Informatiebeveiliging binnen WestlandUtrecht Bank

Theorie, praktijk en competenties

Casper van Eersel05-03-2013

5 maart 2013 | pagina 2

Presentatie overzicht Achtergrondinformatie WestlandUtrecht Bank: verleden, heden en

toekomst Informatiebeveiliging binnen WestlandUtrecht Bank

Partijen: wie zijn er bij betrokken? Beleidsregels: wat moeten we doen?

Toepassing van het beleid: casus incl. competenties

5 maart 2013 | pagina 3

Achtergrondinformatie

1969: Westland/Utrecht Hypotheekbank N.V., voortgekomen uit Westlandsche Hypotheekbank en Utrechtse Hypotheekbank1985: Westland/Utrecht Hypotheekbank wordt eigendom van NN1991: Door de fusie tussen NN en NMB Postbank Groep wordt Westland/Utrecht Hypotheekbank onderdeel van ING Groep2010: ING krijgt staatssteun. EC legt eisen op

18 oktober 2010: WestlandUtrecht Bank zelfstandig!

Feeststemming is echter van korte duur...

5 maart 2013 | pagina 4

Achtergrondinformatie WestlandUtrecht Bank wordt opgesplitst: NN Bank en WU Services

WestlandUtrecht Bank NN Bank

5 maart 2013 | pagina 5

Presentatie overzicht Achtergrondinformatie WestlandUtrecht Bank: verleden, heden en

toekomst Informatiebeveiliging binnen WestlandUtrecht Bank

Partijen: wie zijn er bij betrokken? Beleidsregels: wat moeten we doen?

Toepassing van het beleid: casus incl. competenties

5 maart 2013 | pagina 6

Informatiebeveiliging binnen WestlandUtrecht Bank Vijfpartijen stelsel Beleidsregels: wat moeten we eigenlijk doen?

5 maart 2013 | pagina 7

Beleidsregels

De basis van beveiliging:

Confidentiality

Integrity

Availability

5 maart 2013 | pagina 8

Beleidsregels voorbeeld

5 maart 2013 | pagina 9

Presentatie overzicht Achtergrondinformatie WestlandUtrecht Bank: verleden, heden en

toekomst Informatiebeveiliging binnen WestlandUtrecht Bank

Partijen: wie zijn er bij betrokken? Beleidsregels: wat moeten we doen?

Toepassing van het beleid: casus incl. competenties

5 maart 2013 | pagina 10

Casus IB: implementeren mission-critical softwarepakket

Stap 1: Business Impact Assessment (BIA) Wat is de vertrouwelijkheid van de asset? Wat is de integriteit van de asset? Wat is de beschikbaarheid van de asset?

Competenties: SAMENWERKING! Begrip van de business! Niet bang zijn vragen te stellen Luisteren, inlevingsvermogen en geduld

5 maart 2013 | pagina 11

Casus IB: implementeren mission-critical softwarepakket

Stap 2: Security Risk Assessment (SRA) Opsomming van mitigerende maatregelen

Competenties: IT kennis Kennis extractie

5 maart 2013 | pagina 12

Casus IB: implementeren mission-critical softwarepakket

Stap 3: Gap analyse + actieplan Wat zegt het beleid vs. wat hebben we nu aan maatregelen?

Competenties: IT kennis (applicatief, netwerk) Beleidskennis Proceskennis Oplossingsgerichtheid

5 maart 2013 | pagina 13

Casus IB: implementeren mission-critical softwarepakket

Stap 4: Projectbesprekingen en –beoordelingen

Competenties: Politieke gevoeligheid: jij wilt dat anderen iets doen, terwijl je

hun leidinggevende of directe collega niet bent Flexibel maar kritisch Communicatieve vaardigheden

5 maart 2013 | pagina 14

Casus IB: implementeren mission-critical softwarepakket

Stap 5: Bring out the hackers!

Competenties: Technische security kennis Programmeerkennis Secure programming kennis Rapportagekwaliteiten Analytisch vermogen Protocolanalyse

5 maart 2013 | pagina 15

Casus IB: implementeren mission-critical softwarepakket

Stap 6: Beheer

Competenties: De wil om te verbeteren Bij willen blijven met kennis Operationele kennis + Technical state monitoring + Patching + Uitwijktesten etc.

5 maart 2013 | pagina 16

Casus IB: implementeren mission-critical softwarepakket

Stap 7: Incidenten

Competenties: Proceskennis Analytisch vermogen (forensics) Low-level kennis Rapportagekwaliteiten

5 maart 2013 | pagina 17

Algemene opmerkingen

Veel competenties zijn te leren

Andere bedrijfstak = andere methoden = andere competenties

Niemand heeft alle competenties

Oefening baart kunst. Ben dus veel met security bezig (stage)

5 maart 2013 | pagina 18