Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gast college Saxion Hogeschool Integrale Beveiliging: Governance & Auditing

942 views

Published on

Gast college Saxion Hogeschool
Integrale Beveiliging: Governance & Auditing

Published in: Business
  • Be the first to comment

Gast college Saxion Hogeschool Integrale Beveiliging: Governance & Auditing

  1. 1. Integrale Beveiliging: • Governance en Auditing Gast college
  2. 2. About me… Thimo Keizer Managing Consultant and Owner B-Mature Most organisations never fully mature, they simply grow taller http://nl.linkedin.com/in/thimokeizer/
  3. 3. • The Bigger Picture • Risico Management • Integrale Beveiliging • Governance • Internal Auditing Als ik straks klaar ben dan hebben jullie meer inzicht in het volgende:
  4. 4. THE BIGGER PICTURE
  5. 5. Omzet (verhoging) Kosten (efficiëntie) Imago (verbetering)
  6. 6. Ingaande Logistiek Bewerking Uitgaande Logistiek Marketing & Verkoop Service Infrastructuur van het bedrijf Personeel & Organisatie Technologische ontwikkelingen (Research & Development) Toegevoegde Waarde Continuïteit Financien en inkoop Waardeketen van Michael Porter Primaire proces(sen) Secundaire processen
  7. 7. Het gaat dus niet om beveiliging of risico management Het gaat om continuïteit van de organisatie in de breedste zin van het woord de eerste stap daarbij is risico management
  8. 8. RISICO MANAGEMENT
  9. 9. Doelstelling vaststellen Risico's identificeren Gevolgen inschatten Risico's beoordelen Risico's beheersen Monitoring
  10. 10. Risk Analysis Risk Management Strategy Disaster Recovery Business Continuity Crisis ManagementRisico Management Business as Usual DiscontinuityIncident Prevention Detection Repression Correction
  11. 11. Kans  Impact Het risico Overdragen Het risico Vermijden Het risico Accepteren Het risico Beheersen Of de risicovolle activiteit helemaal niet uitvoeren
  12. 12. Pas op voor de verkeerde approach Rule based approach Operational risk based approach Enterprise risk based approach
  13. 13. De Code voor Informatiebeveiliging is een waardevol hulpmiddel…maar als je het op de verkeerde manier gebruikt is het vooral een rule based benadering (die je veel geld kost en weinig echte beveiliging oplevert)
  14. 14. INTEGRALE BEVEILIGING
  15. 15. Safety Security Fysieke beveiliging Informatie beveiliging Integrale beveiliging
  16. 16. Integrale Beveiliging Informatie Beveiliging Fysieke Beveiliging Beveiliging van Geautomatiseerde Data Beveiliging van niet Geautomatiseerde Data Beveiliging van Materieel Beveiliging van Personeel Technische Maatregelen Procedurele Maatregelen Organisatorische Maatregelen Bouwkundige Maatregelen Elektronische Maatregelen Ingaande Logistiek Bewerking Uitgaande Logistiek Marketing & Verkoop Service Infrastructuur van het bedrijf Personeel & Organisatie Technologische ontwikkelingen (Research & Development) Financien en inkoop Toegevoegde Waarde Continuïteit Beveiliging en de Waardeketen van Michael Porter
  17. 17. Maar vraag je ook af waartegen: Vraag je af wat je wilt beveiligen: Waarden, informatie, materieel en/of personeel Interne of externe bedreigingen Natuurramp of menselijk handelen
  18. 18. Voorbeeld daderprofiel Baldadigejeugd/vandalen Gelegenheidscrimineel Semi-professional Professional Vandalisme A A,B A,B A,B Sabotage A,B A,B A,B Diefstal A,B A,B B,C,D Inbraak A,B A,B B,C,D,F Overval C, G C, G Gijzeling G G Brand D,E D,E Legenda: A = Aanwezig materieel E = Brandbare vloeistoffen B = Handgereedschap F = Voertuigen C = Groot handgereedschap G = Wapens D = Elektrisch gereedschap
  19. 19. Hoe zwaar willen we ons beveiligen? Normaal Zwaar Extra zwaar 3 minuten 5 minuten 10 minuten • Bouwbesluit • NEN-normeringen • Verbeterde Risicoklasse Indeling (VRKI)
  20. 20. GOVERNANCE DE WIJZE VAN BESTUREN
  21. 21. Security Management Auditing Risk Management Corporate Governance
  22. 22. Wil je dat ze compliant zijn of “in control” En wat wil je opdrachtgever?
  23. 23. Wie is verantwoordelijk voor wat?
  24. 24. Lijn organisatie Risk, Control, Compliance Interne audit First line of defence Second line of defence Third line of defence Externe audit Fourth line of defence Uitvoering en risico management bij die uitvoering Beleid en onafhankelijke interne controle Interne verbijzonderde controle Externe verbijzonderde controle + eventuele toezichthouders
  25. 25. Vertrouwen is goed, controle is beter Maar waarom controleren we? • Om de staatskas te spekken? • Om de verkeerdveiligheid te bevorderen?
  26. 26. Internal Auditing Het controleren
  27. 27. Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren. Definitie
  28. 28. In de beveiliging kun je het goed gebruiken om jouw doel (een verbetering in de beveiliging) te bereiken De audit is niet het doel maar het middel om je doel te bereiken
