digitale veiligheid - port security · cig informatiebeveiliging - digitale veiligheid - cio...
TRANSCRIPT
CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012
CIG Informatiebeveiliging
Digitale veiligheid Risico’s en maatregelen
Publicatie van de CIO Interest Group
Informatiebeveiliging
CIO Platform Nederland, juni 2012
www.cio-platform.nl/publicaties
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 2 van 19
CIG Informatiebeveiliging
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 3 van 19
CIG Informatiebeveiliging
Van de opstellers
Alle CIO Interest Groups (CIGs) van het CIO Platform Nederland hebben het doel om kennis te delen op die terreinen waarvan de leden hebben aangegeven deze belangrijk te vinden.
De Bestuurscommissie Informatiebeveiliging van het CIO Platform Nederland worstelde met een aantal vragen, onder andere naar aanleiding van het ‘Diginotar-incident’ in de tweede helft van 2011.
Om antwoord te kunnen geven op deze vragen heeft de CIG een inventarisatie uitgevoerd onder de deelnemers met als belangrijkste vraag: “waar lig je ’s nachts wakker van?”.
Wat houdt beveiligingsspecialisten van private en publieke organisaties in Nederland bezig? Wat zijn de belangrijkste aandachtspunten voor organisaties, en in het bijzonder de CIO, voor informatiebeveiliging?
Met de opgedane ervaring van onder andere het Diginotar traject zijn we aan de slag gegaan om een antwoord te vinden op bovenstaande vraag. Daarover gaat deze publicatie.
We onderkennen, na inventarisatie, zeven belangrijke aandachtsgebieden, waarover in deze publicatie meer details.
Om de organisaties te helpen de risico’s binnen deze aandachtsgebieden tot een
aanvaardbaar niveau te verminderen zijn voor elk van deze gebieden de meest relevante beheersdoelstellingen en -maatregelen uit de Code voor Informatiebeveiliging (ISO 27002) geselecteerd.
Eerder maakten wij als CIG al de awareness toolkit, ons intern security benchmark tool, de checklist voor het procurement traject en enkele publicaties.
We bedanken onze organisaties die ons de gelegenheid geven op deze manier
onze deskundigheid te delen binnen het CIO Platform.
De opstellers (zie pagina 18).
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 4 van 19
CIG Informatiebeveiliging
Inhoudsopgave
1! Aanleiding en vraag .............................................................................. 5! 1.1! !Aanleiding ....................................................................................... 5! 1.2! !Vraag ............................................................................................... 6!2! Werkwijze ............................................................................................... 7!3! Risico Top-11 ......................................................................................... 8! 3.1! !De rangschikking ............................................................................ 8! 3.2! !Het overzicht ................................................................................... 9!4! Zeven aandachtsgebieden ................................................................. 10! 4.1! !Cloud computing / Uitbesteding .................................................. 10! 4.2! !Awareness / Kennis informatie Interne organisatie / Compliance . 10! 4.3! !Interne organisatie / Compliance .................................................. 10! 4.4! !Cybercrime / Incident Management ............................................. 10! 4.5! !Complexiteit / Kennis m.b.t. systemen ........................................ 11! 4.6! !Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD) ........ 11! 4.7! !Identity & Access Management (IAM) ............................................ 11!5! Beheersmaatregelen ........................................................................... 12! 5.1! !Cloud Computing / Uitbesteding .................................................. 13! 5.2! !Awareness / Kennis mbt bedrijfsinformatie ................................. 13! 5.3! !Interne organisatie / Compliance .................................................. 13! 5.4! !Cybercrime / Incident management ............................................. 14! 5.5! !Complexiteit / Kennis mbt systemen ........................................... 14! 5.6! !Het Nieuwe Werken/Bring Your Own Device ................................ 14! 5.7! !Identity & Access Management ..................................................... 15!6! Verbeteren van informatiebeveiliging .............................................. 16! 6.1! !Relevante publicaties ..................................................................... 16! 6.2! !Awareness toolkit .......................................................................... 16! 6.3! !Checklist Informatiebeveiliging ..................................................... 16! 6.4! !Benchmark van leden .................................................................... 17!7! Deelnemers CIG Informatiebeveiliging ............................................. 18!
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 5 van 19
CIG Informatiebeveiliging
1 Aanleiding en vraag
1.1 Aanleiding Het afgelopen jaar is Informatiebeveiliging vaak om vervelende redenen in het nieuws geweest. Denk hierbij aan digitale inbraken (hacks) bij Diginotar, Babydump en KPN, beveiligingsissues bij overheden in ‘lektober’ en denial of
service bij diverse partijen.
