ZBC bv Informatiebeveiliging De pragmatische ZBCaanpak Uitgangspunt zijn

© ZBC bv De kern van informatiebeveiliging - Richt uw basisbeveiligingsniveau goed in en bewaak de naleving. - Alleen voor zeer waardevolle zaken geldt een hoger beveiligingsniveau. - Risico’s die u redelijkerwijs niet wilt of kunt voorkomen, maar toch niet zondermeer wilt accepteren, brengt u onder in het business continuity plan. - Uiteraard houdt u zich aan de wet, maar daarbij gaat het om meest administratieve verplichtingen. 100 % beveiliging bestaat niet © ZBC – www. zbc. nu

© ZBC bv Informatiebeveiliging volgens ISO 2700 X is …. datgene doen wat … q je kunt doen q je wilt doen q je moet doen Zeg wat je doet, doe wat je zegt en laat zien dat je het gedaan hebt. © ZBC – www. zbc. nu

© ZBC bv Kaders informatiebeveiliging - Informatiebeveiliging is één van de operational risks waarmee uw organisatie om moet gaan. - Uiteraard voldoet u aan de wet. U moet zich houden aan een aantal vooral administratieve voorschriften, maar met informatiebeveiliging heeft dat weinig te maken. Informatiebeveiliging moet passend zijn en wat passend is, dat beslist u zelf. - Bestuurdersaansprakelijkheid gaat over ‘in control’ zijn ofwel over dat u bewuste keuzes heeft gemaakt m. b. t. uw operational risks, dus ook m. b. t IB. - Pragmatisch betekent dat u kiest voor wat werkt in uw situatie. - risico inventarisatie; - opzet als management systeem; - bedrijfseconomisch verantwoorde keuzes; - de lat niet hoger leggen dan wat u aan kan. © ZBC – www. zbc. nu

© ZBC bv Dus processen ‘in control’ - Directieverantwoordelijkheid: - sturing via beleidsuitgangspunten; - beoordeling naleving en werking. - Beschrijving van de huidige situatie als interne norm - Risicoinventarisatie met een goedgekeurde beoordeling van de risico’s en een tijdlijn voor de reductie van de risico’s Hiermee wordt de bestuurdersaansprakelijkheid ook afgedekt. 5 © ZBC – www. zbc. nu

© ZBC bv IB inrichten als management systeem Beleidsuitgangspunten en risicoacceptatie Beleid IB Beleidsuitgangspunten Voortschrijdend inzicht Risicoinventarisatie Best practices; ISO 2700 X Rapportage wat bereikt is en verbetervoorstellen Planning; Interne norm Pas toe of leg uit Interne norm Afwijkingen Normen, plannen Control Incidenten, rapportage werking Uitvoering © ZBC – www. zbc. nu

© ZBC bv Pragmatische aanpak - Benoem een proceseigenaar informatiebeveiliging. Deze heeft het mandaat om namens de directie beslissingen te nemen, die nodig zijn om op pragmatische wijze tot een invulling te komen van IB. Periodiek wordt verantwoording afgelegd. - Als directie bepaalt u hoe hoog u de lat wilt leggen. Doet u dit niet, dan wordt u door toezichthouders afgemeten aan een norm die u niet gekozen heeft en waarbij de lat vrijwel zeker hoger ligt. - Als u zelf uw keuzes maakt en in control bent, dan geven toezichthouders aanbevelingen voor een verbetercyclus. Zonder uw keuzes geven ze boetes. - Leg de lat niet hoger dan wat u nu al waar kunt maken. - Stap 1 is ervoor te zorgen dat u in control bent (en u dus uw bestuurdersaansprakelijkheid heeft afgedekt). - Stap 2 is het stapsgewijs terugbrengen van de risico’s (in het door u gekozen tempo). 7 © ZBC – www. zbc. nu

© ZBC bv Inhoudsopgave Beleidsdocument 1. Inleiding 2. Verantwoordelijkheid, doelstelling en doelgroep 3. Toepassingsgebied 1. Houderschap en reikwijdte van het beleid 2. Uitwerking van dit beleid 3. Controle werking en naleving van het beleid 4. Beleidsuitgangspunten 8 © ZBC – www. zbc. nu

© ZBC bv Voorbeelden beleidsuitgangspunten - Informatiebeveiliging is één van de belangrijke ‘operational risks’ voor <PPPP>. De directie stelt het beleid vast, beoordeelt de risico’s, stelt de maatregelen vast en laat periodiek de werking van het beleid en de naleving van deze maatregelen intern en extern beoordelen. - <PPPP> conformeert zich m. b. t. de informatiebeveiliging aan de van toepassing zijnde wetgeving. - De best practices van de norm NEN-ISO/IEC 27002 (of NEN 7510) en de privacy richtsnoeren van het CBP vormen, voor zover zij bijdragen aan de informatiebeveiliging van <PPPP>, het uitgangspunt voor de te definiëren maatregelen. Dit is mede een bedrijfseconomische afweging. - <PPPP> beschouwt computercriminaliteit als een ongewenst maatschappelijk probleem en ziet het als zijn taak om passende maatregelen te nemen om schade ten gevolge van criminele activiteiten zoveel mogelijk te beperken. Ook dit is een bedrijfseconomische afweging. - Alleen maatregelen waarvan handhaving goed mogelijk is, komen in aanmerking voor implementatie. © ZBC – www. zbc. nu

