Hoe fysiek is informatiebeveiliging?

Transcriptie

1 Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV

2 Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties een top prioriteit. Het beschermen van informatie wordt veelal gezien als een verantwoordelijkheid van een IT afdeling. Wat is de rol van fysieke beveiliging bij het beschermen van informatie? Een inspirerende en interactieve workshop waarin het belang van fysieke beveiliging voor het beveiligen van informatie wordt uitgediept. Tijdens deze workshop krijgt u de kans uw eigen kijk te reflecteren aan resultaten van uitgevoerd onderzoek.

3 Security management congres 2013 Hoe fysiek is informatiebeveiliging? Restricted Siemens AG All rights reserved. Answers for infrastructure and cities.

4 De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Stelling 1

5 De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Onderdelen opgenomen in informatie beveiligingsrichtlijnen Changing the game, key findings from the global State of information Security survey 2013 Price Waterhouse Coopers

6 De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn They re generally two different silos and aren t well co-ordinated Between percent of large organizations have appointed a CSO and their number is growing by five percent a year over the last few years (2010). Het jaarlijkse Security Management Survey geeft in 2010 aan dat slechts 2 procent van de fysieke security officers ook verantwoordelijk is voor informatie beveiliging. In 2011 is dit percentage gestegen naar 20 procent en in 2012 naar 22 procent.

7 De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Organisatorische beveiligingsmaatregelen Changing the game, key findings from the global State of information Security survey 2013 Price Waterhouse Coopers

8 De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Huidige situatie: respondenten met een adviserende rol 0% 0% 0% 0% 0% Onbekend Gescheiden verantwoordelijkheid Gecombineerde verantwoordelijkheid 100% Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

9 De verantwoordelijkheid voor fysieke beveiliging en informatiebeveiliging hoort samengevoegd te zijn Huidige situatie: respondenten met een verantwoordelijke rol 0% 0% 0% 0% Onbekend 36% Gescheiden verantwoordelijkheid 64% Gecombineerde verantwoordelijkheid Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

10 De scheiding van verantwoordelijkheden leidt tot (nieuwe) risico s Stelling 2

11 De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico s NEN-ISO/IEC Information technology Security techniques Information security risk Management

12 De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico s Informatiebeveiliging onder controle 2e editie Overbeek, Roos Lindgren, Spruit, 2005

13 De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico s Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

14 De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico s Threat horizon 2014, Information Security Forum, 2012

15 Wat voor fysieke securityrisico s voor informatie onderscheiden we? Stelling 3

16 Wat voor fysieke securityrisico s voor informatie onderscheiden we? * * * * * * * * * * Security management survey 2012/2013, De Hoog, Barlagen, 2013

17 Wat voor fysieke securityrisico s voor informatie onderscheiden we? Information Security Breaches 2010, Price Waterhouse Coopers, 2010

18 Wat voor fysieke securityrisico s voor informatie onderscheiden we? ICT Barometer over Cyber crime Jaargang 11, Ernst & Young, 2011

19 Wat voor fysieke securityrisico s voor informatie onderscheiden we? Diefstal van hardware Op basis van opgetreden incidenten heeft diefstal plaatsgevonden bij: 33,5 % van de organisaties (CSI 2010) 30-40% van de organisaties (Symantec 2010) 1% van de incidenten* (Verizon 2011) 3% van de incidenten* (Verizon 2012) 39% van de organisaties (PWC 2010) 53% van de organisaties (Ponemon 2012) (* incident data uit databases van speciale politie organisaties en geheime diensten. Reguliere diefstal van apparatuur wordt niet daarin opgenomen)

20 Wat voor fysieke securityrisico s voor informatie onderscheiden we? NEN-ISO/IEC Information technology Security techniques Information security risk Management

21 Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen Stelling 4

22 Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen Hoeveel organisaties hebben de ISO geïmplementeerd? Information Security Breaches 2010, Price Waterhouse Coopers, 2010

23 Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen De code voor informatiebeveiliging (NEN-ISO27002)

24 Normen voor informatiebeveiliging houden voldoende rekening met fysieke dreigingen Standard of Good Practice

25 De dreigingen voor informatie komen van buiten de organisatie Stelling 5

26 De dreigingen voor informatie komen van buiten de organisatie ICT Barometer over Cyber crime Jaargang 11, Ernst & Young, 2011

27 De dreigingen voor informatie komen van buiten de organisatie 2012 Data breach investigations report, Verizon, 2012

28 De dreigingen voor informatie komen van buiten de organisatie Is cybercrime meer een in- of externe dreiging? Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

29 De dreigingen voor informatie komen van buiten de organisatie Is diefstal van hardware meer een in- of externe dreiging? Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

30 De omvang van (mijn) fysieke risico s is voldoende bekend (met betrekking tot informatie en informatiesystemen) Stelling 6

31 De omvang van (mijn) fysieke risico s is voldoende bekend Hoe groot is de kans op fysieke binnendringing ten behoeve van diefstal van hardware? Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

32 De omvang van (mijn) fysieke risico s is voldoende bekend Hoe groot is de kans op fysieke binnendringing ten behoeve van diefstal/sabotage van informatie? Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

33 De effectiviteit van (mijn) security maatregelen is voldoende bekend Stelling 7

34 De scheiding van verantwoordlijkheden leidt tot (nieuwe) risico s NEN-ISO/IEC Information technology Security techniques Information security risk Management

35 De effectiviteit van (mijn) security maatregelen is voldoende bekend Global Information Security survey, Ernst & Young, 2012

36 De effectiviteit van (mijn) security maatregelen is voldoende bekend 2011 Data breach investigations report, Verizon in cooperation with US Secret Service and Dutch high tech crime unit, 2011

37 Fysieke toegangscontrole beschermt (mijn) organisatie voldoende Stelling 8

38 Fysieke toegangscontrole beschermt (mijn) organisatie voldoende Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

39 Fysieke toegangscontrole beschermt (mijn) organisatie voldoende Hoe groot is de betrouwbaarheid van fysieke toegangscontrole? Hoe fysiek is informatiebeveiliging? Johan de Wit MSSM, 2013

40 Hoe kunnen we risico s voor informatie in de toekomst beter beperken? Slotvraag

41 Hartelijk dank voor uw belangstelling en aanwezigheid! Johan de Wit Solution Manager Enterprise Security Siemens Infrastructure and Cities Phone: +31 (70) Mobile: +31 (6) Answers for infrastructure and cities.