Integrale Beveiliging:
• Governance en Auditing
Gast college
About me…
Thimo Keizer
Managing Consultant and Owner B-Mature
Most organisations never fully mature, they simply grow tall...
• The Bigger Picture
• Risico Management
• Integrale Beveiliging
• Governance
• Internal Auditing
Als ik straks klaar ben ...
THE BIGGER PICTURE
Omzet (verhoging)
Kosten (efficiëntie)
Imago (verbetering)
Ingaande
Logistiek
Bewerking
Uitgaande
Logistiek
Marketing
& Verkoop
Service
Infrastructuur van het bedrijf
Personeel & Or...
Het gaat dus niet om beveiliging of risico management
Het gaat om continuïteit van de organisatie in de
breedste zin van h...
RISICO
MANAGEMENT
Doelstelling
vaststellen
Risico's
identificeren
Gevolgen
inschatten
Risico's
beoordelen
Risico's
beheersen
Monitoring
Risk
Analysis
Risk
Management
Strategy
Disaster
Recovery
Business
Continuity
Crisis ManagementRisico Management
Business a...
Kans 
Impact Het risico
Overdragen
Het risico
Vermijden
Het risico
Accepteren
Het risico
Beheersen
Of de risicovolle act...
Pas op voor de verkeerde approach
Rule based approach
Operational risk based approach
Enterprise risk based approach
De Code voor Informatiebeveiliging is een
waardevol hulpmiddel…maar als je het op de
verkeerde manier gebruikt is het voor...
INTEGRALE
BEVEILIGING
Safety Security
Fysieke beveiliging Informatie beveiliging
Integrale beveiliging
Integrale Beveiliging
Informatie
Beveiliging
Fysieke
Beveiliging
Beveiliging van
Geautomatiseerde
Data
Beveiliging van nie...
Maar vraag je ook af waartegen:
Vraag je af wat je wilt beveiligen:
Waarden, informatie, materieel en/of
personeel
Interne...
Voorbeeld daderprofiel
Baldadigejeugd/vandalen
Gelegenheidscrimineel
Semi-professional
Professional
Vandalisme A A,B A,B A...
Hoe zwaar willen we ons beveiligen?
Normaal Zwaar
Extra
zwaar
3 minuten 5 minuten 10 minuten
• Bouwbesluit
• NEN-normering...
GOVERNANCE
DE WIJZE VAN BESTUREN
Security
Management Auditing
Risk Management
Corporate
Governance
Wil je dat ze compliant zijn of “in control”
En wat wil je opdrachtgever?
Wie is verantwoordelijk voor wat?
Lijn organisatie
Risk, Control,
Compliance
Interne audit
First line of defence
Second line of
defence
Third line of defenc...
Vertrouwen is goed, controle is beter
Maar waarom controleren we?
• Om de staatskas te spekken?
• Om de verkeerdveiligheid...
Internal Auditing
Het controleren
Internal audit is een onafhankelijke, objectieve functie die
zekerheid verschaft en adviesopdrachten uitvoert, om
meerwaar...
In de beveiliging kun je het goed gebruiken om jouw doel
(een verbetering in de beveiliging) te bereiken
De audit is niet ...
Wanneer krijg je te maken met auditing?
auditor die de medewerkers controleert
medewerker die door de auditors wordt gecon...
Het beleid schrijft voor dat er
een beveiligingsplan per
gebouw is
Opzet
Dit beveiligingsplan is er ook
echt voor het gebo...
Je toetst altijd aan een normenkader
Hoe hoog leg je de lat?
• Als je 125 kilometer rijdt, dan rijd je toch echt te hard m...
Financial audit
IT-audit
Operational audit
Forensic audit
Kwaliteitsaudit
Beveiligingsaudit
Beveiliging van
Geautomatiseerde
Data
Beveiliging van niet
Geautomatiseerde
Data
Beveiliging van
Materieel
Beveiliging van...
Het is noodzakelijk om alle soorten audits
uit te voeren, maar het is niet
noodzakelijk ze allemaal in één audit uit
te vo...
In hoeverre is de informatie beschikbaar op
het moment dat ik het nodig heb?
Beschikbaarheid
(Availability)
In hoeverre is...
“Een informatiesysteem is meer dan een computer”
De elementen van een IT audit:
• De fysieke componenten en de omgeving
• ...
Auditing van de fysieke beveiliging
Met fysieke beveiliging willen we de waarden, de
informatie, het materieel en personen...
Voordat je aan de audit begint:
1. Inventariseer de waarden, de informatie, het materiaal
en het personeel en categoriseer...
Het proces:
• Verzamel de achtergrondinformatie en beoordeel de middelen en
vaardigheden die nodig zijn om de audit uit te...
Verzamel de achtergrondinformatie en beoordeel de middelen
en vaardigheden die nodig zijn om de audit uit te voeren
• Het ...
• Bepaal of je kijkt naar opzet, bestaan en/of werking
• Maak een auditplan
• Stem het plan af met het verantwoordelijke m...
Als de audit is afgerond is het beter om de bevindingen en
suggesties voor verbeteringsmaatregelen aan het senior
manageme...
Rapporteren:
• Constatering
• Oorzaak
• Risico
• Aanbeveling
Maar:
Vraag altijd om een management respons
Schrijf het vers...
Vragen? Discussie
Gast college Saxion Hogeschool Integrale Beveiliging: Governance & Auditing
Gast college Saxion Hogeschool Integrale Beveiliging: Governance & Auditing
Upcoming SlideShare
Loading in …5
×

Gast college Saxion Hogeschool Integrale Beveiliging: Governance & Auditing

528
-1

Published on

Gast college Saxion Hogeschool
Integrale Beveiliging: Governance & Auditing

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
528
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Als ik straks klaar ben dan hebben jullie meer inzicht in (hoe ik aankijk tegen) het volgende:
    The Bigger Picture
    Integrale Beveiliging
    Risico Management
    Governance
    Auditing

    Daarbij is het niet mijn doel om jullie de volledige theorieën uit te leggen, daar zijn genoeg boeken over geschreven en die kun je lekker zelf lezen. Ik zal met name mijn kijk op het geheel weergegeven en weergeven waar je in de praktijk zoal tegenaan kunt lopen.
  • The Bigger Picture: Om de integrale beveiliging, de governance en de auditing daarvan beter te kunnen plaatsen, maken we eerst een kort uitstapje naar de bedrijfskundige kant van de zaak.

    We moeten kijken naar waarom organisaties eigenlijk bestaan en waaruit ze dan bestaan. We moeten op zoek naar de toegevoegde waarde van de organisatie en moeten daar met onze activiteiten een bijdrage aan leveren.

