SlideShare a Scribd company logo

Security voor dummies v1

Download as PPSX, PDF
M
MarcHagemeijer
Education
1 of 16
“IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Marc Hagemeijer IT Risk and Security consultant
Wat is beveiliging? Overeenkomst tussen marketing en beveiliging. Omgeving (markt) Gevolg (Doel) Kansen +€ In te zetten bedrijfsmiddel: (bijv.) Marketing = bedrijfsmiddelen welke betrouwbaar moeten zijn.
Wat is beveiliging? Overeenkomst tussen marketing en beveiliging. Omgeving (markt) Gevolg (Doel) Kansen +€ In te zetten bedrijfsmiddel: (bijv.) Marketing = bedrijfsmiddelen welke betrouwbaar moeten zijn. In te zetten bedrijfsmiddel: Beveiliging(smaatregelen) -€ Risico Omgeving (bedreigingen) Gevolg
Wat is beveiliging? Overeenkomst tussen marketing en beveiliging. Omgeving (markt) Gevolg (Doel) Kansen +€ In te zetten bedrijfsmiddel: (bijv.) Marketing = bedrijfsmiddelen welke betrouwbaar moeten zijn. In te zetten bedrijfsmiddel: Beveiliging(smaatregelen) -€ Risico Omgeving (bedreigingen) Gevolg Taken worden uitgevoerd binnen een proces: “IT risk and security management”. Doel van het proces: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen.
Wat zijn “risico’s”? Risico = (Kans op een) bedreiging x Gevolg. Bedreiging = Een (mogelijke) gebeurtenis met ongewenste gevolgen. Gevolg = Resultaat, impact, verlieswaarde Risico = de kans (waarschijnlijkheid) dat een dreiging plaatsvindt vermenigvuldigd met het mogelijke gevolg van die dreiging. Een risico heeft betrekking op een object en is gerelateerd aan een dreiging. Risico waarbij geen rekening wordt gehouden met beveiligingsmaatregelen = inherent risico Risico waarbij wel rekening wordt gehouden met beveiligingsmaatregelen = rest risico Object = boerderij met rieten kap Dreiging = blikseminslag Kans = 1 x per jaar = 2 (schaal van 1 t/m 3) Gevolg = grote brand waarbij zeer waarschijnlijk boerderij verloren gaat = 3 (schaal van 1 t/m 3). (Inherente) risico (dat de boerderij wordt getroffen door bliksem) = 2 x 3 = 6 (schaal van 1 t/m 9) = medium risk.
Wat is “betrouwbaarheid”? Betrouwbaarheid is de mate waarin men op iets of iemand kan vertrouwen (Wikipedia).
Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Rapporteren Op acceptabel niveau houden Meten Implementeren en Beoordelen Bepaling Bepaling beheren van beveiligings- inherente rest- beveiligings- maatregelen en Risico risico (th) maatregelen restrisico (pr)
Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Rapporteren Op acceptabel niveau houden Meten Bepaling dreigingen, kans, kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr)
Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Externe wet en regelgeving Incident / problem Intern beleid management Best practices Lessons learned Root cause Configuration / etc Business Process management Security Baseline (standaard beveiligings- Overzicht met maatregelen) Bepaling bedrijfsmiddelen, dreigingen, bedrijfsprocessen Niets aan kans, en eigenaren doen kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr) Verplaatsen risico (verzekeren) Impact assesment + Risk analyses Risk treatment Risk acceptance Security Internal audit / Asset classification management control
Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Externe wet en regelgeving Incident / problem Intern beleid management Best practices Lessons learned Root cause Configuration / etc Business Process management Security Baseline (standaard beveiligings- Overzicht met maatregelen) Bepaling bedrijfsmiddelen, dreigingen, bedrijfsprocessen Niets aan kans, en eigenaren doen kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr) Verplaatsen risico (verzekeren)
“Waarde-”bepaling van bedrijfsmiddelen (impact) Voorbeeld formulier (SPRINT)
Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Externe wet en regelgeving Incident / problem Intern beleid management Best practices Lessons learned Root cause Configuration / etc Business Process management Security Baseline (standaard beveiligings- Overzicht met maatregelen) Bepaling bedrijfsmiddelen, dreigingen, bedrijfsprocessen Niets aan kans, en eigenaren doen kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr) Verplaatsen risico (verzekeren)
Security baseline Voorbeeld
“IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Met het proces “IT risk and security management “
“IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Omdat de betrouwbaarheid van bedrijfsmiddelen te “garanderen” / tegen dreigingen te beschermen Met het proces “IT risk and security management “
“IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Omdat de betrouwbaarheid van bedrijfsmiddelen te “garanderen” / tegen dreigingen te beschermen Met het proces “IT risk and security management “ Afhankelijk van de “Risk appetite” van eigenaar van het bedrijfsmiddel èn van externe wet- en regelgeving. Marc Hagemeijer IT Risk and Security consultant

