SlideShare ist ein Scribd-Unternehmen logo

SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009

Aart A. in 't Veld
Aart A. in 't Veld

Informatiebeveiliging in de praktijk

Technologie
1 von 18
Kosten SRA ICT Bijeenkomst “Informatiebeveiliging” Informatiebeveiliging in de praktijk Aart in „t Veld 2 juni 2009
Informatiebeveiliging Visser & Visser… 6 vestigingen Ongeveer 175 medewerkers ICT gecentraliseerd en gevirtualiseerd In hoge mate geautomatiseerd en gedigitaliseerd Meer dan 60% van de medewerkers kan thuiswerken
Informatiebeveiliging Waarom informatiebeveiliging? Interne eisen/wensen Wet- en regelgeving: In 2004: GBA; vanaf 2006: WTA/BTA/VAO: “beheersen van bedrijfsprocessen en bedrijfsrisico‟s” Bewaarplicht 7 jaar Onafhankelijkheid Dossiers sluiten 60 dagen na verklaring
Informatiebeveiliging Opzet informatiebeveiligingsbeleid en -plan Code voor Informatiebeveiliging als raamwerk Beschikbaarheid / continuïteit Integriteit: juist/volledig/tijdig/geautoriseerd Vertrouwelijkheid: alleen toegang voor bevoegde personen
Informatiebeveiliging Informatiebeveiliging vs. ICT Risico-analyse vindt plaats vanuit bedrijfsprocessen en - informatie Informatiebeveiliging is dus geen ICT-verantwoordelijkheid Maatregelen betreffen vaak wel ICT-gerelateerde zaken
Informatiebeveiliging Informatiebeveiliging en MT Continuïteit beter uit te leggen dan informatiebeveiliging: “… maar we vertrouwen onze medewerkers.” Maatregelen informatiebeveiliging vaak lastig: Uitwisseling personeel tussen afdelingen lastiger Efficiency kan in het gedrang komen
Informatiebeveiliging Informatiebev. bij V&V (chronologisch) - 1 Maart 2004: initiatief voor opstellen informatiebeveiligingsbeleid en –plan vanuit ICT April 2004: goedkeuring door MT Mei-december 2004: opstellen beleid en plan door ICT in samenwerking met externe deskundige Januari 2005: versie 1.0 met actieplan definitief
Informatiebeveiliging Informatiebev. bij V&V (chronologisch) - 2 Maart 2005 – medio 2006: uitvoeren actieplan n.a.v. versie 1.0 Oktober 2006: versie 2.0 (herziening van het plan n.a.v. de genomen maatregelen a.d.h.v. versie 1.0 Februari 2008: versie 3.0 (herziening na virtualisatie servers en verhuizing naar datacenter in 2007; tevens herziening in concept gereed i.v.m. bezoek AFM)
Informatiebeveiliging Werkwijze periodieke herziening - 1 Doel: actualiseren én bewustzijn bij directie Stap 1: beoordelen beveiligingsbeleid en actualiseren beveiligingsplan door verantwoordelijke informatiebeveiliging Stap 2: bespreken concept met directievoorzitter en specifieke punten met Compliance Officer
Informatiebeveiliging Werkwijze periodieke herziening - 2 Stap 3: (aangepast) concept naar directievergadering met: Overzicht wijzigingen t.o.v voorgaande versie Overzicht belangrijkste risico‟s, die we aan willen pakken met bijbehorend actieplan Overzicht van de bewust genomen risico‟s Stap 4: uitvoeren goedgekeurde actieplannen
Informatiebeveiliging Eerste actieplan: 2005-2006 Uitgangspunten: Technisch regelen wat zinvol is (dus niet: mogelijk) Oplossingen mogen zo weinig mogelijk ten koste gaan van de efficiency in de dagelijkse procesen Voldoende communiceren: Doen wat redelijkerwijze verwacht mag worden Duidelijk maken wat niet verwacht mag worden
Informatiebeveiliging Eerste actieplan: 2005-2006 Een aantal concrete punten: Bewustwording bij alle medewerkers, met name via interne nieuwsbrieven Wachtwoordbeleid strakker aantrekken Encryptie van data op laptops Telewerken mogelijk maken voor veel meer medewerkers (eerst: alleen directie en ICT)
Informatiebeveiliging Tweede actieplan: 2007 Een aantal concrete punten, gericht op continuïteit: Virtualisatie van servers: Risico‟s groter Risico‟s veel makkelijker te minimaliseren Verplaatsen volledig serverpark naar datacenter Verbeteren klimaatbeheersing, fysieke toegang, stroomvoorziening, enz.
Informatiebeveiliging Derde actieplan: 2008-2009 - 1 Verbeteren/formaliseren autorisatie binnen applicaties Ideaal: autorisatie geïntegreerd met HRM Rollen definiëren door verantwoordelijken Beheer door ICT of applicatiebeheerder Afweging tussen “Need to know” en behoefte moderne kenniswerker
Informatiebeveiliging Derde actieplan: 2008-2009 - 2 Regelen uitwijklocatie (continuïteit): Gecentraliseerd vs. gedecentraliseerd Fysiek vs. virtueel Vitale bedrijfsprocessen RTO (Maximaal toegestane uitvalsduur) RPO (Maximaal toegestaan dataverlies)
Informatiebeveiliging Zaken die continu aandacht vereisen - 1 Beveiligingsniveau applicaties: Is het werkelijk wat het lijkt, ofwel: zit de achterkant van de applicatie net zo goed in elkaar als het aan de voorkant lijkt? Staat beveiliging op de agenda van de leverancier als essentieel onderdeel van de applicatie? Licentiebeheer
Informatiebeveiliging Zaken die continu aandacht vereisen - 2 Actuele ontwikkelingen eigen vakgebied: Digitaal factureren Klantenportal Digitale documenten met digitale handtekening Enz.
Informatiebeveiliging Zaken die continu aandacht vereisen - 3 Actuele ontwikkelingen algemeen/wereldwijd: LinkedIn Hyves Twitter Yammer Weblogs Enz.

