SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009
1. Kosten
SRA ICT Bijeenkomst “Informatiebeveiliging”
Informatiebeveiliging in de
praktijk
Aart in „t Veld
2 juni 2009
2. Informatiebeveiliging
Visser & Visser…
6 vestigingen
Ongeveer 175 medewerkers
ICT gecentraliseerd en gevirtualiseerd
In hoge mate geautomatiseerd en gedigitaliseerd
Meer dan 60% van de medewerkers kan thuiswerken
3. Informatiebeveiliging
Waarom informatiebeveiliging?
Interne eisen/wensen
Wet- en regelgeving:
In 2004: GBA; vanaf 2006: WTA/BTA/VAO: “beheersen
van bedrijfsprocessen en bedrijfsrisico‟s”
Bewaarplicht 7 jaar
Onafhankelijkheid
Dossiers sluiten 60 dagen na verklaring
4. Informatiebeveiliging
Opzet informatiebeveiligingsbeleid en -plan
Code voor Informatiebeveiliging als raamwerk
Beschikbaarheid / continuïteit
Integriteit: juist/volledig/tijdig/geautoriseerd
Vertrouwelijkheid: alleen toegang voor bevoegde
personen
5. Informatiebeveiliging
Informatiebeveiliging vs. ICT
Risico-analyse vindt plaats vanuit bedrijfsprocessen en -
informatie
Informatiebeveiliging is dus geen ICT-verantwoordelijkheid
Maatregelen betreffen vaak wel ICT-gerelateerde zaken
6. Informatiebeveiliging
Informatiebeveiliging en MT
Continuïteit beter uit te leggen dan informatiebeveiliging:
“… maar we vertrouwen onze medewerkers.”
Maatregelen informatiebeveiliging vaak lastig:
Uitwisseling personeel tussen afdelingen lastiger
Efficiency kan in het gedrang komen
7. Informatiebeveiliging
Informatiebev. bij V&V (chronologisch) - 1
Maart 2004: initiatief voor opstellen
informatiebeveiligingsbeleid en –plan vanuit ICT
April 2004: goedkeuring door MT
Mei-december 2004: opstellen beleid en plan door ICT in
samenwerking met externe deskundige
Januari 2005: versie 1.0 met actieplan definitief
8. Informatiebeveiliging
Informatiebev. bij V&V (chronologisch) - 2
Maart 2005 – medio 2006: uitvoeren actieplan n.a.v.
versie 1.0
Oktober 2006: versie 2.0 (herziening van het plan n.a.v.
de genomen maatregelen a.d.h.v. versie 1.0
Februari 2008: versie 3.0 (herziening na virtualisatie
servers en verhuizing naar datacenter in 2007; tevens
herziening in concept gereed i.v.m. bezoek AFM)
9. Informatiebeveiliging
Werkwijze periodieke herziening - 1
Doel: actualiseren én bewustzijn bij directie
Stap 1: beoordelen beveiligingsbeleid en actualiseren
beveiligingsplan door verantwoordelijke
informatiebeveiliging
Stap 2: bespreken concept met directievoorzitter en
specifieke punten met Compliance Officer
10. Informatiebeveiliging
Werkwijze periodieke herziening - 2
Stap 3: (aangepast) concept naar directievergadering met:
Overzicht wijzigingen t.o.v voorgaande versie
Overzicht belangrijkste risico‟s, die we aan willen
pakken met bijbehorend actieplan
Overzicht van de bewust genomen risico‟s
Stap 4: uitvoeren goedgekeurde actieplannen
11. Informatiebeveiliging
Eerste actieplan: 2005-2006
Uitgangspunten:
Technisch regelen wat zinvol is (dus niet: mogelijk)
Oplossingen mogen zo weinig mogelijk ten koste gaan
van de efficiency in de dagelijkse procesen
Voldoende communiceren:
Doen wat redelijkerwijze verwacht mag worden
Duidelijk maken wat niet verwacht mag worden
12. Informatiebeveiliging
Eerste actieplan: 2005-2006
Een aantal concrete punten:
Bewustwording bij alle medewerkers, met name via
interne nieuwsbrieven
Wachtwoordbeleid strakker aantrekken
Encryptie van data op laptops
Telewerken mogelijk maken voor veel meer
medewerkers (eerst: alleen directie en ICT)
13. Informatiebeveiliging
Tweede actieplan: 2007
Een aantal concrete punten, gericht op continuïteit:
Virtualisatie van servers:
Risico‟s groter
Risico‟s veel makkelijker te minimaliseren
Verplaatsen volledig serverpark naar datacenter
Verbeteren klimaatbeheersing, fysieke toegang,
stroomvoorziening, enz.
14. Informatiebeveiliging
Derde actieplan: 2008-2009 - 1
Verbeteren/formaliseren autorisatie binnen applicaties
Ideaal: autorisatie geïntegreerd met HRM
Rollen definiëren door verantwoordelijken
Beheer door ICT of applicatiebeheerder
Afweging tussen “Need to know” en behoefte moderne
kenniswerker
15. Informatiebeveiliging
Derde actieplan: 2008-2009 - 2
Regelen uitwijklocatie (continuïteit):
Gecentraliseerd vs. gedecentraliseerd
Fysiek vs. virtueel
Vitale bedrijfsprocessen
RTO (Maximaal toegestane uitvalsduur)
RPO (Maximaal toegestaan dataverlies)
16. Informatiebeveiliging
Zaken die continu aandacht vereisen - 1
Beveiligingsniveau applicaties:
Is het werkelijk wat het lijkt, ofwel: zit de achterkant
van de applicatie net zo goed in elkaar als het aan de
voorkant lijkt?
Staat beveiliging op de agenda van de leverancier als
essentieel onderdeel van de applicatie?
Licentiebeheer
17. Informatiebeveiliging
Zaken die continu aandacht vereisen - 2
Actuele ontwikkelingen eigen vakgebied:
Digitaal factureren
Klantenportal
Digitale documenten met digitale handtekening
Enz.