Er is veel aan de hand waarbij niet alleen de incidenten zelf in het nieuws waren, maar ook achterliggende processen en bedrijven die werden getroffen. De
gevolgen van een hack trof dus vaak veel meer partijen dan alleen degene die “het overkwam”.
Zo plaatste de Diginotar affaire vraagtekens bij de betrouwbaarheid van de
beveiliging van “veiligheid-als-dienst”-biedende partijen. Ook het toezicht op die dienstenleveranciers werd ter discussie gesteld en zelfs het systeem van certificaten zelf.
De hack bij Babydump en KPN leidde tot aandacht voor de veiligheidsbewustheid bij netwerkpartijen en MKB-bedrijven.
De noodzaak voor eindgebruikers en klanten, kortom ieder individu, om actief
met hun eigen (digitale) veiligheid om te gaan is hierdoor weer actueel. Denk hierbij aan het alert zijn waar iemand welke gegevens invult en achterlaat, het kiezen van goede wachtwoorden et cetera.
De behoefte om, met lering uit deze voorbeelden, voor BV Nederland hierin een constructieve en structurele aanpak te kiezen nam sterk toe.
Overheid, IT-leveranciers en –gebruikers werken sinds medio 2011 actief samen
bij het aanpakken van digitale veiligheid in de Cyber Security Raad.
Door het in kaart brengen van dreigingen en maatregelen en deze samen te brengen kunnen we de digitale veiligheid verbeteren. Alleen zo kunnen we de
waarden van onze maatschappij en economie beschermen.
Daarvoor moeten we wel weten wat er op ons af komt, waar we kwetsbaar zijn en welke risico’s we lopen.
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 6 van 19
CIG Informatiebeveiliging
1.2 Vraag Genoeg reden dus om na te denken over actuele risico’s en mogelijk nieuwe of
hernieuwde inzichten die de actualiteit ons geeft.
Aan de CIG Informatiebeveiliging is daarop gevraagd een antwoord te geven op de vraag wat de professionals in dit vakgebied, in casu de deelnemers van deze
interest group, zien als de grootste aandachtspunten op het gebied Informatiebeveiliging voor 2012 en verder.
Met de opgedane ervaring van de gememoreerde incidenten zijn we aan de slag
gegaan om een antwoord te vinden op bovenstaande vraag.
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 7 van 19
CIG Informatiebeveiliging
2 Werkwijze
In de bijeenkomst van de CIG Informatiebeveiliging in september 2011 is door de aanwezige deelnemers een inventarisatie van ‘de grootste bedreigingen’ gemaakt. Hieruit is een lijst voortgekomen met veertig aandachtspunten, risico’s,
bedreigingen en ‘beroepsmatige zorgen’ die de aandacht moeten krijgen.
Deze lijst is toegestuurd aan alle deelnemers van de CIG met het verzoek om aan te geven welke aandachtspunten voor hun organisatie in 2012 het
belangrijkst zijn.
Het resultaat van deze ranking, zie de ‘Risico Top-11’ op de volgende pagina, is gepresenteerd in de CIG en Bestuurscommissie bijeenkomsten in december
2011.
Vervolgens zijn de aandachtspunten geclusterd en zijn deze met het aantal stemmen gewogen. Daarna hebben we de clusters gekoppeld aan de
beheersmaatregelen uit de Code voor Informatiebeveiliging.
Nadat de bestuurscommissie de notitie hierover had besproken kwam het verzoek om van de resultaten een publicatie te maken, te presenteren op de
jaardag van het CIO Platform in juni 2012.
Dit hebben we in gang gezet en toegevoegd de wens dat ons informatiebeveiligingsbenchmark-tool “BMTool” van het CIO Platform hierin ook
de voortgang en vergelijking mogelijk moest maken.
Naast deze publicatie is er voor gezorgd dat leden van het CIO Platform de tool nu ook kunnen gebruiken om te meten waar je als organisatie staat ten opzichte
van de aandachtsgebieden uit deze inventarisatie.
De CIG deelnemers hebben een actieve en constructieve bijdrage geleverd aan deze publicatie, waarvoor dank. Deze deelnemers staan achterin deze publicatie
opgenomen.
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 8 van 19
CIG Informatiebeveiliging
3 Risico Top-11
3.1 De rangschikking Hieronder zijn de aandachtspunten gerangschikt die bij de inventarisatie de meeste stemmen kregen van de experts van de CIG. Uit de lijst met veertig punten mochten maximaal vijf worden aangekruist.
