3

838 views

Published on

Jacques Cazemier, MediaPlaza, Cybercrime

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
838
On SlideShare
0
From Embeds
0
Number of Embeds
118
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

3

  1. 1. Risico Analyse - bewust omgaan met risico’s en maatregelen - mei 2008 Jacques A. Cazemier [email_address] www.vka.nl
  2. 2. Jacques A. Cazemier <ul><li>IT sinds 1975 </li></ul><ul><ul><li>Technisch (F-16, Jovial J3B2, Atlas) </li></ul></ul><ul><ul><li>Administratief (Mimer RDBMS, 3GL) </li></ul></ul><ul><ul><li>Ontwikkelmethoden (Stradis, ESA PSS05) </li></ul></ul><ul><li>ISO 9000 Kwaliteitssystemen </li></ul><ul><li>Informatiebeveiliging sinds 1989 </li></ul><ul><li>Mede-auteur ITIL Security Management </li></ul><ul><li>IB Architect, VKA Zoetermeer </li></ul>
  3. 3. Inhoud <ul><li>Hoezo, maatregelen? </li></ul><ul><ul><li>zullen we even het hele plaatje schetsen? </li></ul></ul><ul><li>Risico Analyse </li></ul><ul><ul><li>wat is het, hoe doe je dat? </li></ul></ul><ul><li>Bedrijfscontinuïteit </li></ul><ul><ul><li>introductie BCM </li></ul></ul><ul><li>Hints en hobbels </li></ul><ul><ul><li>voor morgen </li></ul></ul>
  4. 4. Maatregelen ?
  5. 5. Om mee te beginnen Ervaring is de meest pijnlijke manier van leren Confucius Leren van de fouten van anderen is helemaal niet pijnlijk Cazemier
  6. 6. Verdeling van oorzaken bronnen: DTI: 1993, 1996. ISF 1999, 2000, 2001, 2004, 2006
  7. 7. Maatregel - voorbeeld <ul><li>Slot en sleutel </li></ul><ul><li>20% technisch </li></ul><ul><li>80% organisatorisch </li></ul>
  8. 8. Principes van maatregelen <ul><li>Afscheiding </li></ul><ul><ul><li>Envelop </li></ul></ul><ul><ul><li>Functiescheiding </li></ul></ul><ul><ul><li>Hek </li></ul></ul><ul><li>Redundantie </li></ul><ul><ul><li>Reserve(wiel) </li></ul></ul><ul><ul><li>Back up </li></ul></ul><ul><ul><li>Fax </li></ul></ul><ul><li>Controle </li></ul><ul><ul><li>Controletotaal </li></ul></ul><ul><ul><li>Inspectie </li></ul></ul><ul><ul><li>Validatie </li></ul></ul><ul><li>Vertrouwelijkheid </li></ul><ul><li>Beschikbaarheid </li></ul><ul><li>Juistheid, integriteit </li></ul>
  9. 9. Niveaus van bewustzijn <ul><li>De organisatie is: </li></ul><ul><li>in slaap - heeft geen idee </li></ul><ul><li>wordt wakker - begint vragen te stellen over risico’s </li></ul><ul><li>opstaan - zoekt expertise voor inrichting </li></ul><ul><li>klaarwakker - structurele informatiebeveiliging </li></ul>>= 2 jaren
  10. 10. Wat levert het op? <ul><li>Minder kosten, meer efficiëntie </li></ul><ul><li>Minder onderbrekingen </li></ul><ul><li>Beter imago, meer professioneel </li></ul><ul><li>Koppeling met andere organisaties, Internet </li></ul><ul><li>Bescherming van vitale informatie </li></ul><ul><ul><li>wij eerder dan zij </li></ul></ul><ul><ul><li>als ze het wisten </li></ul></ul><ul><ul><li>. . . </li></ul></ul>enabler
  11. 11. Wet- en regelgeving *) <ul><li>VIR - 2007 </li></ul><ul><li>Wet Computercriminaliteit - 1993 </li></ul><ul><li>Archiefwet - 1995 </li></ul><ul><li>WBP - 2001 </li></ul><ul><li>Wet Staatsgeheimen - 1951 </li></ul><ul><li>Politiewet - 1993 </li></ul><ul><li>Wet openbaarheid van bestuur - 1991 </li></ul>*) niet volledig
  12. 12. Risico? 12 de etage geen kinderen geen spontane ruitbreuk bekend toch een glasverzekering ?
  13. 13. Risico Analyse
  14. 14. Risico Analyse - wat is het <ul><li>Activiteit om uit te vinden </li></ul><ul><ul><li>welke risico’s er zijn en </li></ul></ul><ul><ul><li>wat te doen om daar niet teveel last van te hebben </li></ul></ul>
  15. 15. Compleet overzicht
  16. 16. Eenvoudig overzicht van de werking Wat hebben we in huis? Wat is daarvan de waarde? Wat kan er mis gaan? Wat zijn de gevolgen? Welke oorzaken? Oorzaken voorkomen , of gevolgen verminderen
  17. 17. Kwalitatief <ul><li>Hoog </li></ul><ul><ul><li>Invloed op gehele organisatie - crisis </li></ul></ul><ul><li>Medium, midden </li></ul><ul><ul><li>Zichtbaar buiten organisatie </li></ul></ul><ul><ul><li>hogere prijzen, grotere leveringstijd </li></ul></ul><ul><li>Laag </li></ul><ul><ul><li>Blijft binnenskamers </li></ul></ul><ul><ul><li>Binnen de marges </li></ul></ul>
  18. 18. Vertrouw je je buurman? <ul><li>met: </li></ul><ul><li>je auto? </li></ul><ul><li>je sleutelring? </li></ul><ul><li>je biertje? </li></ul><ul><li>je credit card of je mobieltje? </li></ul><ul><li>je krant? </li></ul>
