Post on 10-Jun-2015
description
De sleutel tot succesInformatiebeveiliging & Continuïteit
Norbert Kuiper CISA
Consultant Security & Continuity Servicesy y
De sleutel tot succesA dAgenda
10.00uur Opening en inleiding informatiebeveiliging
10.20 uur “De 10 meest kritische succesfactoren van informatiebeveiliging”
10.45 uur Pauze
11.00 uur “Continuïteit, het proces centraal”
11.30 uur Rondleiding uitwijkcentrum
12 00 uur Samenvatting en dienstenoverzicht12.00 uur Samenvatting en dienstenoverzicht
12.15 uur Lunch
InformatiebeveiligingSScope
InformatiebeveiligingSScope
Het waarborgen van kernaspecten van informatieHet waarborgen van kernaspecten van informatieg pg p
Vertrouwelijkheid BeschikbaarheidIntegriteit
InformatiebeveiligingK b h dKwetsbaarheden
Beschikbaarheid Diefstal
Integriteit Fouten invoer
Vertrouwelijkheid Informatie ‘op straat’
Brand Waterschade
ToegangsbeperkingUit l i ti
Manipulatie Onvolledigheid
Lekken medewerkers Slordigheid privileges
Hacking Uitval communicatie Hardware storing Uitval personeel
Afluisteren
IMPACTIMPACT
InformatiebeveiligingIImpact
Operationeel
Financieel
Operationeel
Financieel
Juridisch
Politiek
Juridisch
Politiek Politiek
Maatschappelijk
Politiek
Maatschappelijk
Imago Imago
InformatiebeveiligingDilDilemma
Kosten vs Baten
InformatiebeveiligingW l iWet- en regelgeving
Wbp
Wet GBA
Wbp
Wet GBA Wet GBA
VIR
Wet GBA
VIR
NEN 7510
ISO 27001 / 27002
NEN 7510
ISO 27001 / 27002
Informatiebeveiliging
ISO 2700 / NEN 7510ISO 2700x / NEN 7510
1. Beleid2. Organisatie3. Classificatie4. Personeel5. Fysiek en omgeving6 B h6. Beheer7. Toegang8. Ontwikkeling en onderhoud g9. Continuïteitsplanning
10. Naleving11 I id t11. Incidenten
InformatiebeveiligingS lStappenplan
Bewustwording
BeeldvormingOnderhoud
PrioriteitstellingOnderhoud
Ontwerp
Planning
Evaluatie
Planning
Implementatie
InformatiebeveiligingS lStappenplan
Bewustwording
BeeldvormingOnderhoudRISICOANALYSE
PrioriteitstellingOnderhoudRISICOANALYSE
Ontwerp
Planning
EvaluatieBEVEILIGINGSPLANNINGPlanning
Implementatie
De 10 meestDe 10 meest kritische succesfactoren
voor informatiebeveiliging
Gerard Stroeve CISSP CISA SBCI
Manager Security & Continuity Servicesg y y
VANINFORMATIEBEVEILIGINGVANINFORMATIEBEVEILIGING
1. Beleid
Hoogste management
Oprechte motivatie
Scope: Breder dan IT!
Sancties
2. Management steun
Tijd, mensen, middelen
Prioritering
Uitdragen en voorbeeldgedrag
Rugdekking
3. Organisatie
Taken en verantwoordelijkheden
Beveiligingsfunctionaris
Management forum
4. Cultuur
Wat past bij de organisatie?
Wat werkt, wat werkt niet?
Risico acceptatie
5. Kennis
Overall kennis informatiebeveiliging
Wetgeving en branchekennis
Organisatie-blindheid
6. Budget
Project, implementatie en organisatie
Managementkeuzes vs impact
Onderdeel van jaarbegroting
7. Communicatie
Passende vorm van communicatie
Aandacht voor mensen
Motivatie van maatregelen
8. Bewustzijn
Belangrijk bij alle medewerkers
Continu aandacht
2e natuur
9. Incidentmanagement
Definitie incident
Melding en registratie
Chain of custody
10. Evaluatie en onderhoud
Periodieke evaluatie
Verifieer uitgangspunten
Inventariseer en realiseer verbeterpunten
Continuïteit, het proces centraal
B i
Business Continuity PlanningBegrippen
Maximum Tolerable Downtime (MTD)
Work Recovery TimeRecovery Point Recovery Time Objective (RTO) Work Recovery Time(WRT)
Recovery PointObjective (RPO)
DataverliesDataverlies
IT Business
Business Continuity PlanningBusiness Impact Analyse (BIA)
1 dag 3 dgn 5 dgn 2 wk > 2 wk1 dag 3 dgn 5 dgn 2 wk > 2 wk
Operationeel 3
3
4
4
4
4
5
5
5
5 Financieel
Juridisch
3
1
4
2
4
3
5
4
5
5
Politiek 1 1 1 2 2
Maatschappelijk
Imago
1
1
1
3
1
4
2
5
2
5
1 = geen gevolgen, 2 = enige gevolgen, 3 = beperkte gevolgen, 4 = serieuze gevolgen, ernstige gevolgenMTD 48 uur
Business Continuity PlanningScope
Bedrijfskritische processen
Bedrijfskritische applicaties
Bedrijfskritische processen
Bedrijfskritische applicaties Bedrijfskritische applicaties
Bedrijfskritische systemen
Bedrijfskritische applicaties
Bedrijfskritische systemen
Business Continuity PlanningRecovery proces
Constatering Alarmering g Beoordeling Strategie bepaling Inventarisatie Bestelling Levering Installatie Reconstructie Reconstructie
uren wekendagen maanden
Business Continuity PlanningRecover proces - mèt continuïteitsplan
Constatering Alarmering g Beoordeling Strategie bepaling Inventarisatie Bestelling Levering Installatie Reconstructie Reconstructie
uren wekendagen maanden
Business Continuity PlanningContinuïteitsplan (BCP)
Wie ?
