Presentatie
Transcript of Presentatie
Informatiebeveiliging binnen WestlandUtrecht Bank
Theorie, praktijk en competenties
Casper van Eersel05-03-2013
5 maart 2013 | pagina 2
Presentatie overzicht Achtergrondinformatie WestlandUtrecht Bank: verleden, heden en
toekomst Informatiebeveiliging binnen WestlandUtrecht Bank
Partijen: wie zijn er bij betrokken? Beleidsregels: wat moeten we doen?
Toepassing van het beleid: casus incl. competenties
5 maart 2013 | pagina 3
Achtergrondinformatie
1969: Westland/Utrecht Hypotheekbank N.V., voortgekomen uit Westlandsche Hypotheekbank en Utrechtse Hypotheekbank1985: Westland/Utrecht Hypotheekbank wordt eigendom van NN1991: Door de fusie tussen NN en NMB Postbank Groep wordt Westland/Utrecht Hypotheekbank onderdeel van ING Groep2010: ING krijgt staatssteun. EC legt eisen op
18 oktober 2010: WestlandUtrecht Bank zelfstandig!
Feeststemming is echter van korte duur...
5 maart 2013 | pagina 4
Achtergrondinformatie WestlandUtrecht Bank wordt opgesplitst: NN Bank en WU Services
WestlandUtrecht Bank NN Bank
5 maart 2013 | pagina 5
Presentatie overzicht Achtergrondinformatie WestlandUtrecht Bank: verleden, heden en
toekomst Informatiebeveiliging binnen WestlandUtrecht Bank
Partijen: wie zijn er bij betrokken? Beleidsregels: wat moeten we doen?
Toepassing van het beleid: casus incl. competenties
5 maart 2013 | pagina 6
Informatiebeveiliging binnen WestlandUtrecht Bank Vijfpartijen stelsel Beleidsregels: wat moeten we eigenlijk doen?
5 maart 2013 | pagina 7
Beleidsregels
De basis van beveiliging:
Confidentiality
Integrity
Availability
5 maart 2013 | pagina 8
Beleidsregels voorbeeld
5 maart 2013 | pagina 9
Presentatie overzicht Achtergrondinformatie WestlandUtrecht Bank: verleden, heden en
toekomst Informatiebeveiliging binnen WestlandUtrecht Bank
Partijen: wie zijn er bij betrokken? Beleidsregels: wat moeten we doen?
Toepassing van het beleid: casus incl. competenties
5 maart 2013 | pagina 10
Casus IB: implementeren mission-critical softwarepakket
Stap 1: Business Impact Assessment (BIA) Wat is de vertrouwelijkheid van de asset? Wat is de integriteit van de asset? Wat is de beschikbaarheid van de asset?
Competenties: SAMENWERKING! Begrip van de business! Niet bang zijn vragen te stellen Luisteren, inlevingsvermogen en geduld
5 maart 2013 | pagina 11
Casus IB: implementeren mission-critical softwarepakket
Stap 2: Security Risk Assessment (SRA) Opsomming van mitigerende maatregelen
Competenties: IT kennis Kennis extractie
5 maart 2013 | pagina 12
Casus IB: implementeren mission-critical softwarepakket
Stap 3: Gap analyse + actieplan Wat zegt het beleid vs. wat hebben we nu aan maatregelen?
Competenties: IT kennis (applicatief, netwerk) Beleidskennis Proceskennis Oplossingsgerichtheid
5 maart 2013 | pagina 13
Casus IB: implementeren mission-critical softwarepakket
Stap 4: Projectbesprekingen en –beoordelingen
Competenties: Politieke gevoeligheid: jij wilt dat anderen iets doen, terwijl je
hun leidinggevende of directe collega niet bent Flexibel maar kritisch Communicatieve vaardigheden
5 maart 2013 | pagina 14
Casus IB: implementeren mission-critical softwarepakket
Stap 5: Bring out the hackers!
Competenties: Technische security kennis Programmeerkennis Secure programming kennis Rapportagekwaliteiten Analytisch vermogen Protocolanalyse
5 maart 2013 | pagina 15
Casus IB: implementeren mission-critical softwarepakket
Stap 6: Beheer
Competenties: De wil om te verbeteren Bij willen blijven met kennis Operationele kennis + Technical state monitoring + Patching + Uitwijktesten etc.
5 maart 2013 | pagina 16
Casus IB: implementeren mission-critical softwarepakket
Stap 7: Incidenten
Competenties: Proceskennis Analytisch vermogen (forensics) Low-level kennis Rapportagekwaliteiten
5 maart 2013 | pagina 17
Algemene opmerkingen
Veel competenties zijn te leren
Andere bedrijfstak = andere methoden = andere competenties
Niemand heeft alle competenties
Oefening baart kunst. Ben dus veel met security bezig (stage)
5 maart 2013 | pagina 18