Tussen [ ] is het aantal stemmen vermeld.
1. Awareness/verantwoordelijkheden en een soms laconieke houding [16]
2. Gebruik van privé- en mobiele apparatuur [16]
3. Geen inzicht hebben in toegang tot informatie (onvoldoende identity
management, autorisatie management) [16]
4. IB nog steeds geen verantwoordelijkheid van de business (awareness) [14]
5. Onvoldoende grip op IB bij 'uit de Cloud'-dienstverlening (oa SaaS, PaaS) [13]
6. Onvoldoende grip op IB bij uitbesteden, hoe zekerheid te krijgen over het
daadwerkelijke beveiligingsniveau [13]
7. Toenemende complexiteit en afnemende relevante kennis [12]
8. Cybercrime en het onvoldoende bewust zijn van de risico’s [11]
9. Onbewust, onbekwame gebruikers [11]
10. Onvoldoende kennis bij eigen organisatie over bedreigingen en
mogelijkheden/noodzakelijkheden om die aan te pakken [11]
11. Geen inzicht in afhankelijkheden derden en/of het beveiligingsniveau van
derden [11]
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 9 van 19
CIG Informatiebeveiliging
% stemmen per aandachtsgebied
Cloud Computing / Uitbesteding; 28%
Awareness / Kennis mbt bedrijfsinformatie; 27%
Interne organisatie / Compliance; 13%
Cybercrime / Incident management; 10%
Complexiteit / Kennis mbt systemen; 8%
Het Nieuwe Werken / Bring Your Own Device;
8%
Identity & Access Management; 6%
In de oorspronkelijke lijst met veertig aandachtspunten zijn dezelfde punten
soms op verschillende manieren geformuleerd. Bijvoorbeeld: “Geen duidelijke contractuele afspraken over IB”, “Geen inzicht in niveau IB van derden” en “Geen inzicht in niveau IB van leveranciers”.
3.2 Het overzicht De ene formulering heeft de Top-11 wel gehaald, de andere niet. Om ook die
scores recht te doen en de gevraagde koppeling met beheersmaatregelen overzichtelijk te houden, zijn de veertig aandachtspunten (met hun score) geclusterd in zeven aandachtsgebieden.
Het resultaat is samengevat in onderstaand figuur 1:
Figuur 1: verdeling stemmen over de aandachtsgebieden
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 10 van 19
CIG Informatiebeveiliging
4 Zeven aandachtsgebieden
De zeven aandachtsgebieden kunnen als volgt worden gekarakteriseerd:
4.1 Cloud computing / Uitbesteding
Het vermogen van de organisatie om de kansen die cloud computing biedt, optimaal te benutten maar tegelijkertijd grip te houden op de
Informatiebeveiliging van de leveranciers van cloud services. Werkzaamheden kunnen vaak technisch eenvoudig en snel worden uitbesteed;
de verantwoordelijkheid voor de betrouwbaarheid, integriteit en vertrouwelijkheid van bedrijfsinformatie blijft echter (volgens de wet) in alle gevallen bij de uitbestedende partij.
4.2 Awareness / Kennis m.b.t. informatie Interne organisatie / Compliance Het vermogen van de organisatie om security awareness en de kennis van de
eigen bedrijfsinformatie op een dusdanig peil te brengen dat de betrouwbaarheid, integriteit en vertrouwelijkheid van die informatie afdoende beschermd kan worden in alle constructies: intern, traditioneel uitbesteed of ‘in
de cloud’. Een belangrijk risico voor elke organisatie is de onachtzaamheid en onkunde van
de medewerkers in het omgaan met vertrouwelijke informatie.
4.3 Interne organisatie / Compliance
Het vermogen van de interne organisatie om te voldoen aan wet- en regelgeving en om te gaan met het verscherpte toezicht daarop.
Het ontwikkelen van een beleid over het voldoen aan regelgeving en beveiliging van informatie is de eerste stap, minstens zo belangrijk zijn het controleren op
naleving, signaleren van en reageren op incidenten en het eventueel aanpassen van beleid na incidenten.
4.4 Cybercrime / Incident Management
Het vermogen van de organisatie om snel en doeltreffend te anticiperen en te reageren op incidenten en calamiteiten die veroorzaakt worden door steeds
beter georganiseerde internetcriminelen.
