BORG ICT voor het MKB Maatregelen uit de

BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk Quint Wellington Redwood © 2002

Doel en doelgroep n Doel u u n beveiligingsmaatregelen eenvoudig selecteerbaar verbeterde totale beveiliging tegen relatief lagere kosten Gericht op u u u continuïteit van organisatieprocessen ICT organisaties of afdelingen MKB Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Integratie risicomanagement n Beleid n Organisatie n Selectie maatregelen Toepassing maatregelen n Personeel Materieel Informatie Financiën • ziekte • motivatie • kennis • . . . • brand • inbraak • diefstal • . . . • afluisteren • virus • hacker • . . . Borg & ICT voor het MKB • valuta • rente • claims • . . . 12 nov 2003 Quint Wellington Redwood © 2002

Risico’s materieel n Schade als percentage van omzet: 0. 17% (bron: Jaarboek Beveiliging) n Kans op externe criminaliteit: 42% (bron: Stichting Trendmeter 1998) n Verdeling kansen (bron: Jaarboek Beveiliging) Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Risico’s informatie n Schade als percentage van omzet: 0. 16% (bron: CSI/FBI 2001) n Verdeling schade (bron: CSI/FBI 2001) Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Bedreigingen MKB (bron: Kwint 2002) Materieel n BORG u n Informatie n ICT hoog onbevoegde indringing (inbraak, diefstal) u u Overige regelingen u u u brand bliksem. . . u n ICT midden u u u n virussen stroomuitval brand / waterschade diefstal gegevens door hacker diefstal computers uitval internet ICT laag u u niet zakelijk gebruik internet door mdws veranderen website Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Informatiebedreigingen MKB reëel? (bron: Kwint 2002, Crypsys 2003) Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Preventieve uitgaven voor beveiliging n Materieel u n 0. 21% omzet (bron: Beveiligings jaarboek) Informatie u 0. 16% - 0. 32% omzet (bron: Heliview 2002, Gartner 2001) (16% automatiseringsbudget) Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Conclusie informatiebeveiliging MKB n Passende maatregelen ontbreken veelal u u afhankelijkheid van informatie niet onderkend kennis maatregelen ontbreekt (bron: Kwint 2002) n MKB wil pragmatische hulp bij informatiebeveiliging Tijd voor BORG en Cv. IB (Code voor Informatiebeveiliging)? Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Essentie BORG en Cv. IB n BORG u u u n kwaliteitssysteem erkenning beveiligingsbedrijven en -installaties Nationaal Centrum voor Preventie (NCP) Cv. IB u u u beste praktijkmethoden voor bedrijfsleven NEN-norm, afgeleid van ISO-norm, verzameling informatiebeveiligingsmaatregelen Min EZ / NNI Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Bij integratie te behouden principes n BORG u u u n assets als te beschermen objecten risicoklassen eenvoudige bepaling risicoklasse elke maatregel heeft bepaalde zwaarte sommige maatregelen zijn uitwisselbaar certificering van installatie geeft premiereductie Cv. IB u u u informatie als primair te beschermen ‘objecten’ BIV breed scala aan bedreigingen, risico’s en maatregelen onderscheid tussen objectgroepen mogelijk, met elk een passend beveiligingsregime certificering van proces mogelijk Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Stappen bij selectie van maatregelen n BORG u u n bepalen BORG risicoklasse bepalen BORG maatregelclusters ICT u u bepalen ICT risicoklasse bepalen ICT maatregelclusters • BORG & ICT • samenstellen maatregelmix Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Bepaling risicoklassen n BORG u u u n aard object (productiebedrijf, kantoor, …) 5 - 8 pt ligging object (buiten, binnen gebied) 4 - 6 pt waarde & attractiviteit goederen 2 - 12 pt ICT u u u aard automatisering (primair proces, ondersteunend proces, . . . ) 5 - 8 pt ligging automatisering (fysiek en logisch) 4 - 6 pt waarde & attractiviteit info 2 - 12 pt t t Borg & ICT voor het MKB indeling info type conform CBP voor anderen (branche * info type) voor MKB (misbaarheid * herstelbaarheid) 12 nov 2003 Quint Wellington Redwood © 2002

Risicoklassen m. b. t. bedrijven en instellingen n BORG u u n klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 - 20 pt klasse 4: > 20 pt ICT u u klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 -20 pt klasse 4: > 20 pt Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Maatregelen indeling n BORG u u u n organisatorisch bouwkundig elektronisch compartimentering meeneembeperking alarmopvolging ICT u organisatorisch (beleid, IB organisatie, toezicht op naleving, . . . ) u voorschriften (procedures, huisregels, bewustwording, . . . ) u logische toegang (user ids, passwords, antivirus, netwerk, firewall, …) u continuïteit (UPS, back-up, calamiteitenplan, uitwijk, . . ) Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Maatregelclusters n BORG u u n klasse 1: Bn of Bs+Es klasse 2: Bn+Es of Bs+Es+Cn klasse 3: Bz+En of Bs+En+Cn klasse 4: Bz+Ez of Bn+Ez+Cz ICT u u klasse 1: i. O 1+i. V 1+i. L 1+i. C 1 klasse 2: i. O 1+i. V 1+i. L 2+i. C 2 of … (6 pt) klasse 3: i. O 2+i. V 2+i. L 2+i. C 2 of … (8 pt) klasse 4: i. O 3+i. V 2+i. L 2+i. C 3 of … (10 pt) Borg & ICT voor het MKB indeling niveaus conform Common Criteria 12 nov 2003 Quint Wellington Redwood © 2002

Maatregelen Cv. IB n Voorbeeld u u u i. O 1 = eindverantwoordelijke IB, controle door de ‘lijn’, . . . i. O 2 = beleid, eigenaars bedrijfsmiddelen, overzicht bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, … i. O 3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, . . . Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002

Definitieve selectie maatregelenmix n Afweging ICT maatregelen tegen BORG maatregelen Borg & ICT voor het MKB 12 nov 2003 Quint Wellington Redwood © 2002