© ZBC bv Huidige situatie is uitgangspunt voor de baseline - Identificeer gebieden met een hoger beveiligingsniveau dan de baseline (kroonjuwelen; wettelijk verplicht) en parkeer deze. - Gebruik de controls van ISO 27002 (of NEN 7510) als basis voor de baseline. Eventueel kan ook Appendix A van ISO 27001 gebruikt worden, maar deze geeft minder ondersteuning. - Ken belang toe aan beheersmaatregelen. - Huidige situatie is de norm voor de baseline. Verbeter later via de verbetercyclus. Hierdoor worden implementatieproblemen (awareness, papieren tijgers) vermeden. - Identificeer tekortkomingen. - Totaal overzicht in één tabel. - Werk de uitkomst uit tot de interne norm en een risico-inventarisatie. 10 © ZBC – www. zbc. nu

© ZBC bv Voorbeeld sjabloon risico inventarisatie en aanzet BBN Onder Doelstelling Norm werp 5. Beveili- 5. 1 Het bieden 5. 1. 1 gings van sturing en beleid ondersteuning door de directie ten behoeve van 5. 1. 2 IB Issue 6. Organi- 6. 1 Het beheren 6. 1. 1 satie van de de bevei- informatiebev liging binnen de 6. 1. 2 organisatie 6. 1. 3 6. 1. 4 6. 1. 5 Nodig Huidige situatie (wat is er wel) Status (wat is er niet) Beleids document +++ Er is een strategisch beleidsplan met beleidsuitgangspunten. Er is een visie op informatiebeveiliging. Informatiebeveiliging is hierin niet verwerkt. De visie is niet uitgewerkt en wordt niet uitgedragen. Beoorde- ling beleid +++ Er vindt jaarlijks een Interne controle is niet ingericht. IB accountantscontrole plaats. De vormt geen onderdeel van de externe besluitvorming over investeringen is controle. Er is geen procedure met geregeld. een impact analyse geldend voor investeringsbeslissingen. Betrokkenheid directie Coördinatie Toewijzing verantwoor delijk- heden Goedkeu ring ICTinvesterin gen Geheimhou ding +++ De directie geeft richting aan de beveiliging binnen de organisatie. + ++ zie 6. 1. 1 Het is redelijk duidelijk wie vooral Vastlegging van deze de uitvoerende rollen dienen te verantwoordelijkheden ontbreekt. vervullen tav informatiebeveiliging. ++ De besluitvorming over ICTinvesteringen is geregeld. ++ Het goed en adequaat kunnen Inbreuk is niet iets dat procedureel omgaan met vertrouwelijke geregeld dienst te worden maar in een informatie is een belangrijk functioneringsgesprek. onderdeel van de professionaliteit van medewerkers. De sturing is ad hoc en vooral operationeel. Formalisatie ontbreekt. Er is geen procedure met een impactanalyse geldend voor investeringsbeslissingen. © ZBC – www. zbc. nu

© ZBC bv Risico inventarisatie - Afleiden uit de tekortkomingen huidige situatie - Classificatie aan de hand van stoplichtmodel - Beschrijving verbetering (verbetercyclus) - Verbetering uitzetten in de tijd - Basis voor halfjaarlijkse evaluatie en rapportage 12 © ZBC – www. zbc. nu