    Of we het nu hebben over beveiligen, risico management of auditing. Ze staan, als het goed is, in het licht van die organisatie (hoewel dat in de praktijk nog vaak tegen valt).

    Organisaties draaien omdat ze gebruik maken van bedrijfsprocessen en projecten. Waarbij de resultaten van deze projecten uiteindelijk weer onderdeel uit zullen moeten gaan maken van de processen. We zijn continu in beweging en (hopelijk) voeren we continu verbeteringen door.

    Laten we eerst kijken naar de missie, visie en strategie van de organisatie.
  • Iedere organisatie heeft haar missie, visie en strategie op een andere manier verwoord en iedere organisatie heeft specifieke doelen gesteld om dat te bereiken. Je zult dus goed moeten kijken welke doelstellingen er benoemd zijn binnen de organisatie waar jij aan de slag gaat.

    Maar als we de doelstellingen van alle bedrijven ver genoeg abstraheren dan komen we eigenlijk altijd uit bij:
    Omzet (verhogen) \
    Kosten (efficiëntie)  Continuïteit
    Imago (verbetering) /

    De omzet wordt bereikt doordat we klanten hebben die onze producten en diensten kopen. Maar om deze producten en diensten te kunnen verkopen en te kunnen maken moeten we kosten maken. Doen we dat op een goede manier en zetten we de klant centraal (vervullen we de behoefte van de klant) dan levert dat een positieve bijdrage aan het imago, waardoor we nog meer klanten zullen trekken, nog meer omzet zullen genereren en dus nog meer kosten moeten maken.

    Uiteindelijk gaat het bij iedere organisatie om continuïteit van die organisatie. Dat benoemen we veelal niet in onze doelstellingen, want daar hebben we het liever over X winst maken en Y bezuinigen maar als we dit maar goed genoeg doen dan zorgt dat voor die continuïteit.

    En in dit kader bedoel ik dus niet Business Continuity zoals die veelal wordt gebruikt na een incident. Nee, het gaat om het grotere geheel en proactief de continuïteit van de totale organisatie borgen. Doen we dat op de goede manier dan hebben we nauwelijks Disaster Recovery management nodig.
  • Op strategisch niveau heeft een organisatie een missie, visie en strategie. Veelal zijn deze expliciet beschreven maar ook als ze niet beschreven zijn dan heeft de directie van de organisatie (hopelijk) een stip op de horizon dat ze willen bereiken.

    Op tactisch niveau (het niveau van het midden management) worden deze missie, visie en strategie door vertaald naar de doelstellingen die een afdeling wil bereiken. Deze doelstellingen moeten dus een bijdrage leveren aan het strategisch niveau van de organisatie. Alles wat we ons ten doel stellen zou bij moeten dragen aan het bereiken van die stip op de horizon.

    Vervolgens hebben we nog subafdelingen en individuele medewerkers. De afdelingsdoelstellingen worden door vertaald in subdoelstellingen. Deze subdoelstellingen bij elkaar moeten ervoor zorgen dat de afdelingsdoelstellingen gehaald worden. Deze subdoelstellingen dragen op hun beurt dus ook weer bij aan de missie, visie en strategie van de organisatie.

    Als we het zo bekijken (en niet puur vanuit een technische bottom-up benadering) dan moet beveiliging altijd plaatsvinden in het kader van de missie, visie, strategie en doelstellingen van de organisatie.
  • De omzet, kosten en het imago binnen de organisatie worden bereikt door de primaire en secundaire processen. Dit zijn de processen die zorgen voor de producten en diensten en hier voegt de organisatie waarde aan toe om continuïteit veilig te stellen. Bij het inrichten van integrale beveiliging zullen we dus goed moeten kijken naar deze processen en de belangrijkste processen die het meest bijdragen aan de continuïteit van de organisatie moeten we de hoogste prioriteit geven.

    Genoeg voor dit uitstapje richting de bedrijfskundige kant, samengevat houden we dus bij het inrichten van de beveiliging rekening met:
    Missie, visie, strategie en (sub-)doelstellingen
    Omzet, kosten en imago in het licht van continuïteit
    Bedrijfsprocessen en projecten
  • Het gaat dus niet om beveiliging. Het gaat dus niet om risico management. Het gaat om continuïteit van de organisatie in de breedste zin van het woord

    Begin dus niet met integrale beveiliging maar start met risico management o.b.v. de belangrijkste processen van de organisatie die zijn afgeleid van de bedrijfsprocessen. Juist daarom moeten we zicht hebben op de “bigger picture”. Zo kunnen we alles in relatie plaatsen en ons bezig houden met de meest belangrijke zaken voor de organisatie.

    En begin daarna met integrale beveiliging van de informatie, het materieel en het personeel dat voor die continuïteit belangrijk is
  • Risico Management

    Volgens Wikipedia:
    Risicobeheer of risicomanagement is een continu proces dat ten aanzien van de doelstelling risico's identificeert en beoordeeld. Het proces van risicomanagement bestaat uit zes stappen:
  • Risico management: cyclus:
    Doelstelling vaststellen
    Risico's identificeren
    Gevolgen inschatten
    Risico's beoordelen
    Risico's beheersen
    en monitoring
  • We moeten niet de beveiligingsmaatregelen als uitgangspunt nemen maar juist de bedreigingen/risico’s om daar onze beveiliging op in te richten. Daarbij staat beveiliging dus niet alleen, maar maakt het onderdeel uit van een groter geheel. We maken hierbij onderscheid in preventieve (voorkomen), detectieve (ontdekken), repressieve (onderdrukken) en correctieve (corrigeren) maatregelen.

    We moeten beginnen met risico analyses en vervolgens de risico management strategie bepalen. De beveiligingsmaatregelen die we uiteindelijk nemen maken onderdeel van deze strategie uit.

    Maar dat is niet genoeg. We kunnen nooit 100% beveiligen en nooit 100% alle risico’s afdekken. We zullen dus ook voorbereid moeten zijn op mogelijke incidenten. Als dat gebeurt dan treden er twee sporen in werking:
    Business Continuity: dat ervoor moet zorgen dat we tijdens dat incident toch nog zo goed mogelijk door kunnen draaien
    Disaster Recovery: dat er direct na het incident voor moet zorgen dat we weer terug kunnen naar de “business as Usual”. De operatien/uitvoering van de processen gedurende een incident zijn niet efficiënt en niet effectief. Niet alleen het incident oplossen kost ons dus geldt, maar het incident zorgt er ook voor dat we een toename in kosten zijn om de zaak draaiend te houden.

