1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud Inleiding: enige trends in de markt In het speelveld van gemeenten De Ordina filosofie Wat kunt u er aan doen? Hoe pakt u het aan: ‘tips & trucs’ voor een GCR Een voorbeeld Wat levert GCR u op? GCR: hoe ziet de markt het? De uitdagingen? 2 Inleiding: enige trends in de markt 3 Gemeenten krijgen vanuit het Rijk steeds meer taken toebedeeld Verdere digitalisering van taken in ketens en netwerken Tientallen richtlijnen en wetten waaraan voldaan moet worden (regeldruk) Complexiteit van de controleomgeving neemt toe Aantoonbaar “in control” of compliant wordt belangrijker Soms moet u een redelijke mate van zekerheid geven (Assurance) Veel tijd gemoeid met het ‘managen’ van audits of compliant worden Steeds meer toezichthouders Stijgende kosten om compliant te worden en te blijven Beheersing wordt meer gezien als iets dat “MOET” i.p.v. dat het gericht is op verhoging van de efficiency of verlaging van kosten In het speelveld van gemeenten 4 De Ordina filosofie Een aanpak waarbij d.m.v. integratie van ICT en interne controles wordt gekomen tot de optimale mix van gegevensgerichte- en systeemgerichte controles om compliant te worden en te blijven. Een bijdrage leveren aan een betere beheersing van de operationele-, financiële- en ICT risico’s ter ondersteuning van de doelen van de organisatie. Het verbeteren van de efficiency van de (beheersings)processen van uw organisatie (w.o. compliance). Daarbij hebben preventieve en geprogrammeerde key-controls de voorkeur boven repressieve en handmatige key-controls, die veel energie vragen. DOEL: kwalitatief hoogwaardige beheersing maar niet tegen te hoge kosten. 5 Hoe pakt u het aan: ‘tips & trucs’ voor een GCR 1. Inventariseren: wat komt er op mij af, welke zekerheid moet ik geven? 2. Stroomlijnen: maak de impact van wetten en richtlijnen eenduidig 3. Denk in (beheers)doelstellingen (o.a. voor IT): wat moet ik afdekken? 4. Duidelijk vastleggen welke doelstellingen van belang zijn (control objectives) 5. Maak gebruik van een op risico’s gebaseerde aanpak 6. Koppel daaraan maatregelen: zoek naar ‘grote gemene delers’ (key controls) 7. Leg vast in een Geïntegreerd Controle Raamwerk (GCR) 8. Creëer awareness (user adoption) Hoe ziet dat er in de praktijk dan uit? 6 BIR VIR SUWINET I. BIG eHerken ning e-handtekening II. Toezicht houders DigiD WBP WPG Kaders: ISO 27001, COBIT, NCSC, BIR, ETSI IV. IT Beheer Gebruiker IT mngmt Audit Risk mngmt V. Supply controls Demand controls IT mngmt controls Audit controls Risk mngmt controls Doel Doel Geïntegreerd (IT) Controle Raamwerk (GCR) Doel III. ISO 27001 norm A.11.4.2 DigiD/NCSC normen B0-12, B1-1 ETSI …. II. Objectives III. Objectives Mapping: Kies de key control obv risico analyse: b.v. B0-12 NCSC normen kader Objectives I. Doel/ control objective: Toegangsbeheer voor netwerken dient adequaat ingeregeld te zijn Komt o.a. vanuit BIR, BIG, DigiD, NCSC (webapplicaties) Authenticatie van gebruikers bij externe verbindingen: Er moeten geschikte authenticatiemethoden worden gebruikt om toegang van gebruikers op afstand te beheersen (b.v. Certificaten) IV. IT beheer Gebruiker IT mngmt Audit Risk mngmt V. User accounts Certificaat uitgifte Beheer rechten Audit Authenticatie Risk mngmt controls De selectie van ‘key’ controls – voorbeeld NCSC B0-12 9 Voorbeeld: De selectie van ‘key’ controls –NCSC B0-12 BIR WBP ISO 27001 DigiD BIG WPG PKIoverheid Wet Elektronische handtekening 10 Selectie key controls o.b.v scoring en in het licht van bijvoorbeeld: Doelstelling van de organisatie Aantal keren dat een controle doelstelling (control objective) is gekoppeld aan wet- en regelgeving Testen: Niet 7x maar 1 x: Hou het simpel en voorkom dubbel werk! Maak de teststeekproef zodanig dat in 1 x doelstellingen & eisen worden afgedekt. Wat levert GCR u op? Een efficiënter en effectiever beheersingsmodel gebaseerd op risicomanagement en key-controls. 11 GCR: hoe ziet de markt het? Belangrijkste motieven voor organisaties om een geïntegreerd controle raamwerk te realiseren: 1. Meer grip op het speelveld van wetten en regels 2. Inzicht in ketenafhankelijkheden 3. Het vermogen om een goede dienstverlening te kunnen leveren 4. Verhoging van de effectiviteit van (IT) beheersingsmaatregelen 5. Efficiency verbeteringen 6. Verhoging van zekerheid over het ‘in control’/ compliant zijn in de organisatie 7. Aantoonbaar / transparantie over het compliant zijn naar buiten toe 8. Minder audits / kostenverlaging audits/reviews 12 De uitdagingen? 13 Begrip en doorgronden van wetten, regels en onderliggende normenstelsels kost tijd Investeren in nieuwe kennisgebieden, vooral op het gebied van ICT en opleiding van medewerkers: Awareness en User Adoption Het beoordelen van welke ‘key’ controls van belang zijn om een ‘overkill’ aan beheersingsmaatregelen te voorkomen (hou het simpel!) Kennisuitwisseling over risico’s en beheersingsgebieden is noodzakelijk Ook (IT) leveranciers van diensten dienen ‘aangestuurd’ te worden op uw eisen/randvoorwaarden om compliant te worden en te blijven (zogenaamde aansluitvoorwaarden) Vragen/ discussie 14 ? 15 Contact informatie Ordina Security & Risk Management Drs D.J. van der Poel RE RA Partner T: +31 6 2272 3913 E: [email protected] www.ordina.nl
© Copyright 2024 ExpyDoc