Security voor dummies v1

16
“IT Security voor dummiesHoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Marc Hagemeijer IT Risk and Security consultant

Transcript of Security voor dummies v1

Page 1: Security voor dummies v1

“IT Security voor dummies”

Hoe bepalen we, waarom en in welke mate,

beveiliging noodzakelijk is?

Marc Hagemeijer

IT Risk and Security consultant

Page 2: Security voor dummies v1

Wat is beveiliging? Overeenkomst tussen marketing en beveiliging.

Kansen

+ €In te zetten bedrijfsmiddel:

(bijv.) Marketing

Gevolg (Doel)

= bedrijfsmiddelen welke betrouwbaar moeten zijn.

Omgeving (markt)

Page 3: Security voor dummies v1

Wat is beveiliging? Overeenkomst tussen marketing en beveiliging.

Omgeving (bedreigingen)

- €

Risico

Kansen

+ €In te zetten bedrijfsmiddel:

(bijv.) Marketing

Gevolg (Doel)

= bedrijfsmiddelen welke betrouwbaar moeten zijn.

Omgeving (markt)

In te zetten bedrijfsmiddel:

Beveiliging(smaatregelen)

Gevolg

Page 4: Security voor dummies v1

Wat is beveiliging? Overeenkomst tussen marketing en beveiliging.

Omgeving (bedreigingen)

- €

Risico

Kansen

+ €In te zetten bedrijfsmiddel:

(bijv.) Marketing

Taken worden uitgevoerd binnen een proces: “IT risk and security management”.

Gevolg (Doel)

= bedrijfsmiddelen welke betrouwbaar moeten zijn.

Omgeving (markt)

In te zetten bedrijfsmiddel:

Beveiliging(smaatregelen)

Gevolg

Doel van het proces: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s

ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen.

Page 5: Security voor dummies v1

Wat zijn “risico’s”?Risico = (Kans op een) bedreiging x Gevolg.

Bedreiging = Een (mogelijke) gebeurtenis met

ongewenste gevolgen.

Gevolg = Resultaat, impact, verlieswaarde

Object = boerderij met rieten kap

Dreiging = blikseminslag

Kans = 1 x per jaar = 2 (schaal van 1 t/m 3)

Gevolg = grote brand waarbij zeer waarschijnlijk boerderij verloren gaat = 3 (schaal van 1 t/m 3).

(Inherente) risico (dat de boerderij wordt getroffen door bliksem) = 2 x 3 = 6 (schaal van 1 t/m 9) = medium risk.

Risico = de kans (waarschijnlijkheid) dat een dreiging plaatsvindt vermenigvuldigd met het

mogelijke gevolg van die dreiging.

Een risico heeft betrekking op een object en is gerelateerd aan een dreiging.

Risico waarbij geen rekening wordt gehouden met beveiligingsmaatregelen = inherent risico

Risico waarbij wel rekening wordt gehouden met beveiligingsmaatregelen = rest risico

Page 6: Security voor dummies v1

Wat is “betrouwbaarheid”?Betrouwbaarheid is de mate waarin men op iets of iemand kan vertrouwen (Wikipedia).

Page 7: Security voor dummies v1

Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien

van de betrouwbaarheid van onze IT bedrijfsmiddelen.

Bepaling

inherente

Risico

Beoordelen

beveiligings-

maatregelen en

restrisico (pr)

Implementeren en

beheren van

beveiligings-

maatregelen

Bepaling

rest-

risico (th)

MetenMeten

Rapporteren

Meten

Op acceptabel

niveau houden

Page 8: Security voor dummies v1

Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien

van de betrouwbaarheid van onze IT bedrijfsmiddelen.

Selecteren

van

beveiligings-

maatregelen

Bepaling

inherente

Risico

Bepalen van

“verlies waarde”

van bedrijfsmiddelen

Beoordelen

beveiligings-

maatregelen en

restrisico (pr)

Implementeren en

beheren van

beveiligings-

maatregelen

Bepaling

dreigingen,

kans,

kwetsbaarheid

Bepaling

rest-

risico (th)

MetenMeten

Rapporteren

Meten

Op acceptabel

niveau houden

Besluit risico

“behandeling

Restrisico

acceptatie

Page 9: Security voor dummies v1

Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien

van de betrouwbaarheid van onze IT bedrijfsmiddelen.

Selecteren

van

beveiligings-

maatregelen

Bepaling

inherente

Risico

Bepalen van

“verlies waarde”

van bedrijfsmiddelen

Beoordelen

beveiligings-

maatregelen en

restrisico (pr)

Implementeren en

beheren van

beveiligings-

maatregelen

Bepaling

dreigingen,

kans,

kwetsbaarheid

Bepaling

rest-

risico (th)

Besluit risico

“behandeling

Restrisico

acceptatie

Overzicht met

bedrijfsmiddelen,

bedrijfsprocessen

en eigenaren

Configuration /

Business Process

management Security

Baseline

(standaard

beveiligings-

maatregelen)

Externe wet en

regelgeving

Intern beleid

Incident /

problem

management

Lessons learned

Root cause

etc

Best practices

Verplaatsen

risico

(verzekeren)

Niets aan

doen

Risk analysesImpact assesment +

Asset classificationRisk treatment Risk acceptance Security

managementInternal audit /

control

Page 10: Security voor dummies v1

Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien

van de betrouwbaarheid van onze IT bedrijfsmiddelen.