    Voorbeeld: Tijdens een incident besluit je uit te wijken naar de uitwijklocatie (een preventieve maatregel, want die uitwijk locatie heb je ingericht op het moment dat je nog geen last had van het incident). Je kunt hier het hoognodige doen om je klanten te blijven bedienen, maar je kunt niet bij alle klantgegevens, de uitwijklocatie is niet groot genoeg om al je collega’s te huisvesten en de wachttijden voor de klanten die bellen lopen snel op.
  • We onderscheiden verschillende soorten risico management gedrag onderkennen:
    Risk Averse (risico mijdend)
    Risk Taking (risico dragend)
    Risk Neutral (risico neutraal)

    Risk Averse (risico mijdend): We zijn niet bereid veel risico’s te dragen (of we kunnen ze niet dragen). Dit zien we bijvoorbeeld veel bij overheidsorganisaties, stichtingen, verenigingen, etc.

    We zullen dus veel maatregelen moeten nemen om de risico’s tot een acceptabel niveau terug te brengen. De keerzijde van dit gedrag is dat we ervoor moeten waken dat we niet oneindig proberen om de risico’s (kans en/of impact) te verlagen omdat dit ons veel, heel veel, geld kost en uiteindelijk het risico niet verder verminderd.

    Risk Taking (risico dragend): Hierbij zijn we juist wel bereid om veel risico te nemen. We kunnen of durven dat risico te dragen. Hierbij zullen we minder risico beperkende maatregelen nemen (dus minder kosten). De keerzijde is dat we niet oneindig risico’s kunnen dragen omdat dan de kans toeneemt dat we getroffen worden door een dreiging.

    Bijkomend geldt dat er vanuit wet- en regelgeving ook verplichtingen kunnen zijn. Denk bijvoorbeeld aan de ARBO-wetgeving die voorschrijft dat je de medewerkers een veilige werkplek moet bieden. Wat je daar precies onder verstaat is deels vrij in te vullen maar voor andere delen geldt dat ze verplicht zijn (denk aan: nooduitgangen, BHV, etc.).

    Risk Neutral (risico neutraal): Op basis van risico analyse en koste/baten analyses maken we steeds de inschatting of we een risico wel of niet accepteren. Accepteren we dat risico dan bekijken we periodiek of we kans en de impact niet zijn gewijzigd. Accepteren we het risico niet dan moeten we maatregelen nemen.

    We kunnen het risico gedrag voor de organisatie als geheel bepalen (dat moet het management doen), maar we kunnen ook per project, per activiteit, per proces, per locatie, per informatiesysteem, etc. bepalen of we af willen wijken van het standaard gedrag van de organisatie.

    Zo kan een organisatie in zijn algemeenheid zeer risico avers zijn (risico’s mijden) en toch voor een bepaald project besluiten dat op een risico dragende manier aan te vliegen. Voor dit specifieke project durven we risico’s te nemen omdat het bijvoorbeeld maar een klein project is dat helemaal niet zo belangrijk is voor de organisatie (wordt het project niet succesvol afgesloten dan heeft dat weinig of geen impact op de missie, visie en strategie van de organisatie).

  • Maatregelen bij risico’s

    Eerst moeten we kijken wat risico’s zijn, daarvoor gaan we uit van de bedreigingen en voor die bedreigingen bepalen we de kans en de impact (of gevolg), dit noemen we de risico analyse. De bijbehorende formule:

    Risico = Kans x Impact

    Als we het risico bepaald hebben dan kunnen we de risico management strategie daarvan afleiden:
    Accepteren: als de kans en de impact laag zijn kunnen we besluiten het risico te accepteren
    Beheersen: als de kans hoog is dan kunnen we proberen maatregelen te treffen die de kans verlagen
    Overdragen: als de impact hoog is dan kunnen we proberen de impact te verlagen (door bijvoorbeeld te verzekeren)
    Vermijden: als de kans en de impact hoog zijn, dan willen we zowel die kans als impact verlagen

    Maar we kunnen natuurlijk ook altijd nog bepalen om een bepaalde activiteit helemaal niet uitvoeren. Dit wordt nog weleens uit het oog verloren. Stel dat we een business case voor een project hebben opgesteld en we er tijdens de risico analyse achterkomen dat het een project is met veel risico’s. Dan zou de keuze kunnen zijn om dit project in zijn geheel niet uit te voeren.

    Wat we in ieder geval moeten doen is de risico’s monitoren. Periodiek moeten we bepalen of er nog nieuwe dreigingen zijn die moeten worden toegevoegd (of dreigingen die moeten worden weggelaten). Vervolgens kunnen we bekijken of de kans en impact gewijzigd zijn sinds de laatste keer dat we deze bepaald hebben. Pakken we ook hier het project als voorbeeld dan zou het zo kunnen zijn dat we gedurende de uitvoering van het project besluiten dit project stop te zetten omdat de risico’s zijn toegenomen.
  • Het Bouwbesluit, de VRKI, de Nen-normeringen en de Code voor Informatiebeveiliging zijn een goede hulpmiddelen. Maar als we alle maatregelen domweg maar implementeren dan zijn we voor al bezig met een “rule based approach”. Deze gaat de organisatie veel geld kosten terwijl het uiteindelijk weinig extra beveiliging oplevert.

    Daarbij moeten we ook zeker niet vergeten dat iedere beveiligingsmaatregel die we nemen weer een nieuw risico in zich heeft. Laten we naar een voorbeeld kijken: Als we nog een extra firewall installeren (terwijl we er al 10 hebben die we slecht hebben geconfigureerd) dan levert dat als risico bijvoorbeeld brand in de meterkast (omdat we deze firewall in een verlengdoos stoppen, die weer in een verlengdoos zit zodat we niet meer weten hoeveel stroom er eigenlijk aan die ene stop in de meterkast hangt.

    Maar het kan ook zo zijn dat de werking van deze nieuwe firewall de werking van de updates van anti-virus maatregelen in de weg zit. Nu hebben we dus een lager risico op ongeautoriseerde toegang (firewall) maar een hoger risico op brand en virussen op ons netwerk.

    De eerste stap is de stap naar de operationele risico’s: Dit is het risico dat door een tekortschieten van de werking van de eigen organisatie fouten niet tijdig opgemerkt worden of zelfs fraude kan optreden.

    Het betekent dat we naar de operationele risico’s kijken (risico analyse) en dan de kans en de impact schatten. Vinden we het risico te hoog dan gaan we op basis daarvan opzoek naar maatregelen die dat risico beheersbaar maken.

    Als we nog verder kijken, dan baseren we de operationele risico’s op de enterprise risks: Enterprise risk management (ERM) in business includes the methods and processes used by organizations to manage risks and seize opportunities related to the achievement of their objectives.

    We nemen dus de missie, visie, strategie en doelstellingen van de organisatie als uitgangspunt. We kijken naar de bedrijfsprocessen (en de projecten) die het meest van invloed zijn op deze aspecten en bepalen daar de operationele risico’s voor. Hebben we zicht op die risico’s dan kunnen we wederom de beveiligingsmaatregelen selecteren die deze risico’s het beste afdekken.