© ZBC bv Voorbeeld risico’s, maatregelen en roadmap Risico# Risico gebied Beveiligings- 1 Door het ontbreken van beleidsuitgangspunten kunnen maatregelen te zwaar aangezet worden (verspilling) of negatieve effecten hebben op de efficiency van de bedrijfsvoering. 2 Er is onvoldoende terugkoppeling over de effectiviteit van het informatiebeveiligingsbeleid aan de directie, waardoor beleidsmatige bijsturing niet mogelijk is en verbeteringen alleen ad hoc plaats vinden. 3 Functiescheiding tussen planning en control van informatiebeveiliging ontbreekt. Organisatie 4 De organisatie is niet volledig van beschreven, waardoor naleving niet informatie geborgd is. Onduidelijk is welke rol beveiliging <PPPP> hierin speelt. nov- apr- jan- Maatregelen 13 14 15 16 3 4 3 1 3 1 De directie definieert beleidsuitgangspunten en laat zorgen voor inbedding in het beleidsdocument. Zij organiseert een event waarin zij haar beleid uitdraagt aan de medewerkers. 3 4 3 2 3 1 Halfjaarlijks wordt er een risico evaluatie gehouden en elk onderdeel wordt gewaardeerd met een kleurencode. Doorgevoerde maatregelen worden hierin meegewogen, net als nieuwe risico's. 2 4 2. 2 3 4 3 3 2. 2 2 1 In afwachting van een definitieve regeling, wordt de rapportage van X steekproefsgewijs gecontroleerd. 3 2 3 1 Vastlegging in procesbeschrijvingen en toewijzen verantwoordelijkheden. 5 Een sanctiebeleid ontbreekt. 1 3 1 1 Er wordt een sanctiebeleid opgesteld. 6 Wijzigingsbeheer wordt in technische zin 3 4 wel toegepast (fall back scenario) maar bij functionele wijzigingen wordt niet systematisch een impactanalyse gedaan, waarbij ook de IB wordt meegenomen. Ook worden wijzigingen niet altijd formeel geaccepteerd. 3 2 3 1 Standaardonderdeel van investeringsvoorstellen en functionele wijzigingsvoorstellen is een impactanalyse. Nieuwe risico's dienen in het voorstel afgedekt te worden dan wel formeel te worden geaccepteerd door de © ZBC – www. zbc. nu directie. 13

© ZBC bv Verplichte systeem elementen voor ‘in control’ - Natuurlijk is de interne norm statisch en dat is de werkelijkheid niet. Daarom is er een aantal zaken die verplicht geregeld moeten worden om het systeem te laten werken: - een procedure voor het behandelen van investeringsvoorstellen en wijzigingen, zodat deze geen afbreuk doen aan uw IB; - een procedure voor het afhandelen van incidenten (in feite het niet naleven van de norm of gebeurtenissen die niet afgedekt worden door de interne norm); - een ethische code die niet alleen geldt en effectief is voor eigen medewerkers maar ook voor inhuurkrachten. - Daarnaast zijn ook het beleidsdocument en een beschrijving van de inrichting en organisatie van het managementsysteem verplicht, maar dat spreekt bijna vanzelf. © ZBC – www. zbc. nu

© ZBC bv Opstellen actieplan volgende verbetercyclus - In principe niet meer dan een actielijst met: - actiehouder (accountable en responsible) - support is optioneel (consultatie; informatie) - deadline - effort - Werk de gebieden uit met een hoger beveiligingsniveau dan de baseline. In principe is dit voldoende om ‘in control zijn’ aan te tonen. © ZBC – www. zbc. nu

© ZBC bv Best practices aanpak ZBC - Wijs een proceseigenaar informatiebeveiliging aan, die het mandaat heeft van de Rv. B om antwoord te geven op de vraag ‘Is dat erg? ’ Na het traject legt hij verantwoording af aan de Rv. B. - Het kernteam bestaat uit de proceseigenaar IB, een kenner van de ICT en een kenner van de bedrijfsprocessen. - De basis voor acceptatie en draagvlak van maatregelen wordt gevormd door de redelijkheid van die maatregelen en niet door ingewikkelde veranderingsprocessen of awareness campagnes. - IB is er voor de organisatie en niet voor de auditors. IB is datgene wat u wilt doen. © ZBC – www. zbc. nu

© ZBC bv Stappenplan (vrijwel iedere sessie levert huiswerk op) o Kick off meeting met het kernteam (ambitie en uitgangspunten) o 1 -2 sessies met MT introductie IB en goedkeuring beleidsdocument o 2 -4 sessies om de huidige situatie tov ISO 27002 in kaart te brengen o 1 -2 sessies om de risico-sheet uit te werken o 1 sessie ter voorbereiding management meeting o 1 sessie management meeting ------------------------------------------- o 2 -4 sessies om een aantal basismaatregelen uit te werken o 1 -6 sessies om andere betrokkenen te informeren o 1 -2 sessies om een jaarplan te maken voor de eerste verbetercyclus o 2 -6 sessies gericht op de bescherming van de kroonjuwelen © ZBC – www. zbc. nu

© ZBC bv Wiebe Zijlstra - ZBC - Managing consultant ZBC sedert 1997 - Kenmerk dienstverlening ZBC: - maximaal hergebruik door de toepassing van sjablonen; - maximale zelfredzaamheid bieden door kennisdeling en coaching. - Daarvoor 12 jaar programmamanager bij Capgemini - Referenties informatiebeveiliging o. a. - Ziggo zakelijk, Efteling, Sound of Data, Onsight, Montae, Symax, Arjo. Wiggins, Nestlė, Rabobank, Smart. Install, Rechtbank Arnhem, ING, CRI, Zoranet, Gemeente Antwerpen, Esprit Telecom, PWN, Productschap Tuinbouw, Gemeente Bloemendaal, Bank Mendes Gans, KLPD, Delta Lloyd Bank, Yellow Tail, Gemeente Hoogezand, Gemeenten Zuid Limburg © ZBC – www. zbc. nu