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 11 van 19
CIG Informatiebeveiliging
Om te voorkomen dat strategie en beleidsvorming in het gedrang komen door
het toenemend aantal nieuwe incidenten is een duidelijke scheiding binnen de organisatie tussen beleid en uitvoering van groot belang.
4.5 Complexiteit / Kennis m.b.t. systemen
Het vermogen van de organisatie om te reageren op twee gelijktijdig optredende trends: de toenemende complexiteit van het systeemlandschap en de
afnemende kennis van belangrijke (legacy) systemen. Een forse uitdaging voor elke organisatie is het managen van het toenemende
aantal te ondersteunen applicaties en de daarvoor benodigde competenties.
4.6 Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD)
Het vermogen van de organisatie om zowel tijdig als veilig te kunnen voldoen aan (nieuwe) behoeften van de klantorganisatie (‘de business’) zoals ‘Het Nieuwe
werken’ en de wens met eigen apparatuur toegang te krijgen tot vertrouwelijke bedrijfsinformatie (BYOD).
Gebruikers, zowel medewerkers en klanten, verwachten in toenemende mate dat elk platform/device gebruikt kan worden voor toegang tot voor hen relevante informatie. Als dit niet voldoende snel wordt gefaciliteerd vanuit de organisatie
ontstaat ongecontroleerde verspreiding van de informatie, met bijbehorende risico’s.
4.7 Identity & Access Management (IAM)
Het vermogen van de organisatie om toegang voor bevoegde gebruikers te bewerkstelligen en onbevoegde toegang tot informatiesystemen te voorkomen.
Recente ontwikkelingen als HNW en BYOD stellen hoge eisen aan de vaak toch al complexe inrichting van logische toegangsbeveiliging (‘Identity- en Access
management’).
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 12 van 19
CIG Informatiebeveiliging
5 Beheersmaatregelen
De beheersmaatregelen uit de Code voor Informatiebeveiliging (ISO27002) kunnen organisaties helpen om de risico’s binnen de aandachtgebieden tot een aanvaardbaar niveau te verminderen.
We hebben voor elk van de geïdentificeerde aandachtsgebieden, de meest relevante beheersdoelstellingen en -maatregelen uit de Code opgenomen.
Merk hierbij op dat:
• Sommige hoofdstukken/categorieën, zoals Risicobeoordeling en -behandeling (hoofdstuk 4), Beveiligingsbeleid (5), Classificatie van informatie (7.2) en Naleving (15) eigenlijk van toepassing zijn op alle
aandachtsgebieden.
• Voor het aandachtgebied ‘Cybercrime / Incident Management’ in feite alle maatregelen uit de Code relevant zijn.
• Voor het aandachtsgebied ‘Complexiteit / Kennis m.b.t. systemen’ biedt de Code niet veel houvast. Cobit, het IT governance framework van ISACA, is hiervoor een betere gids.
Op de volgende pagina’s de uitwerking per aandachtsgebied, met daarbij de selectie beheersmaatregelen en bijbehorende relevante hoofdstukken uit de Code voor Informatiebeveiliging (ISO27002).
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 13 van 19
CIG Informatiebeveiliging
5.1 Cloud Computing / Uitbesteding 4 Risicobeoordeling en risicobehandeling
5 Beveiligingsbeleid 6.1 Interne organisatie 7.2 Classificatie van informatie
10.2 Beheer van de dienstverlening door derde partij 10.5 Back-up 10.7 Behandeling van media
10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce 11.7.2 Telewerken
12.1.1 Analyse en specificatie van beveiligingseisen 12.5.5 Uitbestede ontwikkeling van programmatuur 14.1.2 Bedrijfscontinuïteit en risicobeoordeling
15 Naleving
5.2 Awareness / Kennis mbt bedrijfsinformatie
4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid 7.2 Classificatie van informatie
11.7.2 Telewerken 6.1.1 Betrokkenheid van de directie bij Informatiebeveiliging 6.2.2 Beveiliging behandelen in de omgang met klanten
7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen 8.1.1 Rollen en verantwoordelijkheden 8.2.1 Directieverantwoordelijkheid
8.2.2. Bewustzijn, opleiding en training tav Informatiebeveiliging
5.3 Interne organisatie / Compliance
6.1.1 Betrokkenheid van de directie bij Informatiebeveiliging 6.1.2 Coördinatie van Informatiebeveiliging
6.1.3 Toewijzing van verantwoordelijkheden voor Informatiebeveiliging
6.1.5 Geheimhoudingsovereenkomst 15.1 Naleving van wettelijke voorschriften
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 14 van 19