    Zo staat de beveiliging dus in het licht van de missie, visie, strategie en doelstellingen van de organisatie. Als je deze taal spreekt dan krijg je in eens veel meer draagvlak bij het (hoger) management (die niet geïnteresseerd is in de nieuwste firewall)
  • Wie kent de Code voor Informatiebeveiliging?
    Wie heeft hem in de praktijk al gebruikt?

    En heb je dan ook met name de eerste paar pagina’s gelezen of ben je direct met de maatregelen aan de slag gegaan?

    Gebruik de Code zoals hij bedoeld is. Ga uit van de risico’s die je wilt afdekken en kies daar de juiste maatregelen bij. Dat betekent dus dat je niet direct met de maatregelen aan de haal gaat maar eerst nadenkt en keuzes maakt op basis van de risico’s.

    Er staat nergens dat je alle maatregelen volledig moet implementeren. Wil jouw organisatie gecertificeerd worden en loop je tegen een auditor aan die vindt van wel? Dan sta je een stuk steviger als jij de achtergronden wel kent en als jij op basis van risico management aan kunt geven waarom je welke maatregelen wel (of juist niet) genomen hebt.

    En ja, ik kom inderdaad in de praktijk mensen tegen die de maatregelen af willen vinken omdat ze daarmee denken goed beveiligd te zijn. Maar daarmee leveren we schijnveiligheid. Vroeg konden we ook zwemvesten van beton maken terwijl we ISO9001 gecertificeerd waren…gelukkig kan dat inmiddels niet meer.

    Deze slag moeten we met informatiebeveiliging nog zien te maken.
  • Integrale beveiliging bestaat uit informatie beveiliging en fysieke beveiliging

    Volgens Wikipedia:
    Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

    Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de WBP (Wet bescherming persoonsgegevens), de Telecommunicatiewet en andere vigerende wet- en regelgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving. Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.
  • Als we het hebben over beveiliging dan is daarover veel onduidelijkheid en spraakverwarring. De één verstaat er informatiebeveiliging onder, terwijl de ander het juist heeft over de beveiligingsbeambte die bij de receptie zit (een onderdeel van fysieke beveiliging). Een ander denkt direct in termen als EHBO en BHV, terwijl dit nu juist safety is.

    De Nederlandse vertaling is dan ook een lastige omdat het werkwoord van beveiliging inderdaad veilig is. Daarom is het al een stuk duidelijker als we het hebben over safety (veiligheid) en security (beveiliging). In het algemeen is het zo dat safety voor security gaat. Vanuit de safety hoek zijn veel meer regels vanuit de wet verplicht (denk maar aan de ARBO wet).

    Binnen security kunnen we dan nog onderscheid maken in informatiebeveiliging en fysieke beveiliging. Maar op welk van de aspecten je je ook richt: de één kan niet zonder de ander en beide groeien steeds meer naar elkaar toe (denk aan beveiligingscamera’s die over IP lopen en dat is dan nog een simpel voorbeeld). We moeten dus een integrale aanpak hanteren als we echt beter beveiligd willen zijn.

  • Waarom informatiebeveiliging niet genoeg is.

    Het gaat om meer dan de beveiliging van:
    Informatie
    Materieel
    Personeel

    Het gaat om de continuïteit van de bedrijfsprocessen. Daarbij maken we gebruik van het bedrijfsproces model van Porter. Dit model gaat uit van het primaire proces (het proces waarmee we geld verdienen) en de secundaire processen (de processen die geld kosten maar nodig zijn om het primaire proces te kunnen realiseren). Daar voegt een organisatie waarde aan toe en dat zorgt voor de continuïteit.

    We gaan daarbij liever uit van integrale beveiliging dat bestaat uit informatie beveiliging en fysieke beveiliging.

    De informatiebeveiliging valt vervolgens uiteen in de beveiliging van geautomatiseerde data en de beveiliging van niet geautomatiseerde data. Fysieke beveiliging verdelen we in de beveiliging van materieel en de beveiliging van personeel.

    Waarom? Omdat informatie, materieel en personeel ervoor zorgen dat de primaire en secundaire processen kunnen draaien.

    Vervolgens kunnen we kijken naar het maatregelen niveau. Hierbij onderscheiden we de Technische, Procedurele, Organisatorische, Bouwkundige en Elektronische maatregelen (TOP komt vanuit de informatie beveiliging, OBE juist vanuit de fysieke beveiliging).
  • Het gaat erom dat we kijken wat we waartegen willen beveiligen en wat er dan voor de criminelen te halen valt. In een leeg weiland is niets te halen, daar hoeven we dus maar erg weinig aan te beveiligen. Het hek dat er staat is ook niet bedoeld om ongeautoriseerde personen buiten maar het vee juist binnen te houden.

    Bij een bank is veel meer te halen. De beveiligingsmaatregelen zijn dan ook afgestemd op de waarden (geld, goud, safeloketten, etc.). Een bankgebouw is daarmee veel moeilijker te beveiligen.

    Vraag je af wat je wilt beveiligen:
    Waarden, informatie, materieel en/of personeel

    Vraag je af waartegen je wilt beveiligen:
    Interne of externe bedreigingen
    Natuurrampen of menselijke handelingen (bewuste of onbewuste handelingen)
  • Bij fysieke beveiliging kunnen we gebruik maken van een zogenaamd daderprofiel waarbij we de relatie leggen tussen:
    Dadertype
    Bedreiging
    Aanvalsmiddel

    Hierbij geven we aan hoe realistisch we de combinatie inschatten.
  • Als we bepaald hebben tegen welke dadertypes, bedreigingen en aanvalsmiddelen we ons willen beveiligen moeten we bepalen hoe zwaar we ons willen beveiligen.

    Daarbij zijn allerlei normen bruikbaar die ons kunnen helpen bij het bepalen van de juiste maatregelen.

    Het gaat te ver om hier volledig in te gaan op de VRKI maar ik raad je zeker aan om je daar verder in te verdiepen. Google eens op: Centrum voor Criminaliteitspreventie en Veiligheid
  • Governance: de wijze van besturen

    Discussie: wat is volgens jullie governance?

    Volgens Wikipedia:
    Governance is een oorspronkelijk Engelstalig begrip dat duidt op de handeling of de wijze van besturen, de gedragscode, het toezicht op organisaties. Het wordt in verband gebracht met beslissingen die verwachtingen bepalen, macht verlenen of prestaties verifiëren. Het bestaat ofwel uit een afzonderlijk proces ofwel uit een specifiek deel van management- of leiderschapsprocessen. Soms stellen mensen een regering op om deze processen en systemen te beheren.