  29. 29. Wanneer krijg je te maken met auditing? auditor die de medewerkers controleert medewerker die door de auditors wordt gecontroleerdAuditee Auditor
  30. 30. Het beleid schrijft voor dat er een beveiligingsplan per gebouw is Opzet Dit beveiligingsplan is er ook echt voor het gebouw dat we auditen Bestaan De beveiliging van het gebouw voldoet aan dit beveiligingsplan Werking
  31. 31. Je toetst altijd aan een normenkader Hoe hoog leg je de lat? • Als je 125 kilometer rijdt, dan rijd je toch echt te hard maar krijg je geen bekeuring. • Als 10% van de wachtwoorden niet aan de policy voldoet, hoe is dan je score en hoe groot is dan het risico dat je loopt? • En als 1% van het kernafval verkeerd wordt opgeslagen? Hoe erg is dat dan?
  32. 32. Financial audit IT-audit Operational audit Forensic audit Kwaliteitsaudit Beveiligingsaudit
  33. 33. Beveiliging van Geautomatiseerde Data Beveiliging van niet Geautomatiseerde Data Beveiliging van Materieel Beveiliging van Personeel Technische Maatregelen Procedurele Maatregelen Organisatorische Maatregelen Bouwkundige Maatregelen Elektronische Maatregelen Ingaande Logistiek Bewerking Uitgaande Logistiek Marketing & Verkoop Service Infrastructuur van het bedrijf Personeel & Organisatie Technologische ontwikkelingen (Research & Development) Financien en inkoop Toegevoegde Waarde Continuïteit Operational Audit IT audit Beveiligingsaudit
  34. 34. Het is noodzakelijk om alle soorten audits uit te voeren, maar het is niet noodzakelijk ze allemaal in één audit uit te voeren De vaardigheden (en ervaring) die nodig zijn verschillen per audit IT-audit Beveiligingsaudit We gaan nader in op
  35. 35. In hoeverre is de informatie beschikbaar op het moment dat ik het nodig heb? Beschikbaarheid (Availability) In hoeverre is de informatie actueel en correct? Vertrouwelijkheid/ Exclusiviteit (Confidentiality) In hoeverre kunnen alleen geautoriseerde personen toegang krijgen tot de informatie Integriteit (Integrity) Maar ook: Effectiviteit, efficiency, return on investment, kwaliteit, etc.
  36. 36. “Een informatiesysteem is meer dan een computer” De elementen van een IT audit: • De fysieke componenten en de omgeving • De administratieve organisatie • De applicatieve software • Het netwerk (infrastructuur) • De Business Continuity • De data integriteit Waarom we naast IT audits ook naar de fysieke beveiliging moeten kijken
  37. 37. Auditing van de fysieke beveiliging Met fysieke beveiliging willen we de waarden, de informatie, het materieel en personen beschermen tegen realistische fysieke bedreigingen (dit leggen we vast in beveiligingsbeleid en beveiligingsplannen) Met fysieke beveiligingsaudits willen we zekerstellen dat we de onderkende risico’s op voldoende wijze beheersen en dat we aan het beleid voldoen
  38. 38. Voordat je aan de audit begint: 1. Inventariseer de waarden, de informatie, het materiaal en het personeel en categoriseer ze 2. Bepaal welke waarden, informatie, materieel en personeel de meeste impact hebben op de kritische bedrijfsprocessen en activa (zoals geld, materialen, klanten, besluitvorming) 3. Beoordeel welke risico's van invloed kunnen zijn op deze waarden, informatie, materieel en personeel en bepaal de kans en de impact van bedreigingen 4. Rangschik de waarden, informatie, het materieel en het personeel op basis van de bovenstaande evaluatie en beslis over de prioriteit, middelen, planning en frequentie
  39. 39. Het proces: • Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren • Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie • Voer de daadwerkelijke audit uit • Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg • Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd
  40. 40. Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren • Het beveiligingsbeleid • De beveiligingsplannen • Geaccepteerde risico’s • Resultaten van eerdere audits
  41. 41. • Bepaal of je kijkt naar opzet, bestaan en/of werking • Maak een auditplan • Stem het plan af met het verantwoordelijke management • Vraag welke ontwikkelingen er zijn Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie
  42. 42. Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg Voer de daadwerkelijke audit uit 1. Beoordeel het ontvangen materiaal (desk research) 2. Hou interviews met betrokkenen (en vraag door) 3. Vraag om bewijsmateriaal 4. Trek je conclusie 5. Verifieer je conclusie bij de betrokkenen 6. Schrijf je “finding” en “aanbeveling” op
  43. 43. Rapporteren: • Constatering • Oorzaak • Risico • Aanbeveling Maar: Vraag altijd om een management respons Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd
  44. 44. Vragen? Discussie

×