Empfohlen

Flexibilisering van het werken in de zorg
Flexibilisering van het werken in de zorgFlexibilisering van het werken in de zorg
Flexibilisering van het werken in de zorg
Paul Leenards
 
Presentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked InPresentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked In
mreugebrink
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
Gilad Bandel
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinar
Bart Van Den Brande
 
Management van security
Management van securityManagement van security
Management van security
Innosec International
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
Flevum
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Axon Lawyers
 
IT en wat u er over moet weten !
IT en wat u er over moet weten !IT en wat u er over moet weten !
IT en wat u er over moet weten !
alex dossche
 

Empfohlen

Flexibilisering van het werken in de zorg
Flexibilisering van het werken in de zorgFlexibilisering van het werken in de zorg
Flexibilisering van het werken in de zorg
Paul Leenards
 
Presentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked InPresentatie 2 Staff 2012 Short Linked In
Presentatie 2 Staff 2012 Short Linked In
mreugebrink
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
Gilad Bandel
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinar
Bart Van Den Brande
 
Management van security
Management van securityManagement van security
Management van security
Innosec International
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
Flevum
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Axon Lawyers
 
IT en wat u er over moet weten !
IT en wat u er over moet weten !IT en wat u er over moet weten !
IT en wat u er over moet weten !
alex dossche
 
ZON Presentatie 8 oktober
ZON Presentatie 8 oktoberZON Presentatie 8 oktober
ZON Presentatie 8 oktober
Derk Yntema
 
Week11
Week11Week11
Week11
TuesDKK
 
Vest awareness sparc
Vest awareness sparcVest awareness sparc
Vest awareness sparc
Jim de Haas
 
Leveranciersbijeenkomst programma van eisen
Leveranciersbijeenkomst programma van eisenLeveranciersbijeenkomst programma van eisen
Leveranciersbijeenkomst programma van eisen
KING
 
Slimmer leren met ict: van plan naar uitvoering
Slimmer leren met ict: van plan naar uitvoeringSlimmer leren met ict: van plan naar uitvoering
Slimmer leren met ict: van plan naar uitvoering
SURF Events
 
Social media privacy & veiligheid
Social media privacy & veiligheidSocial media privacy & veiligheid
Social media privacy & veiligheid
Both social
 
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
Lloyd's Register Quality Assurance Nederland
 
Landelijke Werkgroep Informatie Beveiliging
Landelijke Werkgroep Informatie BeveiligingLandelijke Werkgroep Informatie Beveiliging
Landelijke Werkgroep Informatie Beveiliging
Marga van Rijssel
 