    In het geval van een onderneming of een non-profitorganisatie wordt governance gerelateerd aan consistente management, samenhangend beleid, processen en beslissingsrechten voor een bepaalde bevoegdheid. Besturen op ondernemingsniveau bijvoorbeeld zou betrekking kunnen hebben op evoluerend beleid betreffende privacy, op interne investeringen, en op het gebruik van gegevens.
  • Volgens Wikipedia:
    Corporate governance is de Engelse term voor bestuur (governance) van een onderneming. Binnen de bedrijfskunde gebruikt men de term voor het aanduiden van hoe een onderneming goed, efficiënt en verantwoord geleid moet worden alsmede het afleggen van verantwoording over het gevoerde beleid richting belanghebbenden waaronder de eigenaren (aandeelhouders), werknemers, afnemers en de samenleving als geheel.

    Een goed corporate governance-beleid vertaalt de belangen van de belanghebbenden naar beleid en over de uitkomsten en toekomstverwachting wordt gerapporteerd naar de raad van commissarissen en de aandeelhoudersvergadering. Met een goed beleid worden grote fraudezaken zoals het Enron-schandaal en de problemen bij Ahold voorkomen omdat niet een select gezelschap ongezien de middelen kan toewenden voor eigen gebruik vanuit hun functie en mandaat in de organisatie.
  • Bij Corporate Governance gaat het er dus om of een organisatie goed, efficiënt en verantwoord geleid wordt en op welke wijze we daar verantwoording over afleggen.

    Bij governance en auditing komen we dan al snel uit bij de term compliance. Volgens Wikipedia:
    Compliance is het begrip waarmee wordt aangeduid dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Het gaat over het nakomen van normen of het zich er naar schikken.

    Check voordat je aan een audit begint of men compliant wil zijn of “in control”. Ogenschijnlijk lijkt het misschien hetzelfde, maar er is een groot verschil. Bij compliance voldoen we (in de praktijk veelal) aan de wet- en regelgeving. We vinken netjes alle lijstjes af en zijn compliant. Maar als we compliant zijn hoeven we nog niet “in control” te zijn.

    Bij het “in control” zijn voldoen we nog steeds aan de wet- en regelgeving (we zijn dus compliant) maar kijken ook naar hoe goed we het doen. Hoe efficiënt en hoe verantwoord. We vinken dus niet domweg de lijstjes af maar maken keuzes en helpen de organisatie echt verder.

    Check het dus altijd bij je opdrachtgever. Want hoewel er verschil is, kunnen er goede redenen zijn waarom men “slechts” compliant wil zijn, maar dat vergt een andere aanpak.

    In de praktijk zien we dat organisaties veelal eerst compliant willen zijn om vervolgens de stap naar “in control” te maken. Dat heeft alles met volwassenheid van de organisatie en haar medewerkers te maken maar heeft ook alles te maken met de ervaringen die we op doen.

    Willen we gecertificeerd worden voor de Code voor Informatiebeveiliging dan kan dat door compliant te zijn (aan te tonen dat we aan alle maatregelen voldoen) maar ook door “in control” te zijn (en de keuzes inzichtelijk te maken).

    Compliant zijn betekent veelal hogere kosten (omdat we dus ook maatregelen nemen die niet direct een toegevoegde waarde hebben) terwijl “in control” komen veelal meer kennis en tijd vraagt.
  • Wie is verantwoordelijk voor wat?

    Leg de verantwoordelijkheden vast in een RACI tabel en kijk met name naar de R en de A.
  • Bij risico management wordt binnen veel organisatie gebruik gemaakt van het model van 3 Lines of Defence. De eerste lijn (first line) is de uitvoerende organisatie, de operationele werkvloer waar de processen plaats vinden. Deze lijn organisatie draagt de verantwoordelijkheid om de risico’s te managen.

    De tweede lijn (second line) zijn de stafafdelingen binnen de organisatie die zorgen voor het beleid en die er ook voor zorgen dat de organisatie geholpen wordt bij het uitvoering geven aan dat beleid. Zij kunnen bijvoorbeeld het risk management framework ontwikkelen en invoeren maar zij kunnen de lijn organisatie ook helpen/adviseren bij het uitvoering geven aan dit framework.

    De derde lijn (third line) is de interne audit afdeling die de interne verbijzonderde controle uitvoert en hierover rapporteert aan het hoogste management (veelal in de vorm van periodieke Audit Committees). Zij zijn ook degene die bijvoorbeeld rode kaarten uitdelen binnen de organisatie aan die afdelingen die niet “compliant” zijn.

    Veel organisaties hebben echter ook nog te maken met een vierde lijn (fourth line), die ik zelf heb toegevoegd aan dit model. De vierde lijn bestaat uit de externe audit organisatie. Veelal worden door deze organisatie audits uitgevoerd in het kader van het financiële en/of operationele jaarverslag waarmee de organisatie verantwoording aflegt aan externe stakeholders (zoals bijvoorbeeld aandeelhouders, maar ook toezichthouders).
  • Vertrouwen is goed, controle is beter. Als je je maar afvraagt waarom je controleert…of in het kader van deze presentatie: waarom je de audit uitvoert.

    Wil men “slechts” compliant zijn of wil men zekerheid en “in control” raken…maar daarover later meer.

  • Internal Auditing: het controleren

    Discussie: Wat is volgens jullie auditing?

    Volgens Wikipedia:
    Auditing is het controleren van een organisatie. Dit omvat het uitvoeren van:
    een onderzoek naar een proces/organisatie,
    een accountantscontrole van een verantwoordingsstuk, zoals een jaarrekening, subsidieaanvraag of interne (management)rapportage.

    Het doel is het verschaffen van (additionele) zekerheid aan de opdrachtgever (auditée) of derden (maatschappelijk verkeer). Een procesaudit richt zich op het onderzoek naar de opzet en werking van beheersmaatregelen. Een financiële audit richt zich op de betrouwbaarheid van de verslaglegging. De uitvoerenden (auditors) zijn gespecialiseerde controleurs zoals accountants, kwaliteitsauditors of controleafdelingen binnen een bedrijf(stak).

  • Auditing is een van de pijlers van “good governance“

    Definitie van een Internal Audit:
    Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren.
    Bron: Instituut van Internal Auditors
  • Beveiliging wordt vaak als lastig ervaren en veel managers zitten niet te wachten om pro-actief de beveiliging op te pakken en te verbeteren. De audit kan daarbij goed als middel ingezet worden om jouw doel (een verbetering in de beveiliging) te bereiken.

