Grip op diversiteit aan beveiligingseisen: Compliant zijn en

1
Grip op diversiteit aan
beveiligingseisen:
Compliant zijn en blijven, maar hoe?
VIAG themadag
Drs. D.J. van der Poel RE RA
21 maart 2014
Inhoud
 Inleiding: enige trends in de markt
 In het speelveld van gemeenten
 De Ordina filosofie
 Wat kunt u er aan doen?
 Hoe pakt u het aan: ‘tips & trucs’ voor een GCR
 Een voorbeeld
 Wat levert GCR u op?
 GCR: hoe ziet de markt het?
 De uitdagingen?
2
Inleiding: enige trends in de markt
3
 Gemeenten krijgen vanuit het Rijk steeds meer taken toebedeeld
 Verdere digitalisering van taken in ketens en netwerken
 Tientallen richtlijnen en wetten waaraan voldaan moet worden (regeldruk)
 Complexiteit van de controleomgeving neemt toe
 Aantoonbaar “in control” of compliant wordt belangrijker
 Soms moet u een redelijke mate van zekerheid geven (Assurance)
 Veel tijd gemoeid met het ‘managen’ van audits of compliant worden
 Steeds meer toezichthouders
 Stijgende kosten om compliant te worden en te blijven
Beheersing wordt meer gezien als iets dat “MOET” i.p.v. dat het gericht is op
verhoging van de efficiency of verlaging van kosten
In het speelveld van gemeenten
4
De Ordina filosofie
 Een aanpak waarbij d.m.v. integratie van ICT en interne controles wordt
gekomen tot de optimale mix van gegevensgerichte- en systeemgerichte
controles om compliant te worden en te blijven.
 Een bijdrage leveren aan een betere beheersing van de operationele-,
financiële- en ICT risico’s ter ondersteuning van de doelen van de organisatie.
 Het verbeteren van de efficiency van de (beheersings)processen van uw
organisatie (w.o. compliance).
 Daarbij hebben preventieve en geprogrammeerde key-controls de voorkeur
boven repressieve en handmatige key-controls, die veel energie vragen.
DOEL: kwalitatief hoogwaardige beheersing maar niet tegen te hoge kosten.
5
Hoe pakt u het aan: ‘tips & trucs’ voor een GCR
1. Inventariseren: wat komt er op mij af, welke zekerheid moet ik geven?
2. Stroomlijnen: maak de impact van wetten en richtlijnen eenduidig
3. Denk in (beheers)doelstellingen (o.a. voor IT): wat moet ik afdekken?
4. Duidelijk vastleggen welke doelstellingen van belang zijn (control objectives)
5. Maak gebruik van een op risico’s gebaseerde aanpak
6. Koppel daaraan maatregelen: zoek naar ‘grote gemene delers’ (key controls)
7. Leg vast in een Geïntegreerd Controle Raamwerk (GCR)
8. Creëer awareness (user adoption)
Hoe ziet dat er in de praktijk dan uit?
6
BIR
VIR
SUWINET
I.
BIG
eHerken
ning
e-handtekening
II.
Toezicht
houders
DigiD
WBP
WPG
Kaders: ISO 27001, COBIT, NCSC, BIR, ETSI
IV.
IT Beheer
Gebruiker
IT
mngmt
Audit
Risk
mngmt
V.
Supply
controls
Demand
controls
IT mngmt
controls
Audit
controls
Risk mngmt
controls
Doel
Doel
Geïntegreerd (IT) Controle Raamwerk (GCR)
Doel
III.
ISO 27001 norm A.11.4.2
DigiD/NCSC normen B0-12, B1-1
ETSI ….
II.
Objectives
III.
Objectives
Mapping: Kies de key control obv risico analyse:
b.v. B0-12 NCSC normen kader
Objectives
I.
Doel/ control objective: Toegangsbeheer voor netwerken dient
adequaat ingeregeld te zijn
Komt o.a. vanuit BIR, BIG, DigiD, NCSC (webapplicaties)
Authenticatie van gebruikers bij externe verbindingen: Er moeten
geschikte authenticatiemethoden worden gebruikt om toegang van
gebruikers op afstand te beheersen (b.v. Certificaten)
IV.
IT beheer
Gebruiker
IT
mngmt
Audit
Risk
mngmt
V.
User
accounts
Certificaat
uitgifte
Beheer
rechten
Audit
Authenticatie
Risk mngmt
controls
De selectie van ‘key’ controls – voorbeeld NCSC B0-12
9
Voorbeeld: De selectie van ‘key’ controls –NCSC B0-12
BIR
WBP
ISO 27001
DigiD
BIG
WPG
PKIoverheid
Wet Elektronische
handtekening
10
Selectie key controls o.b.v scoring en in het licht van bijvoorbeeld:
 Doelstelling van de organisatie
 Aantal keren dat een controle doelstelling (control objective) is gekoppeld aan
wet- en regelgeving
Testen: Niet 7x maar 1 x: Hou het simpel en voorkom dubbel werk!
Maak de teststeekproef zodanig dat in 1 x doelstellingen & eisen worden afgedekt.
Wat levert GCR u op?
 Een efficiënter en effectiever beheersingsmodel gebaseerd op
risicomanagement en key-controls.
11
GCR: hoe ziet de markt het?
Belangrijkste motieven voor organisaties om een geïntegreerd controle
raamwerk te realiseren:
1. Meer grip op het speelveld van wetten en regels
2. Inzicht in ketenafhankelijkheden
3. Het vermogen om een goede dienstverlening te kunnen leveren
4. Verhoging van de effectiviteit van (IT) beheersingsmaatregelen
5. Efficiency verbeteringen
6. Verhoging van zekerheid over het ‘in control’/ compliant zijn in de organisatie
7. Aantoonbaar / transparantie over het compliant zijn naar buiten toe
8. Minder audits / kostenverlaging audits/reviews
12
De uitdagingen?
13
 Begrip en doorgronden van wetten, regels en onderliggende normenstelsels
kost tijd
 Investeren in nieuwe kennisgebieden, vooral op het gebied van ICT en opleiding
van medewerkers: Awareness en User Adoption
 Het beoordelen van welke ‘key’ controls van belang zijn om een ‘overkill’ aan
beheersingsmaatregelen te voorkomen (hou het simpel!)
 Kennisuitwisseling over risico’s en beheersingsgebieden is noodzakelijk
 Ook (IT) leveranciers van diensten dienen ‘aangestuurd’ te worden op uw
eisen/randvoorwaarden om compliant te worden en te blijven (zogenaamde
aansluitvoorwaarden)
Vragen/ discussie
14
?
15
Contact informatie
Ordina Security & Risk Management
Drs D.J. van der Poel RE RA
Partner
T: +31 6 2272 3913
E: [email protected]
www.ordina.nl

Download Report