1 Openbaar KPN Consulting Academy

Securing the prince

Projectmanagement & informatiebeveiliging

Helmer Berkhoff

22 maart 2012

Openbaar KPN Consulting Academy 2

Introductie…

• Wie werkt er met:

• ICT?

• Projecten?

• Informatiebeveiliging?

Openbaar KPN Consulting Academy 4

Alles begint als een project

• Businessbelangen veranderen

• Lijn initieert een project

• Project realiseert en levert op

• Lijn ontvangt en beheert

• Cyclus herhaalt zich

Openbaar KPN Consulting Academy 5

Onvoldoende aandacht voor

informatiebeveiliging binnen projecten

Bestaande methodes maken aandacht voor

informatiebeveiliging onvoldoende expliciet,

waardoor het onvoldoende aandacht krijgt.

Praktijk:

• Separate security organisatie (buiten het project)

• Na opleveren van het project security toevoegen

Gevolgen:

• Aandacht en kosten achteraf: sluitpost

• Security is geen onlosmakelijk deel van de

oplossing

Openbaar KPN Consulting Academy 6

Security is géén aparte verantwoordelijkheid

buiten de projecten

• ‘Bolted-on’ securitymaatregelen zijn

onvoldoende effectief

• Benader informatiebeveiliging niet als

separate materie, maar als integraal onderdeel

van uw business en projecten

• Informatiebeveiliging behelst vooral

organisatorische aspecten, als onderdeel van

informatiemanagement

• Security is onlosmakelijk onderdeel van de

aangeboden dienstverlening

Openbaar KPN Consulting Academy 7

Handvatten voor informatiebeveiliging binnen

Prince2

• PRINCE2 bestaat uit best practices

(opgeschreven ervaring)

• Informatiebeveiliging in business termen,

gebaseerd op de PRINCE2-thema’s:

• Kwaliteit

• Risico

• Maatregelen en principes die naadloos

aansluiten op ITIL Security Management

• Participatie van de lijn als ‘risk owner’

• Vaststellen van ‘risk appetite’ van de business

Openbaar KPN Consulting Academy 8

Gebruik van methodiek en templates

• Gebruik van templates faciliteert het volgende:

• Risicomanagement (o.a. vastleggen van toleranties)

• Continue monitoring van risico’s (risk log)

• Duidelijke risico eigenaar (business owner)

• Kwaliteitsmanagement (o.a. gebruik van

standaarden)

• Aandacht voor stakeholder-, change-, risico- en

kwaliteitsmanagement

• Templates (leeg + handleiding + vulsuggesties

voor verschillende projecten)

• Lessons Learned database

• (indien van toepassing met geanonimiseerde

klantgegevens)

Openbaar KPN Consulting Academy 9

Vanaf de start van een project aandacht voor

informatiebeveiliging

• De methode biedt volop aandacht voor

kwaliteit en risico, maar niet expliciet voor

informatiebeveiliging

• Aandacht voor informatiebeveiliging in

iedere fase van een project

• In ieder document een paragraaf over

informatiebeveiliging

Openbaar KPN Consulting Academy 10

Hoe is aandacht voor informatiebeveiliging

geregeld binnen uw organisatie?

Openbaar KPN Consulting Academy 11

Bedankt voor uw aandacht

Openbaar KPN Consulting Academy 12

13 Openbaar KPN Consulting Academy