    Lukt het niet om draagvlak te krijgen bij het management en zie je risico’s die je zelf onacceptabel vindt? Werk dan eens samen met de audit afdeling en vraag of zij een audit uit willen voeren naar dat onderwerp. Als het echt risico’s zijn dan zal hun audit rapport jou helpen omdat het management liever aan beveiliging doet dan een rode kaart op hun naam te hebben.

    Blijkt dat het risico dat jij gezien hebt niet echt zo groot is als jij dacht dan weet je het na de audit in ieder geval zeker (of eigenlijk: iets zekerder) en kun jij weer rustig slapen.
  • Of je nu auditor of auditee bent: in beide gevallen speel je een ander “spel”.

    De auditor controleert, de auditee wordt gecontroleerd.

    Maar in beide gevallen moet je goed kijken of je hetzelfde doel hebt:
    Compliant zijn (lijstjes afvinken)
    “In Control” zijn (uitgaan van de risico’s)

    In veel organisaties zie je dat men bang is voor de audit. Dat komt omdat het spel niet goed gespeeld wordt en de organisatie dus geen “good governance” heeft. De audit wordt dan gebruikt om rode kaarten uit te delen waarmee de bonus van de manager in kwestie in gevaar komt. Dit mag nooit het doel zijn (maar is het in de praktijk vaak wel). Het doel is om continu verbeteringen door te kunnen voeren en risico’s af te kunnen dekken.
  • Bij auditing gaat het om opzet, bestaan en werking

    Opzet: bijv. Het beleid schrijft voor dat er een beveiligingsplan per gebouw is
    Bestaan: Dit beveiligingsplan is er ook echt voor het gebouw dat we auditen
    Werking: De beveiliging van het gebouw voldoet aan dit beveiligingsplan
  • Als je een audit uitvoert moet je altijd een bepaalde norm hebben waartegen je toetst. Als je kijkt naar de maximum snelheid dan kan 120 kilometer per uur de norm zijn. Rijd je harder dan loop je de kans op een bekeuring.

    Maar er zit altijd een bandbreedte in. Je krijgt de bekeuring niet als je 121 kilometer per uur rijdt maar rijd je er 128 dan zou je zomaar geflitst kunnen worden.

    Binnen de informatiebeveiliging wordt de Code voor Informatiebeveiliging veelal als norm gebruikt. Een organisatie kan zich hiertoe laten certificeren zodat ze naar de buitenwereld aan kunnen tonen dat ze serieus aan beveiliging doen. Als de organisatie waar je de audit uitvoert geen normenkader heeft zul je vooraf dus eerst duidelijk moeten krijgen waartegen je dan gaat toetsen. Dat kan betekenen dat je eerst het normenkader moet ontwerpen of dat je keuzes moet afstemmen over wanneer iets voldoende of onvoldoende scoort.

    De zekerheid die dit biedt moet altijd goed bekeken worden. Wat is er precies geaudit? Wanneer is dat gedaan? Wat was het normenkader dat gebruikt is? En hoe goed was de score dan?

    Als je 125 kilometer rijdt, dan rijd je toch echt te hard maar krijg je geen bekeuring. Als 10% van de wachtwoorden niet aan de policy voldoet, hoe is dan je score en hoe groot is dan het risico dat je loopt? En als 1% van het kernafval verkeerd wordt opgeslagen? Hoe erg is dat dan?

    Een audit is dus (bijna altijd) een steekproef en geen volledigheidscontrole en we moeten rekening houden met tijd en de geaccepteerde afwijking van de norm.
  • Soorten audits
    Financial audit (ook wel accountantscontrole genoemd)
    IT-audit (vroeger ook wel EDP-auditing genoemd) => CISA versus Register EDP auditor (RE)
    Operational audit (ook wel proces audit genoemd)
    Forensic audit (ook wel fraude onderzoek genoemd)
    Kwaliteitsaudit (ook wel ISO audits genoemd)
    Beveiligingsaudit (audit van de integrale beveiliging)

    De financial audit en de IT-audit zijn de bekendste en meest toegepaste vormen van auditing. Vanuit de financiële jaarrekening controle is de financial audit veelal verplicht voor organisaties. Omdat steeds meer financiële gegevens in informatiesystemen staan steunt de financial auditor (accountant) op de IT- of EDP-auditor om de betrouwbaarheid van de gegevensverwerkende systemen vast te kunnen stellen.

    Over beveiliging is een kwaliteitsaspect en zouden we daarom ook onder de kop kwaliteitsaudit mee kunnen nemen. Veelal kijken IT-auditors ook naar de beveiliging, maar dan met name de informatiebeveiliging. Wij weten inmiddels dat integrale beveiliging veel meer is dan informatiebeveiliging.
  • De operational audit kijkt naar de bedrijfsprocessen:
    Primaire bedrijfsprocessen
    Secundaire bedrijfsprocessen

    De IT audit kijkt naar de informatievoorziening:
    Technische maatregelen
    Procedurele maatregelen
    Organisatorische maatregelen

    De beveiligingsaudit kijkt (in dit geval) naar de fysieke beveiliging:
    Organisatorische maatregelen
    Bouwkundige maatregelen
    Elektronische maatregelen
  • Voor iedere audit is er een specifieke skill set nodig. Een financieel auditor (accountant) kan niet zomaar een informatiesysteem auditen en een IT auditor moet zich niet wagen aan de financiele jaarrekening controle. Beide hebben elkaar echter nodig om tot een gewogen oordeel te komen.

    Herinner je je de integrale beveiliging nog? Dan zouden we misschien ook moeten spreken over een integrale audit waarbij meerdere disciplines samenwerken om tot een geheel te komen.

    We zien dan ook vaak discussies waarbij de IT auditor denkt of vindt dat hij ook de fysieke beveiliging wel even kan auditen omdat het immers een onderdeel is van de Code voor Informatiebeveiliging. Natuurlijk kan hij best een oordeel hebben, maar we moeten niet vergeten dat een fysieke beveiligingsaudit in het kader van de Code voor Informatiebeveiliging iets anders is dan een daadwerkelijke audit naar de fysieke beveiliging.

    Er is best overlap, maar verschil is er ook. Ik ben er dan ook voorstander van om een onderscheid te maken in de beveiligingsaudit, de IT audit en de fysieke beveiligingsaudit.
  • Bij een IT-audit kijken we naar:
    Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitval tijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid. Zie ook Business Continuity Management.
    Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
    Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
  • Een informatiesysteem staat niet gelijk aan een computer. Net zoals data niet gelijk staat aan informatie.

    We moeten onderscheid maken in data, informatie, computers, informatiesystemen en informatievoorziening.

    Zekerheid over een informatiesysteem kan alleen gegeven worden als we naar alle aspecten daarvan gekeken hebben en als alle aspecten beveiligd zijn. De keten is zo zwak als de zwakste schakel. Het heeft dus geen zin om alles wat al redelijk beveiligd is nog verder te beveiligen als we niet die zwakste schakel op orde brengen.

