SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009

550 views

Published on

Informatiebeveiliging in de praktijk

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
550
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009

  1. 1. Kosten SRA ICT Bijeenkomst “Informatiebeveiliging” Informatiebeveiliging in de praktijk Aart in „t Veld 2 juni 2009
  2. 2. Informatiebeveiliging Visser & Visser… 6 vestigingen Ongeveer 175 medewerkers ICT gecentraliseerd en gevirtualiseerd In hoge mate geautomatiseerd en gedigitaliseerd Meer dan 60% van de medewerkers kan thuiswerken
  3. 3. Informatiebeveiliging Waarom informatiebeveiliging? Interne eisen/wensen Wet- en regelgeving: In 2004: GBA; vanaf 2006: WTA/BTA/VAO: “beheersen van bedrijfsprocessen en bedrijfsrisico‟s” Bewaarplicht 7 jaar Onafhankelijkheid Dossiers sluiten 60 dagen na verklaring
  4. 4. Informatiebeveiliging Opzet informatiebeveiligingsbeleid en -plan Code voor Informatiebeveiliging als raamwerk Beschikbaarheid / continuïteit Integriteit: juist/volledig/tijdig/geautoriseerd Vertrouwelijkheid: alleen toegang voor bevoegde personen
  5. 5. Informatiebeveiliging Informatiebeveiliging vs. ICT Risico-analyse vindt plaats vanuit bedrijfsprocessen en - informatie Informatiebeveiliging is dus geen ICT-verantwoordelijkheid Maatregelen betreffen vaak wel ICT-gerelateerde zaken
  6. 6. Informatiebeveiliging Informatiebeveiliging en MT Continuïteit beter uit te leggen dan informatiebeveiliging: “… maar we vertrouwen onze medewerkers.” Maatregelen informatiebeveiliging vaak lastig: Uitwisseling personeel tussen afdelingen lastiger Efficiency kan in het gedrang komen
  7. 7. Informatiebeveiliging Informatiebev. bij V&V (chronologisch) - 1 Maart 2004: initiatief voor opstellen informatiebeveiligingsbeleid en –plan vanuit ICT April 2004: goedkeuring door MT Mei-december 2004: opstellen beleid en plan door ICT in samenwerking met externe deskundige Januari 2005: versie 1.0 met actieplan definitief
  8. 8. Informatiebeveiliging Informatiebev. bij V&V (chronologisch) - 2 Maart 2005 – medio 2006: uitvoeren actieplan n.a.v. versie 1.0 Oktober 2006: versie 2.0 (herziening van het plan n.a.v. de genomen maatregelen a.d.h.v. versie 1.0 Februari 2008: versie 3.0 (herziening na virtualisatie servers en verhuizing naar datacenter in 2007; tevens herziening in concept gereed i.v.m. bezoek AFM)
  9. 9. Informatiebeveiliging Werkwijze periodieke herziening - 1 Doel: actualiseren én bewustzijn bij directie Stap 1: beoordelen beveiligingsbeleid en actualiseren beveiligingsplan door verantwoordelijke informatiebeveiliging Stap 2: bespreken concept met directievoorzitter en specifieke punten met Compliance Officer
  10. 10. Informatiebeveiliging Werkwijze periodieke herziening - 2 Stap 3: (aangepast) concept naar directievergadering met: Overzicht wijzigingen t.o.v voorgaande versie Overzicht belangrijkste risico‟s, die we aan willen pakken met bijbehorend actieplan Overzicht van de bewust genomen risico‟s Stap 4: uitvoeren goedgekeurde actieplannen
  11. 11. Informatiebeveiliging Eerste actieplan: 2005-2006 Uitgangspunten: Technisch regelen wat zinvol is (dus niet: mogelijk) Oplossingen mogen zo weinig mogelijk ten koste gaan van de efficiency in de dagelijkse procesen Voldoende communiceren: Doen wat redelijkerwijze verwacht mag worden Duidelijk maken wat niet verwacht mag worden
  12. 12. Informatiebeveiliging Eerste actieplan: 2005-2006 Een aantal concrete punten: Bewustwording bij alle medewerkers, met name via interne nieuwsbrieven Wachtwoordbeleid strakker aantrekken Encryptie van data op laptops Telewerken mogelijk maken voor veel meer medewerkers (eerst: alleen directie en ICT)
  13. 13. Informatiebeveiliging Tweede actieplan: 2007 Een aantal concrete punten, gericht op continuïteit: Virtualisatie van servers: Risico‟s groter Risico‟s veel makkelijker te minimaliseren Verplaatsen volledig serverpark naar datacenter Verbeteren klimaatbeheersing, fysieke toegang, stroomvoorziening, enz.
  14. 14. Informatiebeveiliging Derde actieplan: 2008-2009 - 1 Verbeteren/formaliseren autorisatie binnen applicaties Ideaal: autorisatie geïntegreerd met HRM Rollen definiëren door verantwoordelijken Beheer door ICT of applicatiebeheerder Afweging tussen “Need to know” en behoefte moderne kenniswerker
  15. 15. Informatiebeveiliging Derde actieplan: 2008-2009 - 2 Regelen uitwijklocatie (continuïteit): Gecentraliseerd vs. gedecentraliseerd Fysiek vs. virtueel Vitale bedrijfsprocessen RTO (Maximaal toegestane uitvalsduur) RPO (Maximaal toegestaan dataverlies)
  16. 16. Informatiebeveiliging Zaken die continu aandacht vereisen - 1 Beveiligingsniveau applicaties: Is het werkelijk wat het lijkt, ofwel: zit de achterkant van de applicatie net zo goed in elkaar als het aan de voorkant lijkt? Staat beveiliging op de agenda van de leverancier als essentieel onderdeel van de applicatie? Licentiebeheer
  17. 17. Informatiebeveiliging Zaken die continu aandacht vereisen - 2 Actuele ontwikkelingen eigen vakgebied: Digitaal factureren Klantenportal Digitale documenten met digitale handtekening Enz.
  18. 18. Informatiebeveiliging Zaken die continu aandacht vereisen - 3 Actuele ontwikkelingen algemeen/wereldwijd: LinkedIn Hyves Twitter Yammer Weblogs Enz.

×