Wat moet je leren voor de deeltoets FICT-1-Bb in periode 1 week 9:
Security Essentials 1: Houten, P. v., & Spruit, M. (2015) Informatiebeveiliging onder controle -
Grondslagen, management, organisatie en techniek H4 en NEN-ISO/IEC 27005 H8, Annex C en D
Content & Metadata: alle behandelde stof uit 'Maak het vindbaar' en het lesmateriaal (zoals
slides en filmpjes) van week 5 t/m 8
W5
W6
W7
W8
Business Process Management: Mittelmeijer e.a., Kijk op bedrijfsprocessen, werken aan
toegevoegde waarde: H2.2 t/m 2.4, H3.2 en H4.1. Reader BPM boek: H1.1, 1.4 t/m 1.5.
Slides
W3.2
W4
FICT1-Bb bestaat uit 30 vragen (10 security essentials + 10 content & metadata + 10 business
process management)
Let op! Alle studiematerialen, zoals presentaties en tekstdocumenten, behoren tot de stof.
Security Essentials
Boek
Management en organisatie van informatiebeveiliging
Voor maatregelen is er bv controle nodig, en controle moet worden georganiseerd.
Gedragsbeïnvloeding is belangrijk. Velen zijn niet gemotiveerd qua beveiliging omdat problemen niet zichtbaar
zijn, tót het moment dat er een ramp ontstaat.
IB wordt teveel gezien als technische zaak, vandaar dat organisatie vaak tekort schiet.
IB is iteratief; wordt herhaalt.
Organisatie ter voorkoming van onduidelijkheden over taken, verantwoordelijkheden, bevoegdheden
1. Voorbereiden: inrichten beveiligingsorganisatie, personen en financiële middelen ter beschikking
stellen,
2. Plannen, ondersteunen:
a. beleid opstellen, bepalen welke informatiesystemen relevant zijn, wat hun belang is, welke
betrouwbaarheid eisen eraan gesteld worden.
b. Aangeven hoe om te gaan met risico's
c. Aangeven welke standaarden, richtlijnen gelden voor uitvoeren risicoanalyseren en
selecteren, implementeren, evalueren beveiligingsmaatregelen.
d. Uitvoeren risicoanalyses
e. Informatiebeveiligingsplan schrijven met gekozen maatregelen
3. Uitvoering
a. Zorgen voor apparatuur, programmatuur, faciliteiten
b. Maatregelen invoeren
c. Informeren betrokkenen, motiveren
d. Informatiebeveiligingsbeheer, information security management: maatregelen realiseren en
borgen
e. Bijsturen
4. Evaluatie prestaties
a. Controlemodel wordt hiervoor gebruikt
b. self-assessment: functionaris die rapporteert over kwaliteit maatregelen binnen eigen
verantwoordelijkheidsgebied . Dit is positief voor autonomie, betere doelmatigheid, geeft
verantwoordelijkheid, en neemt barrières weg die acceptatie in de weg staan van
beveiligingstraject
, i. Nadeel: assesment wordt vaak rooskleuriger ingevult.
c. Interne en externe audit: respectievelijk interne controle, overkoepelende controle
d. Social engineering: onder valse voorwendselen govoelige gegevens proberen te bemachtigen,
ongeautoriseerd toegang proberen te krijgen tot gebouw of locatie. soort test. geeft inzicht in
bewustworing personeel+ effectiviteit van beveiliging
5. Verbetering op basis van een actieplan
Drie verdedigingslinies; als er iets fout gaat, kan dit altijd worden opgemerkt door de volgende linie.
Eerste linie: lijnmanagement, dus per afdeling.
Twede linie: organisatie van IB
Derde linie: uitvoeren controles, audits
valkuil: tweedelijn gaat te snel optreden als beveiligingsorganisatie, waardoor ze te weinig ruimte geven aan
eerste lijns. oplossing: opleiding en begeleiding aan lijnmanagement
Management informatie over IB is vaak niet overzichtelijk. Hiervoor zijn verschillende technieken:
Gebruiken van een standaard zoals Code voor Informatiebeveiliging (voor goede rapportage)
Controlemechanisme op basis van self assessment; Goed instrument waarmee prestaties van
beveiligingsprocessen kunnen worden gemeten
Wijze waarop assessments worden afgenomen: dit moet worden geoptimaliseerd met goede media en
technologieën (geen papieren rompslomp)
Acht hoofdtaken voor management, voor proces informatiebeveiliging
1. Opstellen, uitdragen informatiebeveiligingsbeleid Planning, ondersteuning
2. Inrichten beveiligingsorganisatie Planning, ondersteuning
3. Uitvoeren van onderzoek naar gelopen risico's Planning, ondersteuning
4. Selecteren beveiligingsmaatregelen Planning, ondersteuning
5. Implementeren beveiligingsmaatregelen Uitvoering
, 6. Bewaken ge:implementeerde maatregelen Uitvoering
7. Evalueren van behaalde beveiligingsniveau Uitvoering
8. Verbeteren IB Verbetering
REW matrix (is een tabel) helpt om taken in organisatie te verdelen.
REW= Responsibility Expertise Work
Met behulp van functiescheiding worden taken in organisatie verdeeld, zo ontstaan tegengestelde belangen,
hierdoor wordt misbruik van een functie voorkomen.
Eindverantwoordelijkheid ligt altijd bij directie. Verantwoordelijkheid kan verdeeld worden over vier functies
1. CISO: Chief Information Security Officer: maakt dele uit van topmanagement. Stelt beleid op,
organiseert, stuurt IB
2. ISO: Information Security Officer; faciliteerd implementatie IB, monitort, rapporteert
3. IT-beveiligingsmanager. Zorgt voor IT van IB
4. IT beveiligingsspecialist; Zorgt voor IT van IB
De CISO communiceert met topmanagement.
Service Level Agreement: derden worden ingeschakeld, externe partijeen die diensten leveren voor IB
Interne of Externe IT auditor: onderzoekt of informatiesysteem voldoen aan kwaliteitseisen en hoe procedures
voldoende worden nageleefd
IB beleid is basis, communicatieinstrument. Aantonen aan anderen dat organisatie voldoet aan eisen.
Verantwoording naar buiten, ofwel corporate governance.
Inhoud beleid:
definieert koers van organisatie mbt IB met strategie, missie, visie
Strategische uitgangspunten, randvoorwaarde
Organisatie met verantwoordelijkheden, taken, bevoegdheden
Betrouwbaarheidseisen
Frequentie van evaluatie
Bevordering van beveiligingsbewustzijn
Beleid op laten stellen door lijnmanagers heeft als voordeel: direct sponsor in verschillende
organisatieonderdelen die weten dat het beleid er is, het kunnen verdedigen en toelichten. Beleid zal aansluiten
op bedrijfsprocessen, organisatie en cultuur, en terminologie. Acceptatie zal hoger zijn. Niet alleen product
(beleid) is belangrijk maar ook proces (opstellen van). Groter draagvlak, meer acceptatie door projectgroep aan
te stellen. Laat deze maximaal uit zeven personen bestaan. Hoger is minder efficiënt.
Informatie beveiligingsplan: document waarin staat welke maatregelen zijn gekozen, waarom, welke middelen
hierovor nodig, welke richtlijnen er gelden voor implementatie, werkwijze, planning voor implementatie
maatregelen
Het is de concretisering van het beleid, die moet er dus al zijn als plan geschreven wordt.
Gevoelig voor veroudering, moet dus regelmatig geactualiseerd worden.