Security Governance is het geheel aan informatie, middelen en procedures die nodig zijn om informatiebeveiligingsrisico’s te managen.
Vaak wordt security via beleid binnen het 3-line of defense model in de 1e lijn belegd. Dit is best logisch want in de 1e lijn zitten de risico-eigenaren met geld en de verantwoordelijkheid om securitymaatregelen adequaat werkend te realiseren.
Ook zien we in de praktijk dat de 2e (en soms de 1e lijns) security officer vaak te veel verantwoordelijkheid naar zich toetrekt. Via de Meetbare MaatregelAanpak (MMA) bieden we handvatten om deze werkwijze constructief om te buigen.
Als onderdeel van het programma Security Governance willen we u een ander perspectief laten zien en het licht laten schijnen op:
- Een (NBility) architectuurmodel wat binnen de netwerkbedrijven wordt gehanteerd als gezamenlijke praatplaat. (Ton van der Knaap)
- Het Meetbare MaatregelenAanpak (MMA) model om als onafhankelijke adviseur/ professional het gesprek met de eigenaren (verantwoordelijke) aan te gaan. (André Beerten). Dit model wordt momenteel o.a. toegepast bij de Gemeente Amsterdam en in Justitiele keten van Politie, NFI en OM. Zij zullen uit eerste hand ervaring met MMA met ons delen.
- Het openKAT (opensource) tooling in relatie tot MMA als mogelijke middel om continue auditeerbaar te zijn en Plan Do Check Act borging (Brenno de Winter). Vanuit Cynalytics zullen (Bas van der Linden en Leo Benschop) aangeven hoe zij tegen deze ontwikkeling aankijken.
Programma
18:00 uur | Inloop met broodjes |
18:30 uur | Opening door dagvoorzitter Max Webber |
18:35 uur | Presentatie Ton van der Knaap, NBility Model - Netwerkbedrijven |
19:20 uur |
Presentatie André Beerten (MMA-methode)
|
20:10 uur | Pauze |
20:30 uur |
Presentatie Brenno de Winter (OpenKAT - en relatie MMA) Incl. visie auditors op continue auditing |
21:15 uur | Afsluiting, borrel en netwerken |
Sprekers
Ton van der Knaap
Ton van der Knaap werkt als enterprise architect bij Stedin. Als enterprise architect houdt hij zich bezig met het besturen van de toekomst van de inrichting van Stedin en richt zich hierin met name op het verbeteren en digitaliseren van (keten)processen en het optimaliseren van datagebruik. Hij is betrokken bij de ontwikkeling van NBility: het sectormodel van de benodigde capabilities van een netbeheerder. Hij heeft hiervoor bij KPN gewerkt in verschillende architectuurfuncties en is zijn carrière begonnen in de risicomanagement advisering vanuit PriceWaterhouseCoopers.
André Beerten
Sinds 2003 ben ik actief in de informatiebeveiliging. Zowel de technische, commerciële en vooral de adviserende rol heb ik uitgebreid verkend. Mijn leidraad is zó te beveiligen dat veilige business wordt ondersteund en niet gefrustreerd. Creatief denken in mogelijkheden is essentieel. Sleutelbegrip daarbij is eigenaarschap van risico's, assets en maatregelen. Tegenwoordig pas ik alleen nog de MMA toe, de Meetbare MaatregelAanpak, werkmethode voor de 1e lijn, de risicoverantwoordelijke ‘business’ die DUS passende maatregelen moet ontwerpen, toepassen en controleren op werking en effectiviteit. Dit alles na zorgvuldige analyse van wetten, sectorregels en toepasselijke risico’s (soms uitgewerkt in tactisch beleid). De 2e lijn adviseert, assisteert en bewaakt het proces. Dat is wel even wat anders dan de heersende praktijk, waar de 2e lijn (ISO’s, CISO’s etc.) probleemeigenaar zijn gemaakt en zich voegen in die onmogelijke rol. Ik zet de verantwoordelijken aan het werk of zoek een andere opdracht waar de directie niet allen zégt te willen maar ook daden bij woorden voegt en zich wil laten helpen.
Rutger Gooszen
Rutger Gooszen is Management consultant bij VKA
Wat ik doe
Een organisatie of keten verbeteren of nieuw beleid invoeren vraagt om verandering. Vaak is de context hiervan complex, vraagt het om multidisciplinair kijken en inzicht in de samenhang en het effect op de sociale organisatie, informatievoorziening en IT. Mijn vak is inzicht te geven aan de stakeholders in de samenhang en een conceptueel ontwerp te maken voor de realisatie. Van WAT naar HOE met behulp van architectuur als structurerende methodiek en beschrijving. Dat vraagt om creatief en onderzoekend werken met de belanghebbenden, liefst kortcyclisch lerend, maar gericht op een resultaat waar men mee verder kan. Tegenwoordig gaat dat vaak in een agile aanpak en dus ben ik daarvoor gecertificeerd als architect.
Wat mij drijft
Ontdekken, pionieren en onderzoeken waarom en hoe het anders kan geeft mij energie. Een inhoudelijke bijdrage leveren van hoge kwaliteit, nauwkeurig en volledig om het doel van de opdrachtgever dichterbij te brengen; “getting the job done” is heel bevredigend. Mensen verbinden en verbanden leggen zodat ze verder komen met hun vraagstuk is iets wat ik leuk vind en daarbij kan ik putten uit het kennisnetwerk dat VKA ook is. Daarnaast zet ik mij in voor het maatschappelijk initiatief “Onafhankelijke architect” vanuit de overtuiging dat in onze digitaliserende samenleving het vakgebied van architectuur naar een hoger niveau moet.
