Security voor dummies v1
-
Upload
marchagemeijer -
Category
Education
-
view
175 -
download
0
Transcript of Security voor dummies v1
“IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Marc Hagemeijer
IT Risk and Security consultant
Wat is beveiliging? Overeenkomst tussen marketing en beveiliging.
Kansen
+ €In te zetten bedrijfsmiddel:
(bijv.) Marketing
Gevolg (Doel)
= bedrijfsmiddelen welke betrouwbaar moeten zijn.
Omgeving (markt)
Wat is beveiliging? Overeenkomst tussen marketing en beveiliging.
Omgeving (bedreigingen)
- €
Risico
Kansen
+ €In te zetten bedrijfsmiddel:
(bijv.) Marketing
Gevolg (Doel)
= bedrijfsmiddelen welke betrouwbaar moeten zijn.
Omgeving (markt)
In te zetten bedrijfsmiddel:
Beveiliging(smaatregelen)
Gevolg
Wat is beveiliging? Overeenkomst tussen marketing en beveiliging.
Omgeving (bedreigingen)
- €
Risico
Kansen
+ €In te zetten bedrijfsmiddel:
(bijv.) Marketing
Taken worden uitgevoerd binnen een proces: “IT risk and security management”.
Gevolg (Doel)
= bedrijfsmiddelen welke betrouwbaar moeten zijn.
Omgeving (markt)
In te zetten bedrijfsmiddel:
Beveiliging(smaatregelen)
Gevolg
Doel van het proces: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s
ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Wat zijn “risico’s”?Risico = (Kans op een) bedreiging x Gevolg.
Bedreiging = Een (mogelijke) gebeurtenis met
ongewenste gevolgen.
Gevolg = Resultaat, impact, verlieswaarde
Object = boerderij met rieten kap
Dreiging = blikseminslag
Kans = 1 x per jaar = 2 (schaal van 1 t/m 3)
Gevolg = grote brand waarbij zeer waarschijnlijk boerderij verloren gaat = 3 (schaal van 1 t/m 3).
(Inherente) risico (dat de boerderij wordt getroffen door bliksem) = 2 x 3 = 6 (schaal van 1 t/m 9) = medium risk.
Risico = de kans (waarschijnlijkheid) dat een dreiging plaatsvindt vermenigvuldigd met het
mogelijke gevolg van die dreiging.
Een risico heeft betrekking op een object en is gerelateerd aan een dreiging.
Risico waarbij geen rekening wordt gehouden met beveiligingsmaatregelen = inherent risico
Risico waarbij wel rekening wordt gehouden met beveiligingsmaatregelen = rest risico
Wat is “betrouwbaarheid”?Betrouwbaarheid is de mate waarin men op iets of iemand kan vertrouwen (Wikipedia).
Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Bepaling
inherente
Risico
Beoordelen
beveiligings-
maatregelen en
restrisico (pr)
Implementeren en
beheren van
beveiligings-
maatregelen
Bepaling
rest-
risico (th)
MetenMeten
Rapporteren
Meten
Op acceptabel
niveau houden
Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Selecteren
van
beveiligings-
maatregelen
Bepaling
inherente
Risico
Bepalen van
“verlies waarde”
van bedrijfsmiddelen
Beoordelen
beveiligings-
maatregelen en
restrisico (pr)
Implementeren en
beheren van
beveiligings-
maatregelen
Bepaling
dreigingen,
kans,
kwetsbaarheid
Bepaling
rest-
risico (th)
MetenMeten
Rapporteren
Meten
Op acceptabel
niveau houden
Besluit risico
“behandeling
Restrisico
acceptatie
Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Selecteren
van
beveiligings-
maatregelen
Bepaling
inherente
Risico
Bepalen van
“verlies waarde”
van bedrijfsmiddelen
Beoordelen
beveiligings-
maatregelen en
restrisico (pr)
Implementeren en
beheren van
beveiligings-
maatregelen
Bepaling
dreigingen,
kans,
kwetsbaarheid
Bepaling
rest-
risico (th)
Besluit risico
“behandeling
Restrisico
acceptatie
Overzicht met
bedrijfsmiddelen,
bedrijfsprocessen
en eigenaren
Configuration /
Business Process
management Security
Baseline
(standaard
beveiligings-
maatregelen)
Externe wet en
regelgeving
Intern beleid
Incident /
problem
management
Lessons learned
Root cause
etc
Best practices
Verplaatsen
risico
(verzekeren)
Niets aan
doen
Risk analysesImpact assesment +
Asset classificationRisk treatment Risk acceptance Security
managementInternal audit /
control
Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Selecteren
van
beveiligings-
maatregelen
Bepaling
inherente
Risico
Bepalen van
“verlies waarde”
van bedrijfsmiddelen
Beoordelen
beveiligings-
maatregelen en
restrisico (pr)
Implementeren en
beheren van
beveiligings-
maatregelen
Bepaling
dreigingen,
kans,
kwetsbaarheid
Bepaling
rest-
risico (th)
Besluit risico
“behandeling
Restrisico
acceptatie
Overzicht met
bedrijfsmiddelen,
bedrijfsprocessen
en eigenaren
Configuration /
Business Process
management Security
Baseline
(standaard
beveiligings-
maatregelen)
Externe wet en
regelgeving
Intern beleid
Incident /
problem
management
Lessons learned
Root cause
etc
Best practices
Verplaatsen
risico
(verzekeren)
Niets aan
doen
Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Selecteren
van
beveiligings-
maatregelen
Bepaling
inherente
Risico
Bepalen van
“verlies waarde”
van bedrijfsmiddelen
Beoordelen
beveiligings-
maatregelen en
restrisico (pr)
Implementeren en
beheren van
beveiligings-
maatregelen
Bepaling
dreigingen,
kans,
kwetsbaarheid
Bepaling
rest-
risico (th)
Besluit risico
“behandeling
Restrisico
acceptatie
Overzicht met
bedrijfsmiddelen,
bedrijfsprocessen
en eigenaren
Configuration /
Business Process
management Security
Baseline
(standaard
beveiligings-
maatregelen)
Externe wet en
regelgeving
Intern beleid
Incident /
problem
management
Lessons learned
Root cause
etc
Best practices
Verplaatsen
risico
(verzekeren)
Niets aan
doen
Met het proces
“IT risk and security management “
“IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Met het proces
“IT risk and security management “
Omdat de betrouwbaarheid van
bedrijfsmiddelen te “garanderen” / tegen
dreigingen te beschermen
“IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Marc Hagemeijer
IT Risk and Security consultant
Met het proces
“IT risk and security management “
Omdat de betrouwbaarheid van
bedrijfsmiddelen te “garanderen” / tegen
dreigingen te beschermen
Afhankelijk van de “Risk appetite”
van eigenaar van het bedrijfsmiddel èn
van externe wet- en regelgeving.
“IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?