?
• Wie en welke (hulp)middelen heb je daarvoor nodig? • Wat zijn mogelijke risico’s? 17
Casus 2:
Continue verhelpen van tekortkomingen
18
Doelstellingen meten van informatiebeveiliging in het kader van een ISMS • Het evalueren van de effectiviteit: – van de geïmplementeerde beheersmaatregelen; – van het geïmplementeerde ISMS;
• Het controleren in welke mate wordt voldaan aan de geïdentificeerde informatiebeveiligingseisen • Het mogelijk maken (faciliteren) van het doorvoeren van prestatieverbeteringen op het gebied van informatiebeveiliging aangaande de bedrijfsrisico’s van de organisatie • Het leveren van input voor de management review zodat ISMS gerelateerde besluitvorming en de rechtvaardigingen voor noodzakelijke verbeteringen van het geïmplementeerde ISMS mogelijk wordt gemaakt.
19
Verbetercyclus
• PLAN - Opstellen verbeterplan: – verbetervoorstellen om de tekortkomingen op te heffen.
• DO - Uitvoeren verbeterplan: – invoeren van de verbetervoorstellen.
• CHECK - Evalueren: – om mogelijke tekortkomingen vast te stellen.
• ACT - Update processen: – input van de check fase.
20
Tekortkomingen verhelpen?
• Hoe zorg je als CISO dat (mogelijke) tekortkomingen worden verholpen (non-compliancy)? – Beantwoord hiervoor per beveiligingsmaatregel onderstaande vragen.
• Welke activiteiten dien je als CISO hiervoor uit te voeren? – Waarom deze activiteit? – Wanneer en hoe vaak (planning) dient deze activiteit uitgevoerd te worden? – Wie is verantwoordelijk?
• Wie en welke (hulp)middelen heb je daarvoor nodig? • Wat zijn mogelijke risico’s? 21
IBD Producten
22
Vragen
23
Contactinformatie
[email protected] Bezoek ook www.ibdgemeenten.nl 24
Einde sessie Wij vragen u naar de volgende sessie te gaan
25