Selecteren

van

beveiligings-

maatregelen

Bepaling

inherente

Risico

Bepalen van

“verlies waarde”

van bedrijfsmiddelen

Beoordelen

beveiligings-

maatregelen en

restrisico (pr)

Implementeren en

beheren van

beveiligings-

maatregelen

Bepaling

dreigingen,

kans,

kwetsbaarheid

Bepaling

rest-

risico (th)

Besluit risico

“behandeling

Restrisico

acceptatie

Overzicht met

bedrijfsmiddelen,

bedrijfsprocessen

en eigenaren

Configuration /

Business Process

management Security

Baseline

(standaard

beveiligings-

maatregelen)

Externe wet en

regelgeving

Intern beleid

Incident /

problem

management

Lessons learned

Root cause

etc

Best practices

Verplaatsen

risico

(verzekeren)

Niets aan

doen

Page 11: Security voor dummies v1

“Waarde-”bepaling van bedrijfsmiddelen (impact)Voorbeeld formulier (SPRINT)

Page 12: Security voor dummies v1

Het IT risk and security management procesDoel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien

van de betrouwbaarheid van onze IT bedrijfsmiddelen.

Selecteren

van

beveiligings-

maatregelen

Bepaling

inherente

Risico

Bepalen van

“verlies waarde”

van bedrijfsmiddelen

Beoordelen

beveiligings-

maatregelen en

restrisico (pr)

Implementeren en

beheren van

beveiligings-

maatregelen

Bepaling

dreigingen,

kans,

kwetsbaarheid

Bepaling

rest-

risico (th)

Besluit risico

“behandeling

Restrisico

acceptatie

Overzicht met

bedrijfsmiddelen,

bedrijfsprocessen

en eigenaren

Configuration /

Business Process

management Security

Baseline

(standaard

beveiligings-

maatregelen)

Externe wet en

regelgeving

Intern beleid

Incident /

problem

management

Lessons learned

Root cause

etc

Best practices

Verplaatsen

risico

(verzekeren)

Niets aan

doen

Page 13: Security voor dummies v1

Security baselineVoorbeeld

Page 14: Security voor dummies v1

Met het proces

“IT risk and security management “

“IT Security voor dummies”

Hoe bepalen we, waarom en in welke mate,

beveiliging noodzakelijk is?

Page 15: Security voor dummies v1

Met het proces

“IT risk and security management “

Omdat de betrouwbaarheid van

bedrijfsmiddelen te “garanderen” / tegen

dreigingen te beschermen

“IT Security voor dummies”

Hoe bepalen we, waarom en in welke mate,

beveiliging noodzakelijk is?

Page 16: Security voor dummies v1

Marc Hagemeijer

IT Risk and Security consultant

Met het proces

“IT risk and security management “

Omdat de betrouwbaarheid van

bedrijfsmiddelen te “garanderen” / tegen

dreigingen te beschermen

Afhankelijk van de “Risk appetite”

van eigenaar van het bedrijfsmiddel èn

van externe wet- en regelgeving.

“IT Security voor dummies”

Hoe bepalen we, waarom en in welke mate,

beveiliging noodzakelijk is?


Architectuur voor Dummies

Architectuur voor Dummies

Security seminar: HNW: Vertrouwen en IT Security

Security seminar: HNW: Vertrouwen en IT Security

12 mei 2010 voor dummies

12 mei 2010 voor dummies

Yammerworkshop dummies versie 2

Yammerworkshop dummies versie 2

Informatica Cyber Security 1 Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital Security groep.

Informatica Cyber Security 1 Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital Security groep.

Roeien voor Dummies

Roeien voor Dummies

Chiro Broechem For Dummies

Chiro Broechem For Dummies

Zonnepanelen voor dummies

Zonnepanelen voor dummies

Sp!ts: 'JERSEY VOOR DUMMIES'

Sp!ts: 'JERSEY VOOR DUMMIES'

vvs voor dummies definitief.pdf

vvs voor dummies definitief.pdf

Twitter voor dummies

Twitter voor dummies

Web 2.0 voor dummies

Web 2.0 voor dummies

Ontferming voor Dummies

Ontferming voor Dummies

Social media clinic - social media voor Dummies

Social media clinic - social media voor Dummies

Najaars aanbieding 2012 initiator:marketing.benelux ... · 5 De kleine SEO voor Dummies 5 De kleine Twitter voor Dummies, 2e editie 6 De kleine Facebook voor Dummies, ... Voor u als

Najaars aanbieding 2012 initiator:marketing.benelux ... · 5 De kleine SEO voor Dummies 5 De kleine Twitter voor Dummies, 2e editie 6 De kleine Facebook voor Dummies, ... Voor u als

Social 4 Dummies - Webinar

Social 4 Dummies - Webinar

Informatica Cyber Security 1 Masterclass Cyber Security Erik Poll Digital Security groep.

Informatica Cyber Security 1 Masterclass Cyber Security Erik Poll Digital Security groep.

Social media for dummies

Social media for dummies

Archief 2 0 voor dummies

Archief 2 0 voor dummies

Clean desk voor dummies

Clean desk voor dummies