20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling
20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling
20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling
GGZ Oost Brabant
 
Presentatie Privacy in netwerken
Presentatie Privacy in netwerkenPresentatie Privacy in netwerken
Presentatie Privacy in netwerken
ZveB
 
Case Study Diagnostiek voor U
Case Study Diagnostiek voor UCase Study Diagnostiek voor U
Case Study Diagnostiek voor U
Sophos Benelux
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
Anja Dekhuijzen
 
delen 2.0
delen 2.0delen 2.0
delen 2.0
Marina Noordegraaf
 
Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
Ghwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
Ghwerf01
 
69736_CDPO_web
69736_CDPO_web69736_CDPO_web
69736_CDPO_web
Huib Tilanus
 
Toepassingen voor het onderwijs
Toepassingen voor het onderwijsToepassingen voor het onderwijs
Toepassingen voor het onderwijs
Delta-N
 
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Flevum
 
Functie impact analyse digitale technologie p en o dagen
Functie impact analyse digitale technologie p en o dagenFunctie impact analyse digitale technologie p en o dagen
Functie impact analyse digitale technologie p en o dagen
Ministerie van BZK
 
ROC Aventus en Cloud Computing
ROC Aventus en Cloud ComputingROC Aventus en Cloud Computing
ROC Aventus en Cloud Computing
Joël Bruijn
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015
Michel Noordzij
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
marcsluiter
 

Weitere ähnliche Inhalte

Andere mochten auch

ZON Presentatie 8 oktober
ZON Presentatie 8 oktoberZON Presentatie 8 oktober
ZON Presentatie 8 oktober
Derk Yntema
 
Vest awareness sparc
Vest awareness sparcVest awareness sparc
Vest awareness sparc
Jim de Haas
 
Leveranciersbijeenkomst programma van eisen
Leveranciersbijeenkomst programma van eisenLeveranciersbijeenkomst programma van eisen
Leveranciersbijeenkomst programma van eisen
KING
 
Landelijke Werkgroep Informatie Beveiliging
Landelijke Werkgroep Informatie BeveiligingLandelijke Werkgroep Informatie Beveiliging
Landelijke Werkgroep Informatie Beveiliging
Marga van Rijssel
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
Anja Dekhuijzen
 

Andere mochten auch (13)

ZON Presentatie 8 oktober
ZON Presentatie 8 oktoberZON Presentatie 8 oktober
ZON Presentatie 8 oktober
 
Week11
Week11Week11
Week11
 
Vest awareness sparc
Vest awareness sparcVest awareness sparc
Vest awareness sparc
 
Leveranciersbijeenkomst programma van eisen
Leveranciersbijeenkomst programma van eisenLeveranciersbijeenkomst programma van eisen
Leveranciersbijeenkomst programma van eisen
 
Slimmer leren met ict: van plan naar uitvoering
Slimmer leren met ict: van plan naar uitvoeringSlimmer leren met ict: van plan naar uitvoering
Slimmer leren met ict: van plan naar uitvoering
 
Social media privacy & veiligheid
Social media privacy & veiligheidSocial media privacy & veiligheid
Social media privacy & veiligheid
 
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging i...
 
Landelijke Werkgroep Informatie Beveiliging
Landelijke Werkgroep Informatie BeveiligingLandelijke Werkgroep Informatie Beveiliging
Landelijke Werkgroep Informatie Beveiliging
 
20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling
20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling
20131203 pv ib_zalmtrijssenaar_auditenvanagilesoftwareontwikkeling
 
Presentatie Privacy in netwerken
Presentatie Privacy in netwerkenPresentatie Privacy in netwerken
Presentatie Privacy in netwerken
 
Case Study Diagnostiek voor U
Case Study Diagnostiek voor UCase Study Diagnostiek voor U
Case Study Diagnostiek voor U
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
delen 2.0
delen 2.0delen 2.0
delen 2.0
 

Ähnlich wie SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009

Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
Ghwerf01
 
Toepassingen voor het onderwijs
Toepassingen voor het onderwijsToepassingen voor het onderwijs
Toepassingen voor het onderwijs
Delta-N
 
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Flevum
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015
Michel Noordzij
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
marcsluiter
 
CV_NL Gino Ritiere
CV_NL Gino RitiereCV_NL Gino Ritiere
CV_NL Gino Ritiere
Gino Ritiere
 
Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011
Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011
Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011
duus21
 
ICT-organisatie bij woningcorporaties
ICT-organisatie bij woningcorporatiesICT-organisatie bij woningcorporaties
ICT-organisatie bij woningcorporaties
bimc
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
Jurgen van der Vlugt
 
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Magazine
 

Ähnlich wie SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009 (20)

Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
 
Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
 
69736_CDPO_web
69736_CDPO_web69736_CDPO_web
69736_CDPO_web
 
Toepassingen voor het onderwijs
Toepassingen voor het onderwijsToepassingen voor het onderwijs
Toepassingen voor het onderwijs
 
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executiveFex 131104 - presentatie innervate - masterclass cloud ict flevum executive
Fex 131104 - presentatie innervate - masterclass cloud ict flevum executive
 
Functie impact analyse digitale technologie p en o dagen
Functie impact analyse digitale technologie p en o dagenFunctie impact analyse digitale technologie p en o dagen
Functie impact analyse digitale technologie p en o dagen
 
ROC Aventus en Cloud Computing
ROC Aventus en Cloud ComputingROC Aventus en Cloud Computing
ROC Aventus en Cloud Computing
 
CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015CV - Michel Noordzij - Januari 2015
CV - Michel Noordzij - Januari 2015
 
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
Round Table Fast Close (Stantson & Tacstone Consulting) Public V1.0
 
Presentatie hogescholen2017audit
Presentatie hogescholen2017auditPresentatie hogescholen2017audit
Presentatie hogescholen2017audit
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
 
CV_NL Gino Ritiere
CV_NL Gino RitiereCV_NL Gino Ritiere
CV_NL Gino Ritiere
 
Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011
Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011
Presentatie Surfnet Kennisnet Cloud Seminar 16 Juni 2011
 
ICTU at TOPdesk Café 31 01-2019
ICTU at TOPdesk Café 31 01-2019ICTU at TOPdesk Café 31 01-2019
ICTU at TOPdesk Café 31 01-2019
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
 
Bedrijfspresentatie 1
Bedrijfspresentatie 1Bedrijfspresentatie 1
Bedrijfspresentatie 1
 
ICT-organisatie bij woningcorporaties
ICT-organisatie bij woningcorporatiesICT-organisatie bij woningcorporaties
ICT-organisatie bij woningcorporaties
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
 
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
 
Vnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloudVnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloud
 