Recommended

Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?
Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?
Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?veiligheidenrisico
 
Informatievoorziening in de zorg_Jan Willem Schoemaker
Informatievoorziening in de zorg_Jan Willem SchoemakerInformatievoorziening in de zorg_Jan Willem Schoemaker
Informatievoorziening in de zorg_Jan Willem SchoemakerTools4ever NL
 
Cybersecurity
CybersecurityCybersecurity
CybersecurityJoopdeVries5
 
Cybersecurity.pptx
Cybersecurity.pptxCybersecurity.pptx
Cybersecurity.pptxJoopdeVries5
 
Handreiking - Operator Security Plan
Handreiking - Operator Security PlanHandreiking - Operator Security Plan
Handreiking - Operator Security PlanNAVI
 
Presentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesPresentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesJoan Tuls
 
It crisis management
It crisis managementIt crisis management
It crisis managementWiepko Siegers
 
Riskmanagement
RiskmanagementRiskmanagement
Riskmanagementpvanoers
 

Recommended

Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?
Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?
Sessie 6 Hoe grip te krijgen op een verzuilde risicobeheersing?veiligheidenrisico
 
Informatievoorziening in de zorg_Jan Willem Schoemaker
Informatievoorziening in de zorg_Jan Willem SchoemakerInformatievoorziening in de zorg_Jan Willem Schoemaker
Informatievoorziening in de zorg_Jan Willem SchoemakerTools4ever NL
 
Cybersecurity
CybersecurityCybersecurity
CybersecurityJoopdeVries5
 
Cybersecurity.pptx
Cybersecurity.pptxCybersecurity.pptx
Cybersecurity.pptxJoopdeVries5
 
Handreiking - Operator Security Plan
Handreiking - Operator Security PlanHandreiking - Operator Security Plan
Handreiking - Operator Security PlanNAVI
 
Presentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesPresentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesJoan Tuls
 
It crisis management
It crisis managementIt crisis management
It crisis managementWiepko Siegers
 
Riskmanagement
RiskmanagementRiskmanagement
Riskmanagementpvanoers
 
Iva Presentatie 18 Maart 2009
Iva Presentatie 18 Maart 2009Iva Presentatie 18 Maart 2009
Iva Presentatie 18 Maart 2009Engelenr
 
Digitale transformatie en cyber crisis
Digitale transformatie en cyber crisisDigitale transformatie en cyber crisis
Digitale transformatie en cyber crisisvalantic NL
 
Les 3 Risicomanagement En Omgevingsfactoren
Les 3 Risicomanagement En OmgevingsfactorenLes 3 Risicomanagement En Omgevingsfactoren
Les 3 Risicomanagement En OmgevingsfactorenMediena Business School
 
Consultancy & Investigations
Consultancy & InvestigationsConsultancy & Investigations
Consultancy & Investigationsmvrosmalen
 
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheerPresentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheereHerkenning
 