    Een simpel voorbeeld: we kunnen een nog beter slot in de voordeur zetten maar als we de achterdeur wagenwijd open zetten dan heeft dat weinig extra toegevoegde waarde.

    De elementen van een IT audit:
    Audit van de fysieke componenten en de omgeving
    Audit van de administratieve organisatie
    Audit van de applicatieve software
    Audit van het netwerk (infrastructuur)
    Audit van de Business Continuity
    Audit naar de data integriteit
  • Een van de redenen om naar fysieke beveiliging te kijken is omdat de informatievoorziening in een fysieke ruimte staat. Hierbij kijk je bijvoorbeeld naar de beveiliging van de datacenters of serveruimtes.
    Voor veel organisaties denkt men dat dit het belangrijkste aspect is. Het auditen van de fysieke beveiliging wordt dan veelal uitgevoerd door de IT-auditors.

    Maar wat veelal onderschat wordt is dat fysieke beveiliging een vak apart is en dat een IT-auditor met een andere blik naar de materie kijkt.

    Vanuit fysieke beveiliging moeten we uiteraard kijken naar de data centers/serverruimtes maar we moeten verder kijken dan onze neus lang is en moeten kijken naar:
    De waarden (geld, voorraad, producten, etc.)
    De informatie (digitale en niet digitale informatie)
    Het materieel (het gebouw, de robotstraat, etc.)
    De personen (medewerkers, bezoekers, klanten, etc.)
  • De auditor wordt geconfronteerd met de vraag wat te controleren, wanneer en hoe vaak.

    De stappen bij een risk-based benadering:
    Inventariseer de waarden, de informatie, het materiaal en het personeel en categoriseer ze
    Bepaal welke waarden, informatie, materieel en personeel de meeste impact hebben op de kritische bedrijfsprocessen en activa (zoals geld, materialen, klanten, besluitvorming)
    Beoordeel welke risico's van invloed kunnen zijn op deze waarden, informatie, materieel en personeel en bepaal de kans en de impact van bedreigingen
    Rangschik de waarden, informatie, het materieel en het personeel op basis van de bovenstaande evaluatie en beslis over de prioriteit, middelen, planning en frequentie
  • Het proces:
    Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren
    Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie
    Voer de daadwerkelijke audit uit
    Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg
    Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd

  • Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren

    Het beveiligingsbeleid
    De beveiligingsplannen
    Geaccepteerde risico’s
    Resultaten van eerdere audits
  • Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie

    Bepaal of je kijkt naar opzet, bestaan en/of werking
    Maak een auditplan
    Stem het plan af met het verantwoordelijke management
    Vraag welke ontwikkelingen er zijn
  • Voer de daadwerkelijke audit uit

    Beoordeel het ontvangen materiaal (desk research)
    Hou interviews met betrokkenen (en vraag door)
    Vraag om bewijsmateriaal
    Trek je conclusie
    Verifieer je conclusie bij de betrokkenen
    Schrijf je “finding” en “aanbeveling” op

    Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg
  • Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd

    Bij het rapporteren na je audit kun je goed gebruik maken van het CORA model:
    Constatering
    Oorzaak
    Risico
    Aanbeveling

    Daarbij kun je goed om een management response vragen van degene die verantwoordelijk is voor het oplossen van de finding.

    Het voordeel hiervan is:
    Reageert de verantwoordelijke met een response (en een oplosdatum) dan kun je daar goed zicht op houden
    Reageert de verantwoordelijke niet dan heb jij bewijs dat je een rapport hebt opgeleverd waarop de verantwoordelijke zijn verantwoordelijkheid niet heeft genomen
  • Vragen en Discussie
  • Gast college Saxion Hogeschool Integrale Beveiliging: Governance & Auditing