Brenno de Winter
Brenno de Winter (1971) is een bevlogen expert op het gebied van informatiebeveiliging, privacy en ICT. Op vijfjarige leeftijd schreef een eerste computerprogramma. Al vroeg ontdekte hij de zwakheden aan technologie en kwam in contact met de hackerscene. Hij programmeerde, werkte aan kwaliteitssystemen en vooral informatiebeveiliging en privacybescherming. Na de aanslagen van 11 september 2001 stortte hij zich op onderzoeks¬journalistiek. Na het kraken van de OV-chipkaart in 2011 en het tonen van honderden datalekken in datzelfde werd hij uitgeroepen tot journalist van het jaar. Ook won hij voor zijn onderzoek naar datalekken onder de werktitel ‘Lektober’ de prijs van de ‘Internet Society’ (ISOC). In 2016 legt Brenno zich meer toe op algemene onderzoek en is hij gestopt als journalist. Hij is als veel gevraagd expert actief lezingen, ontwikkelen van lesstof en simulaties, geven van trainingen, het ondersteunen van organisaties, het doen van (soms zeer complex) onderzoek en het schrijven van boeken. Brenno de Winter heeft meer dan 2.000 datalekken onderzocht en schreef onder andere boeken als Digitale Stormvloed, De Rode Hack, Privacy in het Informatietijdperk, Bescherming tegen cybercrime, Open Kaart en Linux in de Praktijk. Zijn meest recente boek is de ‘Survivalgids voor de Digitale Jungle’.
Bas van der Linden
Met meer dan 25 jaar ervaring in de IT-sector heeft Bas een brede kennis opgebouwd van het vakgebied, van IT-beheer en onderhoud tot content managementsystemen en van het opzetten van Cloud-infrastructuren tot IT-governance. Informatiebeveiliging heeft hierbij altijd een centrale rol gespeeld, zowel vanuit technisch-operationele kant als vanuit de organisatiekant.
Deze brede blik is met name erg nuttig bij het uitvoeren van audits op het gebied van informatiebeveiliging, waarbij in de breedte moet worden gekeken naar de effectiviteit van maatregelen en processen in continuïteit. Standaarden en normen hebben daarbij zijn interesse. Zo heeft hij onder meer bijgedragen aan de Cloud Controls (die mede als basis voor de NPR 5317 inzake Cloud Computing hebben gediend) en aan het Keurmerk Zeker Online.
Momenteel is Bas onder andere actief als auditor voor ISO-certificeringen. Daarnaast houdt hij zich bezig met de vraag hoe de werking van de processen aantoonbaar kan worden vastgelegd. Dit verklaart ook zijn interesse in OpenKAT, waarmee technische kwetsbaarheden in kaart kunnen worden gebracht en kunnen worden beheerst, c.q. opgevolgd. Continual compliance en - auditing is hierbij een krachtig (en noodzakelijk) hulpmiddel. Met Leo Benschop en Reinoud van Leeuwen heeft Bas hiervoor Cynalytics opgestart, een initiatief om OpenKAT beschikbaar en bereikbaar te maken voor organisaties.
Leo Benschop
Leo heeft meer dan 15 jaar ervaring op het gebied van Consultancy, IT-audits, Privacy audits, ISO-certificeringen, Risk Management en compliance (waaronder assurance verklaringen) en opereert op het snijvlak van business en IT. Hij heeft daardoor grote affiniteit met de fundamenten van het IT-audit vakgebied, risicoanalyses, privacy impact analyses en is flexibel in het selecteren en gebruiken van een gepaste benadering om tot een gebalanceerd oordeel te komen.
Vanuit de werkzaamheden ziet hij een aantal ontwikkelingen van opkomende wet- en regelgeving voor informatiebeveiliging (cyber security en cyber resilience) en mede daardoor een toenemende vraag naar aantoonbare compliance en nadrukkelijke verantwoordelijkheid voor het management. Deze ontwikkelingen in een toenemende gedigitaliseerde samenleving volgt hij nauwlettend. Daarin is te zien dat veel organisaties worstelen met de complexiteit van compliance, het inrichten en onderhouden van een passende governance structuur met relevante performance indicatoren die management een juist, tijdig en volledig beeld verschaffen over het stelsel van maatregelen dat is ingericht om de risico's goed te beheersen.
Vanuit deze behoefte houdt Leo zich onder andere via Cynalytics bezig met de inzet van OpenKAT als geïntegreerde voorziening voor technisch kwetsbaarheden management en compliance monitoring ter ondersteuning van de mogelijkheid tot continual auditing.
Om te weten:
Actuele informatie | Op www.pvib.nl vind je de actuele informatie over de sprekers en het programma | |
PE Punten | Voor deze themabijeenkomst ontvang je 2 PE punten. Zie voor de voorwaarden: Regeling PE | |
Leden PvIB | De thema avond is gratis toegankelijk voor PvIB-leden. Niet leden betalen € 60,-, incl. BTW. Bij no show wordt een bedrag van € 35,- in rekening gebracht. |
|
Inschrijven |
|
|
Vragen | Voor meer info: Debbie Reinders, tel. 06 20984633 of via activiteiten@pvib.nl |