11-12-14 Marcel Woltjes- informatiebeveiliging; the next level

Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014

Seminar BETEKENIS VANINTERNE AUDITvoor specifieke verzekeraars

Informatiebeveiliging the next level


Agenda1. Introductie

2. Stand van zaken in de Cyber Security wereld

3. Verschillende soorten aanvallen, verschillende soorten verweer?

4. Techniek, maar ook proces en mens (gedrag)

5. Security centraal of waarde centraal?

6. Pragmatisch advies, eerste stappen

7. Q&A

• Ik heb nog wat meegenomen voor de deelnemers


Introductie Marcel Woltjes

Marcel Woltjes RE EMITA CISAPartner Audit & SecurityOrange Oaks Audit & AdvisoryAmsterdamwww.orangeoaks.nlMarcel.Woltjes@OrangeOaks.nltwitter.com/doclink

• Partner sinds 2008 bij Orange Oaks Audit & Advisory• Voorgaand gewerkt bij Ernst & Young, IBM• Lid van NOREA, IIA, ISACA in verschillende commissies, waaronder de

cyber security assessment• Presenteert / schrijft regelmatig op het Cyber Security vakgebied

- Eerder verschenen blog op de IIA Linked-IN/E-Dialoque website: “Internal Audit moeite met het verwerken van cybercrime dreigingen.”

http://www.orangeoaks.nl/

mailto:[email protected]

http://www.Twitter.com/doclink


De stand van zaken eind 2014

Cybercrime groeit hard

Focus verlegd van Banken naar andere financiële instellingen en hightech

Nieuwe spelers, nieuwe spelregels, wetgeving?


Verkenning

Bekende gebreken

SQL injectie

Phishing

Spear Phishing

Malware aanvallen

Zwakke authenticatie

Verschillende soorten aanvallen, verschillende soorten verweer?


Techniek, maar ook proces & gedrag

Bouwstenen voor het vertrouwen: IT General Controls

Toegangsbeveiliging (Pen-test)

Changemanagement

Additioneel: Operations, Back-up & Recovery

Standaard processen, standaard gedrag…


Security centraal of waarde centraal?

Cyberrisico management

✓ Detectie

✓ Reactie

✓ Recuperatie

✓ Verdediging

*

* © Deloitte – Audit Committee brief 2013

€

Waardeanalyse, direct of in de keten als opmaat voor de risicoanalyse


Pragmatisch advies

Leiderschap & governance

Tone of the top – directie toont zorgvuldigheid, eigenaarschap en effectief managen van risico’s

Informatie riskmanagement

Holistische aanpak van risk management op waardevolle informatie door de hele organisatie en aangesloten partners

Specifieke inzet van Operations en technologie

De mensen factor

toezien dat de volgende zaken geadresseerd worden in de organisatie als maat voor volwassenheid op het gebied van cybersecurity


-vervolgNiveau en inzet van maatregelen om de geïdentificeerde risico’s aan te pakken en de impact ervan te minimaliseren

Het niveau en de integratie van een beveiligingscultuur die bekrachtigd en ondersteund wordt door de juiste mensen met de juiste kennis.

Business Continuïteit & Crisis management

Voorbereiding op security calamiteiten en de mogelijkheden om deze tegen te gaan of te minimaliseren door een succesvol crisis en stakeholder management

Betrokkenheid van Juridische zaken en compliance

De banksector laat zien dat het doorvoeren van relevant toezicht en internationale standaarden de dreiging van cybercrime kan indammen, beheersen en tegengaan. Verzekeraars zouden op vergelijkbare wijze hun aanpak kunnen aanpassen om vergelijkbare verdedigingsmechanismes te ontwikkelen.


Q&AStelling 1

Stelling 2


– Office of the Superintendent of Financial Institutions Canada

“Ik heb nog iets voor deelnemers...”

11-12-14 Marcel Woltjes- informatiebeveiliging; the next level

Economy & Finance

Transcript of 11-12-14 Marcel Woltjes- informatiebeveiliging; the next level