1. “IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Marc Hagemeijer
IT Risk and Security consultant
2. Wat is beveiliging?
Overeenkomst tussen marketing en beveiliging.
Omgeving (markt) Gevolg (Doel)
Kansen
+€
In te zetten bedrijfsmiddel:
(bijv.) Marketing
= bedrijfsmiddelen welke betrouwbaar moeten zijn.
3. Wat is beveiliging?
Overeenkomst tussen marketing en beveiliging.
Omgeving (markt) Gevolg (Doel)
Kansen
+€
In te zetten bedrijfsmiddel:
(bijv.) Marketing
= bedrijfsmiddelen welke betrouwbaar moeten zijn.
In te zetten bedrijfsmiddel:
Beveiliging(smaatregelen) -€
Risico
Omgeving (bedreigingen) Gevolg
4. Wat is beveiliging?
Overeenkomst tussen marketing en beveiliging.
Omgeving (markt) Gevolg (Doel)
Kansen
+€
In te zetten bedrijfsmiddel:
(bijv.) Marketing
= bedrijfsmiddelen welke betrouwbaar moeten zijn.
In te zetten bedrijfsmiddel:
Beveiliging(smaatregelen) -€
Risico
Omgeving (bedreigingen) Gevolg
Taken worden uitgevoerd binnen een proces: “IT risk and security management”.
Doel van het proces: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s
ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen.
5. Wat zijn “risico’s”?
Risico = (Kans op een) bedreiging x Gevolg.
Bedreiging = Een (mogelijke) gebeurtenis met
ongewenste gevolgen.
Gevolg = Resultaat, impact, verlieswaarde
Risico = de kans (waarschijnlijkheid) dat een dreiging plaatsvindt vermenigvuldigd met het
mogelijke gevolg van die dreiging.
Een risico heeft betrekking op een object en is gerelateerd aan een dreiging.
Risico waarbij geen rekening wordt gehouden met beveiligingsmaatregelen = inherent risico
Risico waarbij wel rekening wordt gehouden met beveiligingsmaatregelen = rest risico
Object = boerderij met rieten kap
Dreiging = blikseminslag
Kans = 1 x per jaar = 2 (schaal van 1 t/m 3)
Gevolg = grote brand waarbij zeer waarschijnlijk boerderij verloren gaat = 3 (schaal van 1 t/m 3).
(Inherente) risico (dat de boerderij wordt getroffen door bliksem) = 2 x 3 = 6 (schaal van 1 t/m 9) = medium risk.
7. Het IT risk and security management proces
Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Rapporteren
Op acceptabel
niveau houden
Meten
Implementeren en Beoordelen
Bepaling Bepaling
beheren van beveiligings-
inherente rest-
beveiligings- maatregelen en
Risico risico (th)
maatregelen restrisico (pr)
8. Het IT risk and security management proces
Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Rapporteren
Op acceptabel
niveau houden
Meten
Bepaling
dreigingen,
kans,
kwetsbaarheid
Selecteren Implementeren en Beoordelen
Bepalen van Bepaling Bepaling
Besluit risico van Restrisico beheren van beveiligings-
“verlies waarde” inherente rest-
“behandeling beveiligings- acceptatie beveiligings- maatregelen en
van bedrijfsmiddelen Risico risico (th)
maatregelen maatregelen restrisico (pr)
9. Het IT risk and security management proces
Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Externe wet en
regelgeving
Incident /
problem
Intern beleid
management
Best practices
Lessons learned
Root cause
Configuration /
etc
Business Process
management Security
Baseline
(standaard
beveiligings-
Overzicht met maatregelen)
Bepaling
bedrijfsmiddelen, dreigingen,
bedrijfsprocessen Niets aan
kans,
en eigenaren doen
kwetsbaarheid
Selecteren Implementeren en Beoordelen
Bepalen van Bepaling Bepaling
Besluit risico van Restrisico beheren van beveiligings-
“verlies waarde” inherente rest-
“behandeling beveiligings- acceptatie beveiligings- maatregelen en
van bedrijfsmiddelen Risico risico (th)
maatregelen maatregelen restrisico (pr)
Verplaatsen
risico
(verzekeren)
Impact assesment + Risk analyses Risk treatment Risk acceptance Security Internal audit /
Asset classification management control
10. Het IT risk and security management proces
Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Externe wet en
regelgeving
Incident /
problem
Intern beleid
management
Best practices
Lessons learned
Root cause
Configuration /
etc
Business Process
management Security
Baseline
(standaard
beveiligings-
Overzicht met maatregelen)
Bepaling
bedrijfsmiddelen, dreigingen,
bedrijfsprocessen Niets aan
kans,
en eigenaren doen
kwetsbaarheid
Selecteren Implementeren en Beoordelen
Bepalen van Bepaling Bepaling
Besluit risico van Restrisico beheren van beveiligings-
“verlies waarde” inherente rest-
“behandeling beveiligings- acceptatie beveiligings- maatregelen en
van bedrijfsmiddelen Risico risico (th)
maatregelen maatregelen restrisico (pr)
Verplaatsen
risico
(verzekeren)
12. Het IT risk and security management proces
Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien
van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Externe wet en
regelgeving
Incident /
problem
Intern beleid
management
Best practices
Lessons learned
Root cause
Configuration /
etc
Business Process
management Security
Baseline
(standaard
beveiligings-
Overzicht met maatregelen)
Bepaling
bedrijfsmiddelen, dreigingen,
bedrijfsprocessen Niets aan
kans,
en eigenaren doen
kwetsbaarheid
Selecteren Implementeren en Beoordelen
Bepalen van Bepaling Bepaling
Besluit risico van Restrisico beheren van beveiligings-
“verlies waarde” inherente rest-
“behandeling beveiligings- acceptatie beveiligings- maatregelen en
van bedrijfsmiddelen Risico risico (th)
maatregelen maatregelen restrisico (pr)
Verplaatsen
risico
(verzekeren)
14. “IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Met het proces
“IT risk and security management “
15. “IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Omdat de betrouwbaarheid van
bedrijfsmiddelen te “garanderen” / tegen
dreigingen te beschermen
Met het proces
“IT risk and security management “
16. “IT Security voor dummies”
Hoe bepalen we, waarom en in welke mate,
beveiliging noodzakelijk is?
Omdat de betrouwbaarheid van
bedrijfsmiddelen te “garanderen” / tegen
dreigingen te beschermen
Met het proces
“IT risk and security management “ Afhankelijk van de “Risk appetite”
van eigenaar van het bedrijfsmiddel èn
van externe wet- en regelgeving.
Marc Hagemeijer
IT Risk and Security consultant