Kpn consulting academy project - securing the prince - helmer berkhoff
Transcript of Kpn consulting academy project - securing the prince - helmer berkhoff
1 Openbaar KPN Consulting Academy
Securing the prince
Projectmanagement & informatiebeveiliging
Helmer Berkhoff
22 maart 2012
Openbaar KPN Consulting Academy 2
Introductie…
• Wie werkt er met:
• ICT?
• Projecten?
• Informatiebeveiliging?
Openbaar KPN Consulting Academy 4
Alles begint als een project
• Businessbelangen veranderen
• Lijn initieert een project
• Project realiseert en levert op
• Lijn ontvangt en beheert
• Cyclus herhaalt zich
Openbaar KPN Consulting Academy 5
Onvoldoende aandacht voor
informatiebeveiliging binnen projecten
Bestaande methodes maken aandacht voor
informatiebeveiliging onvoldoende expliciet,
waardoor het onvoldoende aandacht krijgt.
Praktijk:
• Separate security organisatie (buiten het project)
• Na opleveren van het project security toevoegen
Gevolgen:
• Aandacht en kosten achteraf: sluitpost
• Security is geen onlosmakelijk deel van de
oplossing
Openbaar KPN Consulting Academy 6
Security is géén aparte verantwoordelijkheid
buiten de projecten
• ‘Bolted-on’ securitymaatregelen zijn
onvoldoende effectief
• Benader informatiebeveiliging niet als
separate materie, maar als integraal onderdeel
van uw business en projecten
• Informatiebeveiliging behelst vooral
organisatorische aspecten, als onderdeel van
informatiemanagement
• Security is onlosmakelijk onderdeel van de
aangeboden dienstverlening
Openbaar KPN Consulting Academy 7
Handvatten voor informatiebeveiliging binnen
Prince2
• PRINCE2 bestaat uit best practices
(opgeschreven ervaring)
• Informatiebeveiliging in business termen,
gebaseerd op de PRINCE2-thema’s:
• Kwaliteit
• Risico
• Maatregelen en principes die naadloos
aansluiten op ITIL Security Management
• Participatie van de lijn als ‘risk owner’
• Vaststellen van ‘risk appetite’ van de business
Openbaar KPN Consulting Academy 8
Gebruik van methodiek en templates
• Gebruik van templates faciliteert het volgende:
• Risicomanagement (o.a. vastleggen van toleranties)
• Continue monitoring van risico’s (risk log)
• Duidelijke risico eigenaar (business owner)
• Kwaliteitsmanagement (o.a. gebruik van
standaarden)
• Aandacht voor stakeholder-, change-, risico- en
kwaliteitsmanagement
• Templates (leeg + handleiding + vulsuggesties
voor verschillende projecten)
• Lessons Learned database
• (indien van toepassing met geanonimiseerde
klantgegevens)
Openbaar KPN Consulting Academy 9
Vanaf de start van een project aandacht voor
informatiebeveiliging
• De methode biedt volop aandacht voor
kwaliteit en risico, maar niet expliciet voor
informatiebeveiliging
• Aandacht voor informatiebeveiliging in
iedere fase van een project
• In ieder document een paragraaf over
informatiebeveiliging
Openbaar KPN Consulting Academy 10
Hoe is aandacht voor informatiebeveiliging
geregeld binnen uw organisatie?
Openbaar KPN Consulting Academy 11
Bedankt voor uw aandacht
Openbaar KPN Consulting Academy 12
13 Openbaar KPN Consulting Academy