Handreiking Risicoanalyse
Handreiking RisicoanalyseHandreiking Risicoanalyse
Handreiking RisicoanalyseNAVI
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than SorryJaap Trouw
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than SorryCoThink
 

More Related Content

Similar to Security voor dummies v1

Iva Presentatie 18 Maart 2009
Iva Presentatie 18 Maart 2009Iva Presentatie 18 Maart 2009
Iva Presentatie 18 Maart 2009Engelenr
 
Digitale transformatie en cyber crisis
Digitale transformatie en cyber crisisDigitale transformatie en cyber crisis
Digitale transformatie en cyber crisisvalantic NL
 
Les 3 Risicomanagement En Omgevingsfactoren
Les 3 Risicomanagement En OmgevingsfactorenLes 3 Risicomanagement En Omgevingsfactoren
Les 3 Risicomanagement En OmgevingsfactorenMediena Business School
 
Consultancy & Investigations
Consultancy & InvestigationsConsultancy & Investigations
Consultancy & Investigationsmvrosmalen
 
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheerPresentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheereHerkenning
 
Handreiking Risicoanalyse
Handreiking RisicoanalyseHandreiking Risicoanalyse
Handreiking RisicoanalyseNAVI
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than SorryJaap Trouw
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than SorryCoThink
 

Similar to Security voor dummies v1 (8)

Iva Presentatie 18 Maart 2009
Iva Presentatie 18 Maart 2009Iva Presentatie 18 Maart 2009
Iva Presentatie 18 Maart 2009
 
Digitale transformatie en cyber crisis
Digitale transformatie en cyber crisisDigitale transformatie en cyber crisis
Digitale transformatie en cyber crisis
 
Les 3 Risicomanagement En Omgevingsfactoren
Les 3 Risicomanagement En OmgevingsfactorenLes 3 Risicomanagement En Omgevingsfactoren
Les 3 Risicomanagement En Omgevingsfactoren
 
Consultancy & Investigations
Consultancy & InvestigationsConsultancy & Investigations
Consultancy & Investigations
 
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheerPresentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
 
Handreiking Risicoanalyse
Handreiking RisicoanalyseHandreiking Risicoanalyse
Handreiking Risicoanalyse
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than Sorry
 
Better Safe Than Sorry
Better Safe Than SorryBetter Safe Than Sorry
Better Safe Than Sorry
 