CIG Informatiebeveiliging
15.2 Naleving van beveiligingsbeleid en -normen en technische naleving
6.1.6 Contact met overheidsinstanties 6.1.7 Contact met speciale belangengroepen 13.1 Rapportage van Informatiebeveiligingsgebeurtenissen en
zwakke plekken
5.4 Cybercrime / Incident management
8.2.2. Bewustzijn, opleiding en training tav Informatiebeveiliging 8.3.3 Blokkering van toegangsrechten 10.4 Bescherming tegen virussen en ‘mobile code’
10.6 Beheer van netwerkbeveiliging 10.7 Behandeling van media 10.8 Uitwisseling van informatie
10.9 Diensten voor e-commerce 10.10.2 Controle van systeemgebruik 11 Toegangsbeveiliging
12.3 Cryptografische beheersmaatregelen 12.5.4 Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden
13 Beheer van informatie beveiligingsincidenten 14.1.2 Bedrijfscontinuïteit en risicobeoordeling 15.2 Naleving van beveiligingsbeleid en -normen en technische
naleving
5.5 Complexiteit / Kennis mbt systemen
4 Risicobeoordeling en risicobehandeling 6.2.1 Identificatie van risico's mbt externe partijen
6.2.3 Beveiliging behandelen in overeenkomsten met een derde partij 10.2 Beheer van de dienstverlening door een derde partij
14.1.2 Bedrijfscontinuïteit en risicobeoordeling
5.6 Het Nieuwe Werken/Bring Your Own Device
4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 15 van 19
CIG Informatiebeveiliging
6.1.4 Goedkeuringsproces voor IT-voorzieningen 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen
7.2 Classificatie van informatie 8.2.2 Bewustzijn, opleiding en training tav Informatiebeveiliging 8.3.2 Retournering van bedrijfsmiddelen
9.2.5 Beveiliging van apparatuur buiten het terrein 10.1.3 Functiescheiding (7) 10.7 Behandeling van media
10.8 Uitwisseling van informatie 10.10.2 Controle van systeemgebruik 11.3 Verantwoordelijkheden van gebruikers
11.7.1 Draagbare computers en communicatievoorzieningen 12.1.1 Analyse en specificatie van beveiligingseisen (voor informatiesystemen)
12.5.4 Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden
5.7 Identity & Access Management
6.2.2 Beveiliging behandelen in de omgang met klanten 7.2 Classificatie van informatie
8.1.1 Rollen en verantwoordelijkheden 8.3.3 Blokkering van toegangsrechten 10.1.3 Functiescheiding
11 Toegangsbeveiliging 13 Beheer van informatie beveiligingsincidenten
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 16 van 19
CIG Informatiebeveiliging
6 Verbeteren van informatiebeveiliging
De CIG Informatiebeveiliging is de grootste CIG van het CIO Platform. Informatiebeveiliging is een onderwerp dat bij elke CIO steeds prominenter op de agenda staat. Als CIG hebben we de afgelopen jaren een aantal producten
opgeleverd voor onze leden en ook voor de buitenwereld.
Op de site van het CIO Platform zijn de publicaties diverse CIGs te vinden. www.cio-platform.nl/publicaties
6.1 Relevante publicaties In relatie tot de hier besproken aandachtsgebieden zijn de volgende publicaties interessant:
• Publicatie End User Self Service: Seven Habits: Keys to a successful user
portal (juni 2011) • Publicatie Human Resource Management: De “nieuwe” medewerker (juni
2010)
• Publicatie Information Security: Empowered Employee – Surrender Control? (juni 2010)
Naast de publicaties kunnen, voor Informatiebeveiliging, onderstaande producten veel werk besparen en/of een belangrijke bijdrage leveren aan de kwaliteit van de Informatiebeveiliging.
6.2 Awareness toolkit Voor onze leden is een awareness toolkit ontwikkeld met daarin veel informatie
en bruikbaar materiaal. In de toolkit zitten, naast voorbeelden van aanpak ook materialen die leden mogen gebruiken van elkaar voor hun awareness campagne. Deze toolkit is alleen voor leden beschikbaar.
6.3 Checklist Informatiebeveiliging
De checklist is bedoeld om goed opdrachtgeverschap te bevorderen daar waar het gaat om Informatiebeveiliging gerelateerde aspecten van producten en diensten. Een uitermate goed bruikbare checklist in het procurement traject.
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 17 van 19
CIG Informatiebeveiliging
Gebaseerd op de norm voor Informatiebeveiliging, ISO 27002, zijn criteria benoemd waarbij de leverancier wordt gevraagd inzicht te verstrekken hoe door
hem invulling wordt gegeven aan Informatiebeveiliging.
