Modern security landscape What are the new requirements? Ir. Marc Gill’ard MBA...
-
Upload
leen-meijer -
Category
Documents
-
view
221 -
download
4
Transcript of Modern security landscape What are the new requirements? Ir. Marc Gill’ard MBA...
Modern security landscapeModern security landscape
What are the new requirements?
Ir. Marc Gill’ard MBA ([email protected])Ir. Marc Gill’ard MBA ([email protected])
Koos van der Spek MSc CISSP Koos van der Spek MSc CISSP ([email protected])([email protected])
2
Internet is het medium voor Internet is het medium voor elektronische dienstverlening en elektronische dienstverlening en
communicatiecommunicatie
3
4
5
Juni 2005Dear Postbank Customer,This email was sent by the Postbank server to verify your e-mail address. You must complete this process by clicking on the link below and entering in the small window your Postbank online access details. This is done for your protection - because some of our members no longer have access to their email addresses and we must verify it. To verify your e-mail address, click on the link below.
April 2006Geachte Postbank klant, We willen u hierbij informeren over de nieuwe mogelijkheden van MyPostbank Plus ++. Enige tijd geleden hebben we u geinformeerd over dit onderwerp vandaar dat u nu een bevestiging ter controle krijgt. Hierbij verzoeken we u om uw 'persoonlijke identiteit' vast te stellen. Klik op de onderstaande link om uw gegevens te verifieren. Alvast bedankt,
Ron van Kemenade directie Postbank.nl
6
7
Conclusies
Aanvallen veranderen van aard: van vandalisme naar criminaliteit.
Sophisticated en targetted attacks nemen toe – Voorbeeld is de mislukte virtuele bankoverval in
de UK waarin bijna 350 miljoen euro werd buitgemaakt.
Naarmate de voordeur beter beveiligd is zullen criminelen op zoek gaan naar ‘openstaande achterdeuren’. Naar verwachting zullen daarom incidenten met bewuste of onbewuste medewerking van interne medewerkers toenemen.
8
MobiliteitMobiliteit
Overal en altijd kunnen werkenOveral en altijd kunnen werken
9
Geheime, militaire gegevens over Afghanistan zijn uitgelekt doordat een landmachtofficier een USB-stick in een huurauto liet liggen2 FEBRUARI 2006 […] De stick die de landmachtofficier in de huurauto heeft laten liggen,bevat een mengelmoes van briefings die zijn gehouden met andere troepencontingenten van de NAVO in Afghanistan en notulen van vergaderingen en militaire planning. Er staan gedetailleerde luchtfoto's op van grote legerbases in Afghanistan, maar er zijn ook stafkaartjes waarop is te zien waar special forces zijn gelegerd […]
10
11
12
Conclusies
Met enige regelmaat staat in de pers dat informatie op straat ligt. Fokke & Sukke relativeren dat wel goed.
Mobiliteit kan een organisatie niet meer ontkennen, maar moet veilig gefaciliteerd worden.
Devices worden steeds kleiner met steeds meer toepassingsmogelijkheden en enorme opslagcapaciteit.
Beveiliging van vertrouwelijke gegevens en backup van bedrijfskritische data is essentieel.
13
Business Continuity ManagementBusiness Continuity Management
Hoe gaat uw organisatie om met een Hoe gaat uw organisatie om met een calamiteit?calamiteit?
14
15
16
17
Conclusies
Organisatie zijn blootgesteld aan dreigingen, die in het verleden in Nederland vrijwel niet voorkwamen maar nu realiteit zijn. – Voorbeelden hiervan zijn langdurige stroomuitval, verdachte
pakketjes en bommeldingen. In de praktijk hebben maar weinig organisaties de
verantwoordelijkheid voor Business Continuity Management belegd en hiervoor een beleid geformuleerd. Uit onderzoek dat wij vorig jaar samen met de Erasmus Universiteit hebben uitgevoerd onder 30 grote organisaties blijkt dat dit bij ongeveer 40% het geval is.
Ongeveer de helft heeft een business continuity plan voor het geval een calamiteit zich voordoet. En ongeveer 20% van deze organisaties oefent dit plan ook integraal: organisatie, processen en techniek.
Kortom Business Continuity Management verdient een hogere plek op de bestuursagenda.
18
… … en de eisen nemen toe!en de eisen nemen toe!