  19. 19. Vertrouw je je buurman? <ul><li>met: </li></ul><ul><li>je auto? </li></ul><ul><li>je sleutelring? </li></ul><ul><li>je biertje? </li></ul><ul><li>je credit card of je mobieltje? </li></ul><ul><li>je krant? </li></ul>je hebt net een risico analyse gedaan
  20. 20. Standaarden <ul><li>Code voor Informatiebeveiliging (CvIB) </li></ul><ul><ul><li>‘ Best Practice’ met 133 maatregelen (ISO 27002) </li></ul></ul><ul><ul><li>Voor automatiseerders </li></ul></ul><ul><ul><li>Management systeem voor certificatie (27001) </li></ul></ul><ul><li>NEN 7510 CvIB voor de gezondheidszorg </li></ul><ul><ul><li>Implementatiehandboek </li></ul></ul><ul><li>Common Criteria (ISO 15408) </li></ul><ul><ul><li>producten </li></ul></ul>
  21. 21. BCM
  22. 24. Is dit een crisis ? <ul><li>Internet </li></ul><ul><ul><li>Postbank </li></ul></ul><ul><li>Terugroepactie (product recall) </li></ul><ul><ul><li>Unilever </li></ul></ul><ul><li>Brand </li></ul><ul><ul><li>RWS Lelystad </li></ul></ul><ul><li>Fraude </li></ul><ul><ul><li>ABN/AMRO >25 miljoen </li></ul></ul><ul><li>Kwaliteit </li></ul><ul><ul><li>Perrier in België </li></ul></ul>?
  23. 25. Risico’s - risicomatrix laag laag hoog hoog schade kans op optreden
  24. 26. Risico’s - risicomatrix printerpapier op virus laag laag hoog hoog schade kans op optreden Business as usual netwerkstoring Web winkel lang niet bereikbaar
  25. 27. Risico’s - risicomatrix printerpapier op virus laag laag hoog hoog schade kans op optreden Business as usual vermijden CRISIS netwerkstoring IB Web winkel lang niet bereikbaar
  26. 28. Karakteristieken van een crisis slechte informatie grote schade te weinig tijd beperkte opties
  27. 29. CHAOS mensen eerst brand blussen milieuschade schade opnemen waar is iedereen wat hebben we nog partners informeren klanten, opdrachtgevers medewerkers familieleden PERS politie wanneer? ambulance ziekenhuis berging schoonmaakbedrijf waterschade aannemer hijskraan gemeente PERS PERS PERS PERS PERS brandweer waar? wat? hoe?
  28. 30. CHAOS - eerste 24 uur <ul><li>Mensen eerst </li></ul><ul><li>Branden blussen </li></ul><ul><li>(Milieu)schade beperken </li></ul><ul><li>Schade opnemen </li></ul><ul><ul><li>wat werkt nog </li></ul></ul><ul><ul><li>waar is iedereen </li></ul></ul><ul><li>Partners </li></ul><ul><li>Relaties </li></ul><ul><li>Medewerkers </li></ul><ul><li>Pers </li></ul><ul><li>Politie </li></ul><ul><li>Brandweer </li></ul><ul><li>Ambulance </li></ul><ul><li>Gemeente </li></ul><ul><li>Media </li></ul><ul><li>Berging (salvage) </li></ul><ul><li>Schoonmaakbedrijf </li></ul><ul><li>Bouwbedrijf </li></ul><ul><li>Machinefabriek </li></ul>
  29. 31. ‘Voordenken’ beter dan nadenken
  30. 32. Do’s and don’ts <ul><li>Voorbereiding </li></ul><ul><li>Training </li></ul><ul><li>Communiceer erover </li></ul><ul><li>Betrek spelers </li></ul><ul><li>Geef verantwoordelijkheid </li></ul><ul><li>Geef bevoegdheid/budget </li></ul><ul><li>Besluit </li></ul><ul><ul><li>Over escalatiedrempels </li></ul></ul><ul><ul><li>Over CMT </li></ul></ul><ul><ul><li>Over CCP </li></ul></ul><ul><ul><li>. . . </li></ul></ul><ul><li>Afschuiven </li></ul><ul><li>Uitbesteden </li></ul><ul><li>Struisvogel als voorbeeld </li></ul><ul><li>Wachten </li></ul>
  31. 33. Voor morgen …
  32. 34. Hints en hobbels <ul><li>Hints </li></ul><ul><li>Niet meer dan nodig </li></ul><ul><ul><li>is goedkoper </li></ul></ul><ul><ul><li>wordt beter geaccepteerd </li></ul></ul><ul><li>Denk eens aan een minimumniveau </li></ul><ul><li>Gebruik standaarden </li></ul><ul><li>Fasering is toegestaan </li></ul><ul><li>Hobbels </li></ul><ul><li>Gebrek aan bewustwording </li></ul><ul><ul><li>informatie </li></ul></ul><ul><ul><li>motivatie </li></ul></ul><ul><li>Ivoren toren probleem </li></ul><ul><li>Wachten tot alles klaar is </li></ul><ul><li>Te weinig manager in de RA </li></ul><ul><li>Slechte voorbeelden </li></ul>
  33. 35. Tenslotte: Hoe weet je dat je niet genept wordt? <ul><li>Business Case voor iedere maatregel </li></ul><ul><li>Onderbouwing met </li></ul><ul><ul><li>oorzaak of dreiging </li></ul></ul><ul><ul><li>waarschijnlijkheid </li></ul></ul><ul><ul><li>initiële en terugkerende kosten </li></ul></ul><ul><li>Let op: maatregelen moeten onderhouden worden </li></ul>

×