SRA ICT Bijeenkomst Informatiebeveiliging 2 juni 2009

  • 1. Kosten SRA ICT Bijeenkomst “Informatiebeveiliging” Informatiebeveiliging in de praktijk Aart in „t Veld 2 juni 2009
  • 2. Informatiebeveiliging Visser & Visser… 6 vestigingen Ongeveer 175 medewerkers ICT gecentraliseerd en gevirtualiseerd In hoge mate geautomatiseerd en gedigitaliseerd Meer dan 60% van de medewerkers kan thuiswerken
  • 3. Informatiebeveiliging Waarom informatiebeveiliging? Interne eisen/wensen Wet- en regelgeving: In 2004: GBA; vanaf 2006: WTA/BTA/VAO: “beheersen van bedrijfsprocessen en bedrijfsrisico‟s” Bewaarplicht 7 jaar Onafhankelijkheid Dossiers sluiten 60 dagen na verklaring
  • 4. Informatiebeveiliging Opzet informatiebeveiligingsbeleid en -plan Code voor Informatiebeveiliging als raamwerk Beschikbaarheid / continuïteit Integriteit: juist/volledig/tijdig/geautoriseerd Vertrouwelijkheid: alleen toegang voor bevoegde personen
  • 5. Informatiebeveiliging Informatiebeveiliging vs. ICT Risico-analyse vindt plaats vanuit bedrijfsprocessen en - informatie Informatiebeveiliging is dus geen ICT-verantwoordelijkheid Maatregelen betreffen vaak wel ICT-gerelateerde zaken
  • 6. Informatiebeveiliging Informatiebeveiliging en MT Continuïteit beter uit te leggen dan informatiebeveiliging: “… maar we vertrouwen onze medewerkers.” Maatregelen informatiebeveiliging vaak lastig: Uitwisseling personeel tussen afdelingen lastiger Efficiency kan in het gedrang komen
  • 7. Informatiebeveiliging Informatiebev. bij V&V (chronologisch) - 1 Maart 2004: initiatief voor opstellen informatiebeveiligingsbeleid en –plan vanuit ICT April 2004: goedkeuring door MT Mei-december 2004: opstellen beleid en plan door ICT in samenwerking met externe deskundige Januari 2005: versie 1.0 met actieplan definitief
  • 8. Informatiebeveiliging Informatiebev. bij V&V (chronologisch) - 2 Maart 2005 – medio 2006: uitvoeren actieplan n.a.v. versie 1.0 Oktober 2006: versie 2.0 (herziening van het plan n.a.v. de genomen maatregelen a.d.h.v. versie 1.0 Februari 2008: versie 3.0 (herziening na virtualisatie servers en verhuizing naar datacenter in 2007; tevens herziening in concept gereed i.v.m. bezoek AFM)
  • 9. Informatiebeveiliging Werkwijze periodieke herziening - 1 Doel: actualiseren én bewustzijn bij directie Stap 1: beoordelen beveiligingsbeleid en actualiseren beveiligingsplan door verantwoordelijke informatiebeveiliging Stap 2: bespreken concept met directievoorzitter en specifieke punten met Compliance Officer
  • 10. Informatiebeveiliging Werkwijze periodieke herziening - 2 Stap 3: (aangepast) concept naar directievergadering met: Overzicht wijzigingen t.o.v voorgaande versie Overzicht belangrijkste risico‟s, die we aan willen pakken met bijbehorend actieplan Overzicht van de bewust genomen risico‟s Stap 4: uitvoeren goedgekeurde actieplannen
  • 11. Informatiebeveiliging Eerste actieplan: 2005-2006 Uitgangspunten: Technisch regelen wat zinvol is (dus niet: mogelijk) Oplossingen mogen zo weinig mogelijk ten koste gaan van de efficiency in de dagelijkse procesen Voldoende communiceren: Doen wat redelijkerwijze verwacht mag worden Duidelijk maken wat niet verwacht mag worden
  • 12. Informatiebeveiliging Eerste actieplan: 2005-2006 Een aantal concrete punten: Bewustwording bij alle medewerkers, met name via interne nieuwsbrieven Wachtwoordbeleid strakker aantrekken Encryptie van data op laptops Telewerken mogelijk maken voor veel meer medewerkers (eerst: alleen directie en ICT)
  • 13. Informatiebeveiliging Tweede actieplan: 2007 Een aantal concrete punten, gericht op continuïteit: Virtualisatie van servers: Risico‟s groter Risico‟s veel makkelijker te minimaliseren Verplaatsen volledig serverpark naar datacenter Verbeteren klimaatbeheersing, fysieke toegang, stroomvoorziening, enz.
  • 14. Informatiebeveiliging Derde actieplan: 2008-2009 - 1 Verbeteren/formaliseren autorisatie binnen applicaties Ideaal: autorisatie geïntegreerd met HRM Rollen definiëren door verantwoordelijken Beheer door ICT of applicatiebeheerder Afweging tussen “Need to know” en behoefte moderne kenniswerker
  • 15. Informatiebeveiliging Derde actieplan: 2008-2009 - 2 Regelen uitwijklocatie (continuïteit): Gecentraliseerd vs. gedecentraliseerd Fysiek vs. virtueel Vitale bedrijfsprocessen RTO (Maximaal toegestane uitvalsduur) RPO (Maximaal toegestaan dataverlies)
  • 16. Informatiebeveiliging Zaken die continu aandacht vereisen - 1 Beveiligingsniveau applicaties: Is het werkelijk wat het lijkt, ofwel: zit de achterkant van de applicatie net zo goed in elkaar als het aan de voorkant lijkt? Staat beveiliging op de agenda van de leverancier als essentieel onderdeel van de applicatie? Licentiebeheer
  • 17. Informatiebeveiliging Zaken die continu aandacht vereisen - 2 Actuele ontwikkelingen eigen vakgebied: Digitaal factureren Klantenportal Digitale documenten met digitale handtekening Enz.
  • 18. Informatiebeveiliging Zaken die continu aandacht vereisen - 3 Actuele ontwikkelingen algemeen/wereldwijd: LinkedIn Hyves Twitter Yammer Weblogs Enz.