Security voor dummies v1

  • 1. “IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Marc Hagemeijer IT Risk and Security consultant
  • 2. Wat is beveiliging? Overeenkomst tussen marketing en beveiliging. Omgeving (markt) Gevolg (Doel) Kansen +€ In te zetten bedrijfsmiddel: (bijv.) Marketing = bedrijfsmiddelen welke betrouwbaar moeten zijn.
  • 3. Wat is beveiliging? Overeenkomst tussen marketing en beveiliging. Omgeving (markt) Gevolg (Doel) Kansen +€ In te zetten bedrijfsmiddel: (bijv.) Marketing = bedrijfsmiddelen welke betrouwbaar moeten zijn. In te zetten bedrijfsmiddel: Beveiliging(smaatregelen) -€ Risico Omgeving (bedreigingen) Gevolg
  • 4. Wat is beveiliging? Overeenkomst tussen marketing en beveiliging. Omgeving (markt) Gevolg (Doel) Kansen +€ In te zetten bedrijfsmiddel: (bijv.) Marketing = bedrijfsmiddelen welke betrouwbaar moeten zijn. In te zetten bedrijfsmiddel: Beveiliging(smaatregelen) -€ Risico Omgeving (bedreigingen) Gevolg Taken worden uitgevoerd binnen een proces: “IT risk and security management”. Doel van het proces: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen.
  • 5. Wat zijn “risico’s”? Risico = (Kans op een) bedreiging x Gevolg. Bedreiging = Een (mogelijke) gebeurtenis met ongewenste gevolgen. Gevolg = Resultaat, impact, verlieswaarde Risico = de kans (waarschijnlijkheid) dat een dreiging plaatsvindt vermenigvuldigd met het mogelijke gevolg van die dreiging. Een risico heeft betrekking op een object en is gerelateerd aan een dreiging. Risico waarbij geen rekening wordt gehouden met beveiligingsmaatregelen = inherent risico Risico waarbij wel rekening wordt gehouden met beveiligingsmaatregelen = rest risico Object = boerderij met rieten kap Dreiging = blikseminslag Kans = 1 x per jaar = 2 (schaal van 1 t/m 3) Gevolg = grote brand waarbij zeer waarschijnlijk boerderij verloren gaat = 3 (schaal van 1 t/m 3). (Inherente) risico (dat de boerderij wordt getroffen door bliksem) = 2 x 3 = 6 (schaal van 1 t/m 9) = medium risk.
  • 6. Wat is “betrouwbaarheid”? Betrouwbaarheid is de mate waarin men op iets of iemand kan vertrouwen (Wikipedia).
  • 7. Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Rapporteren Op acceptabel niveau houden Meten Implementeren en Beoordelen Bepaling Bepaling beheren van beveiligings- inherente rest- beveiligings- maatregelen en Risico risico (th) maatregelen restrisico (pr)
  • 8. Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Rapporteren Op acceptabel niveau houden Meten Bepaling dreigingen, kans, kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr)
  • 9. Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Externe wet en regelgeving Incident / problem Intern beleid management Best practices Lessons learned Root cause Configuration / etc Business Process management Security Baseline (standaard beveiligings- Overzicht met maatregelen) Bepaling bedrijfsmiddelen, dreigingen, bedrijfsprocessen Niets aan kans, en eigenaren doen kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr) Verplaatsen risico (verzekeren) Impact assesment + Risk analyses Risk treatment Risk acceptance Security Internal audit / Asset classification management control
  • 10. Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Externe wet en regelgeving Incident / problem Intern beleid management Best practices Lessons learned Root cause Configuration / etc Business Process management Security Baseline (standaard beveiligings- Overzicht met maatregelen) Bepaling bedrijfsmiddelen, dreigingen, bedrijfsprocessen Niets aan kans, en eigenaren doen kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr) Verplaatsen risico (verzekeren)
  • 11. “Waarde-”bepaling van bedrijfsmiddelen (impact) Voorbeeld formulier (SPRINT)
  • 12. Het IT risk and security management proces Doel: Het inzichtelijk maken en op een acceptabel niveau houden van risico’s ten aanzien van de betrouwbaarheid van onze IT bedrijfsmiddelen. Externe wet en regelgeving Incident / problem Intern beleid management Best practices Lessons learned Root cause Configuration / etc Business Process management Security Baseline (standaard beveiligings- Overzicht met maatregelen) Bepaling bedrijfsmiddelen, dreigingen, bedrijfsprocessen Niets aan kans, en eigenaren doen kwetsbaarheid Selecteren Implementeren en Beoordelen Bepalen van Bepaling Bepaling Besluit risico van Restrisico beheren van beveiligings- “verlies waarde” inherente rest- “behandeling beveiligings- acceptatie beveiligings- maatregelen en van bedrijfsmiddelen Risico risico (th) maatregelen maatregelen restrisico (pr) Verplaatsen risico (verzekeren)
  • 14. “IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Met het proces “IT risk and security management “
  • 15. “IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Omdat de betrouwbaarheid van bedrijfsmiddelen te “garanderen” / tegen dreigingen te beschermen Met het proces “IT risk and security management “
  • 16. “IT Security voor dummies” Hoe bepalen we, waarom en in welke mate, beveiliging noodzakelijk is? Omdat de betrouwbaarheid van bedrijfsmiddelen te “garanderen” / tegen dreigingen te beschermen Met het proces “IT risk and security management “ Afhankelijk van de “Risk appetite” van eigenaar van het bedrijfsmiddel èn van externe wet- en regelgeving. Marc Hagemeijer IT Risk and Security consultant