OrganisatieOrganisatie
RegelgeverRegelgever
Basel2SoxWBP…
KlantenKlanten
PartnersPartners
ConsumentConsument
AnderenAnderen
LeveranciersBrancheorganisatieWerknemersAccountantetc.etc.etc.etc
ManagementManagement
ERMPoliciesControle…
19
Eisen, eisen, eisen, …
De regelgever of toezichthouder stelt steeds meer eisen aan uw organisatie. Sox, Tabaksblad en Basel II zijn slechts enkele voorbeelden. Voor veel organisaties verschuift nu de focus van compliant worden, naar betaalbaar en werkbaar compliant blijven.
Ook klanten stellen steeds vaker eisen aan de beveiliging van uw organisatie, omdat u onderdeel uitmaakt van hun waardeketen. In de praktijk zien wij steeds vaker dat klantorganisaties om certificering vragen of zelf audits uitvoeren.
Voor de partners waarmee u samenwerkt geldt iets vergelijkbaars. Zij zijn van uw organisatie afhankelijk en stellen daarom steeds vaker eisen aan de beveiliging.
Consumenten eisen veilige producten. De actie Digitale Veiligheid van de Consumentenbond is hier een goed voorbeeld van. Veilige producten zijn goed, maar een consument blijft ook zelf verantwoordelijkheid houden. Ook in de auto moet u zelf uw gordel omdoen.
Management wil vanzelfsprekend de bedrijfsrisico’s managen en schade voorkomen.
En dit zijn slechts enkele van de partijen die eisen stellen…
20
•••••••
MAP
00
CVIS
1
Integrale Integrale beveiliging beveiliging
21
En nu, welke acties moet u nemen?
Er zijn nieuwe risico’s en eisen nemen toe. Alleen met een integrale aanpak kunnen deze
risico’s beheerst worden:– Technologische maatregelen: Access Control,
Firewalls, VPN’s, IDS/IPS etc.– Fysieke maatregelen: toegangsbeveiliging,
sprinklers, UPS, etc.– Organisatie, beleid en procedurele
maatregelen: medewerkers moeten weten wat te doen en hoe te handelen.
– Awareness: de sleutel voor effectieve beveiliging. Security moet in de genen van uw medewerkers zitten.
Een gezonde balans is daarbij essentieel.
22
Aanpak voor integraal risicomanagement
Stap 4Stap 4KritischeKritische
processenprocessen
Selecteer en realiseer Quick Wins
- Top 10 maatregelen- Veel impact met beperkte inspanning en kosten
Neem additionele maatregelen voor de meest kritische processen
- Inventarisatie kritische processen- Uitvoeren Risico-analyses- Implementeren maatregelen
Leg fundament voor informatiebeveiliging
- ISO17799/NEN7510- Beveiligingsplan op basis van quick scan- Managementsysteem
Stap 2 Stap 2 Quick Wins Quick Wins
Stap 1Stap 1Quick ScanQuick Scan
Inzicht in huidige beveiligingsniveau en belangrijkste verbetergebieden
- VKA Quick Scan tool- Interviews- Best-practice- Roadmap
VerandermanagementVerandermanagement
Stap 3Stap 3Generiek basisniveauGeneriek basisniveau
Security awarenessSecurity awareness
Integ
raal R
isicom
an
age
me
nt
23
Kenmerken van onze aanpak Praktijk: gebaseerd op de praktijk. Optimaal
hergebruik van best-practices. Realistisch: een advies over 1.500 te
implementeren maatregelen is voor de meeste organisaties niet te overzien. Begin bij de basis en doe meer voor kritische processen.
Groeipad: een organisatie kan niet van de ene op de andere dag security mature worden met een goed geoliede security organisatie en perfect geïmplementeerde maatregelen.
Kosteneffectief: maak een kosten-baten afweging. Start met de maatregelen met de meeste impact, die tegen beperkte inspanning en kosten te realiseren zijn.
24
Tot slot
Uw organisatie is blootgesteld aan nieuwe risico’s, terwijl de eisen aan uw organisatie toenemen.
Technologie alleen is onvoldoende voor het managen van uw bedrijfsrisico’s.
Informatiebeveiliging verdient een integrale aanpak integraal risicomanagement.
U heeft een praktische aanpak gezien om uw risico’s te managen.
Het is aan u om de handschoen op te pakken en informatiebeveiliging voor uw organisatie een integrale invulling te geven!
25
26
Marc Gill’ard
Email: [email protected]
Website: www.vka.nlBaron de Coubertinlaan 1, 2719 EN Zoetermeer, The Netherlands.
Tel +31(0)79 368 1000, Fax +31(0)79 368 1001
Koos van der Spek
Email: [email protected]
Website: www.vka.nlBaron de Coubertinlaan 1, 2719 EN Zoetermeer, The Netherlands.
Tel +31(0)79 368 1000, Fax +31(0)79 368 1001