De checklist is gedeeld met de branchevereniging van ICT-leveranciers. Leveranciers kunnen dus bekend zijn met de vragen in de checklist en de
gevraagde informatie aanleveren.
Wanneer leveranciers binnen een aandachtsgebied een rol spelen is de Checklist Informatiebeveiliging van het CIO Platform een goede aanvulling op de, in deze
publicatie beschreven, beheersmaatregelen.
Deze checklist is vrij te downloaden vanaf de website van het CIO Platform. www.cio-platform.nl/publicaties
6.4 Benchmark van leden Door de CIG Informatiebeveiliging is voor leden van het CIO Platform een
benchmark tool (BMTool) ontwikkeld. Hiermee kan de volwassenheid van maatregelen voor Informatiebeveiliging worden vastgelegd en vergeleken met de aangesloten branchegenoten. Ook de eigen voortgang is door deze tool
inzichtelijk te maken.
De BMTool werkt met stellingen, gebaseerd op de norm ISO 27002 voor het scoren van de beveiligingsmaatregelen. Voor de zorginstellingen is de BMTool
ook compliant met de NEN 7510 norm. De volwassenheid wordt afgemeten aan de CobiT 4.1 CMM matrix.
Door de resultaten te vergelijken, kunnen sterke en zwakke schakels in de
Informatiebeveiliging worden vastgesteld. Ultieme doelstelling is de aangesloten organisaties elkaar te laten helpen de zwakke schakels te elimineren door gebruik te maken van de kennis en ervaring van de leden die hier juist sterk
scoren.
De tool kan nu ook worden ingezet om te benchmarken met de specifieke aandachtspunten uit deze publicatie.
Informatie over de BMTool is beschikbaar op www.cio-platform.nl/bmtool
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 18 van 19
CIG Informatiebeveiliging
7 Deelnemers CIG Informatiebeveiliging
Organisatie Voornaam Achternaam
Schiphol Group Hans Aldenkamp
Van Gansewinkel Groep Arjan Arendse
Enexis B.V. Hans Baars
Coöperatie VGZ UA Hendrikus Beck
NXP Semiconductors Netherlands B.V. Kay Behnke
Holland Casino Erwin Bosma
De Nederlandsche Bank Edwin Bouwmeester
PostNL Dick Brandt
Tweede Kamer der Staten-Generaal Marcus Bremer
Belastingdienst Gerrit Jan Brendeke
Koninklijke BAM Groep N.V. René Colsen
Royal Vopak Carlos Cordova Niewold
Ahold / Albert Heijn Nico de Groot
Telegraaf Media ICT Ernst de Rijk
ABN AMRO Bank Martijn Dekker
UMC Utrecht Evert Jan Evers
LUMC Erik Flikkenschild
CJIB Henk Gomis
Facilicom Anton Harder
SNS REAAL Rolf Heggie
Marel Food Systems Rob Janssen
ECT Ruud Jongejan
PGGM Piet Kalverda
Belastingdienst Peter Konings
Nederlandse Spoorwegen Joseph Mager
Sociale Verzekeringsbank Pamela Mercera
Stichting SURF Alf Moens
PostNL Robert Moonen
Océ Eric Piepers
CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 19 van 19
CIG Informatiebeveiliging
(vervolg deelnemers CIG Informatiebeveiliging)
Organisatie Voornaam Achternaam
Espria Erik Pieters
Achmea Group Edwin Pol
Gemeente Haarlemmermeer Michael Pols
Nutreco Peggy Roothans
CBS Roel Rot
Eneco Anne Spoelstra
PostNL Michel Tinga
De Nederlandsche Bank Ewoud van Bentem
UMC Groningen Ron van den Bosch
Havenbedrijf Rotterdam Chris van den Hooven
UMC Groningen Leon van der Krogt
Ahold / Albert Heijn Frank van der Kroon
De Nederlandsche Bank Bram van der Meulen
Randstad Holding Sander van der Velden
LUMC Margot van Ditmarsch
Kluwer Nico Veenkamp
Transavia.com Ronald Verstraeten
Rabobank Nederland Jan Wessels
Schiphol Group Wil Weterings
CIO Platform Rik van Embden
CIO Platform Ronald Verbeek
CIO Platform Foppe Vogd
CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012
www.cio-platform.nl
De vereniging van ICT eindverantwoordelijken in grote organisaties van de vraagzijde
“ “