    1. 1. Integrale Beveiliging: • Governance en Auditing Gast college
    2. 2. About me… Thimo Keizer Managing Consultant and Owner B-Mature Most organisations never fully mature, they simply grow taller http://nl.linkedin.com/in/thimokeizer/
    3. 3. • The Bigger Picture • Risico Management • Integrale Beveiliging • Governance • Internal Auditing Als ik straks klaar ben dan hebben jullie meer inzicht in het volgende:
    4. 4. THE BIGGER PICTURE
    5. 5. Omzet (verhoging) Kosten (efficiëntie) Imago (verbetering)
    6. 6. Ingaande Logistiek Bewerking Uitgaande Logistiek Marketing & Verkoop Service Infrastructuur van het bedrijf Personeel & Organisatie Technologische ontwikkelingen (Research & Development) Toegevoegde Waarde Continuïteit Financien en inkoop Waardeketen van Michael Porter Primaire proces(sen) Secundaire processen
    7. 7. Het gaat dus niet om beveiliging of risico management Het gaat om continuïteit van de organisatie in de breedste zin van het woord de eerste stap daarbij is risico management
    8. 8. RISICO MANAGEMENT
    9. 9. Doelstelling vaststellen Risico's identificeren Gevolgen inschatten Risico's beoordelen Risico's beheersen Monitoring
    10. 10. Risk Analysis Risk Management Strategy Disaster Recovery Business Continuity Crisis ManagementRisico Management Business as Usual DiscontinuityIncident Prevention Detection Repression Correction
    11. 11. Kans  Impact Het risico Overdragen Het risico Vermijden Het risico Accepteren Het risico Beheersen Of de risicovolle activiteit helemaal niet uitvoeren
    12. 12. Pas op voor de verkeerde approach Rule based approach Operational risk based approach Enterprise risk based approach
    13. 13. De Code voor Informatiebeveiliging is een waardevol hulpmiddel…maar als je het op de verkeerde manier gebruikt is het vooral een rule based benadering (die je veel geld kost en weinig echte beveiliging oplevert)
    14. 14. INTEGRALE BEVEILIGING
    15. 15. Safety Security Fysieke beveiliging Informatie beveiliging Integrale beveiliging
    16. 16. Integrale Beveiliging Informatie Beveiliging Fysieke Beveiliging Beveiliging van Geautomatiseerde Data Beveiliging van niet Geautomatiseerde Data Beveiliging van Materieel Beveiliging van Personeel Technische Maatregelen Procedurele Maatregelen Organisatorische Maatregelen Bouwkundige Maatregelen Elektronische Maatregelen Ingaande Logistiek Bewerking Uitgaande Logistiek Marketing & Verkoop Service Infrastructuur van het bedrijf Personeel & Organisatie Technologische ontwikkelingen (Research & Development) Financien en inkoop Toegevoegde Waarde Continuïteit Beveiliging en de Waardeketen van Michael Porter
    17. 17. Maar vraag je ook af waartegen: Vraag je af wat je wilt beveiligen: Waarden, informatie, materieel en/of personeel Interne of externe bedreigingen Natuurramp of menselijk handelen
    18. 18. Voorbeeld daderprofiel Baldadigejeugd/vandalen Gelegenheidscrimineel Semi-professional Professional Vandalisme A A,B A,B A,B Sabotage A,B A,B A,B Diefstal A,B A,B B,C,D Inbraak A,B A,B B,C,D,F Overval C, G C, G Gijzeling G G Brand D,E D,E Legenda: A = Aanwezig materieel E = Brandbare vloeistoffen B = Handgereedschap F = Voertuigen C = Groot handgereedschap G = Wapens D = Elektrisch gereedschap
    19. 19. Hoe zwaar willen we ons beveiligen? Normaal Zwaar Extra zwaar 3 minuten 5 minuten 10 minuten • Bouwbesluit • NEN-normeringen • Verbeterde Risicoklasse Indeling (VRKI)
    20. 20. GOVERNANCE DE WIJZE VAN BESTUREN
    21. 21. Security Management Auditing Risk Management Corporate Governance
    22. 22. Wil je dat ze compliant zijn of “in control” En wat wil je opdrachtgever?
    23. 23. Wie is verantwoordelijk voor wat?
    24. 24. Lijn organisatie Risk, Control, Compliance Interne audit First line of defence Second line of defence Third line of defence Externe audit Fourth line of defence Uitvoering en risico management bij die uitvoering Beleid en onafhankelijke interne controle Interne verbijzonderde controle Externe verbijzonderde controle + eventuele toezichthouders
    25. 25. Vertrouwen is goed, controle is beter Maar waarom controleren we? • Om de staatskas te spekken? • Om de verkeerdveiligheid te bevorderen?
    26. 26. Internal Auditing Het controleren
    27. 27. Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren. Definitie
    28. 28. In de beveiliging kun je het goed gebruiken om jouw doel (een verbetering in de beveiliging) te bereiken De audit is niet het doel maar het middel om je doel te bereiken
    29. 29. Wanneer krijg je te maken met auditing? auditor die de medewerkers controleert medewerker die door de auditors wordt gecontroleerdAuditee Auditor
    30. 30. Het beleid schrijft voor dat er een beveiligingsplan per gebouw is Opzet Dit beveiligingsplan is er ook echt voor het gebouw dat we auditen Bestaan De beveiliging van het gebouw voldoet aan dit beveiligingsplan Werking
    31. 31. Je toetst altijd aan een normenkader Hoe hoog leg je de lat? • Als je 125 kilometer rijdt, dan rijd je toch echt te hard maar krijg je geen bekeuring. • Als 10% van de wachtwoorden niet aan de policy voldoet, hoe is dan je score en hoe groot is dan het risico dat je loopt? • En als 1% van het kernafval verkeerd wordt opgeslagen? Hoe erg is dat dan?
    32. 32. Financial audit IT-audit Operational audit Forensic audit Kwaliteitsaudit Beveiligingsaudit
    33. 33. Beveiliging van Geautomatiseerde Data Beveiliging van niet Geautomatiseerde Data Beveiliging van Materieel Beveiliging van Personeel Technische Maatregelen Procedurele Maatregelen Organisatorische Maatregelen Bouwkundige Maatregelen Elektronische Maatregelen Ingaande Logistiek Bewerking Uitgaande Logistiek Marketing & Verkoop Service Infrastructuur van het bedrijf Personeel & Organisatie Technologische ontwikkelingen (Research & Development) Financien en inkoop Toegevoegde Waarde Continuïteit Operational Audit IT audit Beveiligingsaudit
    34. 34. Het is noodzakelijk om alle soorten audits uit te voeren, maar het is niet noodzakelijk ze allemaal in één audit uit te voeren De vaardigheden (en ervaring) die nodig zijn verschillen per audit IT-audit Beveiligingsaudit We gaan nader in op
    35. 35. In hoeverre is de informatie beschikbaar op het moment dat ik het nodig heb? Beschikbaarheid (Availability) In hoeverre is de informatie actueel en correct? Vertrouwelijkheid/ Exclusiviteit (Confidentiality) In hoeverre kunnen alleen geautoriseerde personen toegang krijgen tot de informatie Integriteit (Integrity) Maar ook: Effectiviteit, efficiency, return on investment, kwaliteit, etc.
    36. 36. “Een informatiesysteem is meer dan een computer” De elementen van een IT audit: • De fysieke componenten en de omgeving • De administratieve organisatie • De applicatieve software • Het netwerk (infrastructuur) • De Business Continuity • De data integriteit Waarom we naast IT audits ook naar de fysieke beveiliging moeten kijken
    37. 37. Auditing van de fysieke beveiliging Met fysieke beveiliging willen we de waarden, de informatie, het materieel en personen beschermen tegen realistische fysieke bedreigingen (dit leggen we vast in beveiligingsbeleid en beveiligingsplannen) Met fysieke beveiligingsaudits willen we zekerstellen dat we de onderkende risico’s op voldoende wijze beheersen en dat we aan het beleid voldoen
    38. 38. Voordat je aan de audit begint: 1. Inventariseer de waarden, de informatie, het materiaal en het personeel en categoriseer ze 2. Bepaal welke waarden, informatie, materieel en personeel de meeste impact hebben op de kritische bedrijfsprocessen en activa (zoals geld, materialen, klanten, besluitvorming) 3. Beoordeel welke risico's van invloed kunnen zijn op deze waarden, informatie, materieel en personeel en bepaal de kans en de impact van bedreigingen 4. Rangschik de waarden, informatie, het materieel en het personeel op basis van de bovenstaande evaluatie en beslis over de prioriteit, middelen, planning en frequentie
    39. 39. Het proces: • Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren • Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie • Voer de daadwerkelijke audit uit • Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg • Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd
    40. 40. Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren • Het beveiligingsbeleid • De beveiligingsplannen • Geaccepteerde risico’s • Resultaten van eerdere audits
    41. 41. • Bepaal of je kijkt naar opzet, bestaan en/of werking • Maak een auditplan • Stem het plan af met het verantwoordelijke management • Vraag welke ontwikkelingen er zijn Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie
    42. 42. Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg Voer de daadwerkelijke audit uit 1. Beoordeel het ontvangen materiaal (desk research) 2. Hou interviews met betrokkenen (en vraag door) 3. Vraag om bewijsmateriaal 4. Trek je conclusie 5. Verifieer je conclusie bij de betrokkenen 6. Schrijf je “finding” en “aanbeveling” op
    43. 43. Rapporteren: • Constatering • Oorzaak • Risico • Aanbeveling Maar: Vraag altijd om een management respons Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd
    44. 44. Vragen? Discussie

    ×