Wat ?
Wie ?
Wat ? Wat ?
Wanneer ?
Wat ?
Wanneer ?
Hoe ?
Waar ?
Hoe ?
Waar ?
Waarmee ? Waarmee ?
Centric Continuity Services
Continuiteitsplanning (BCP)
Wie?
Wat?
Wie?
Wat?
Wanneer?
Hoe?
Wanneer?
Hoe?
Waar? Waar?
Centric Continuity Services
Continuiteitsplanning (BCP)
Teams - taken - verantwoordelijkheden
Wat te doen na een calamiteit?
Teams - taken - verantwoordelijkheden
Wat te doen na een calamiteit?
Procedures Procedures
Business Continuity PlanningDisaster Recovery Plan (DRP)
• IT-uitwijk • Telefonie • Back up
• IT-uitwijk• Telefonie • Back up• Back-up• Organisatie• Accommodatie
• Back-up• Organisatie• AccommodatieAccommodatie• Procedures• Verzekeringen
Accommodatie• Procedures• Verzekeringen• Kennis/mensen• Communicatie• Kennis/mensen• Communicatie
Business Continuity PlanningDisaster Recovery
Hot site Hot site
KostenKostenKosten
Warm site Warm site
H t ltijdH t ltijdH t ltijd
Cold site Cold site
HersteltijdHersteltijdHersteltijd
Cold siteCold site
Centric Continuity Services
Uitwijkregeling
Ondersteuning ‘alle’ platformen
Complete infrastructuur
Ondersteuning ‘alle’ platformen
Complete infrastructuur
Binnen 2 x 24 uur operationeel
Dienstverlening 7 x 24 uur
Melding naar inzicht klant
Binnen 2 x 24 uur operationeel
Dienstverlening 7 x 24 uur
Melding naar inzicht klantg
Locatiekeuze
Uitwijkdraaiboek
g
Locatiekeuze
Uitwijkdraaiboek
Jaarlijkse uitwijktest Jaarlijkse uitwijktest
Centric Continuity Services
Uitwijkregeling
Ervaring Ervaring
Bijzondere kenmerken
g
Grote toewijding
Uitgebreide voorbereiding test
Grote toewijding
Uitgebreide voorbereiding test
g
Intensieve begeleiding
Gunstige tariefstelling
Garantie Centric applicaties
Intensieve begeleiding
Gunstige tariefstelling
Garantie Centric applicatiespppp
Centric Continuity Services
Backup Test Service
Back-up Content Scan
Back-up Recovery Test
Back-up Content Scan
Back-up Recovery Test
Centric Continuity Services
Tape Collecting & Storage Service
Dagelijkse of wekelijkse cyclus
24 uurs bereikbaarheid
Dagelijkse of wekelijkse cyclus
24 uurs bereikbaarheid
Verzegeling koffers Verzegeling koffers
Centric Continuity Services
Remote Backup Service
WAN
Uitwijk
Centric Continuity Services
Remote Backup Service
Externe opslag van data / backup
Replicatie via beveiligde verbinding Replicatie via beveiligde verbinding
Externe opslag van data / backup
Directe beschikbaarheid
Verhoogde betrouwbaarheid
Directe beschikbaarheid
Verhoogde betrouwbaarheid
Geen (tape)handling Geen (tape)handling
Business Continuity Planning
Het proces centraal
Analyse vanuit de bedrijfsvoering (procesniveau)
Borg continuiteit als proces
Analyse vanuit de bedrijfsvoering (procesniveau)
Borg continuïteit als proces Borg continuiteit als proces Borg continuïteit als proces
De sleutel tot succesInformatiebeveiliging & Continuïteit
De sleutel tot succesS iSamenvatting
• Inleiding informatiebeveiliging • Beleid• Management steun• Organisatie
• De 10 meest kritische succesfactorenvan informatiebeveiliging
• Cultuur• Kennis• Budget• Communicatie
• Continuïteit, het proces centraal • Bewustzijn• Incidentmanagement• Evaluatie en onderhoud
Security & Continuity ServicesDi i h
Security & Continuity ServicesSecurity & Continuity ServicesSecurity & Continuity Services
Dienstenoverzicht
Security & Continuity ServicesSecurity & Continuity ServicesSecurity & Continuity Services
Business Impact Analyse Awareness Sessions
Security ServicesSecurity Services Continuity ServicesContinuity ServicesSecurity Services Continuity Services
Awareness Sessions Business Impact AnalyseBusiness Impact Analyse Continuïteitsplanning Uitwijkregeling Back up Test Service
Awareness Sessions QuickScans Netwerkanalyses Site visits
Awareness Sessions QuickScans Netwerkanalyses Site visits
Business Impact Analyse Continuïteitsplanning Uitwijkregeling Back up Test Service Back-up Test Service Tape Collecting & Storage Service Remote Backup Service
Site visits Impactanalyses Beveiligingsplanning
I l t ti
Site visits Impactanalyses Beveiligingsplanning
I l t ti
Back-up Test Service Tape Collecting & Storage Service Remote Backup Service
Implementatie Audit Implementatie Audits
T l
Security & Continuity ServicesTot slot