Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Seminar BETEKENIS VANINTERNE AUDITvoor specifieke verzekeraars
Informatiebeveiliging the next level
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Agenda1. Introductie
2. Stand van zaken in de Cyber Security wereld
3. Verschillende soorten aanvallen, verschillende soorten verweer?
4. Techniek, maar ook proces en mens (gedrag)
5. Security centraal of waarde centraal?
6. Pragmatisch advies, eerste stappen
7. Q&A
• Ik heb nog wat meegenomen voor de deelnemers
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Introductie Marcel Woltjes
Marcel Woltjes RE EMITA CISAPartner Audit & SecurityOrange Oaks Audit & AdvisoryAmsterdamwww.orangeoaks.nlMarcel.Woltjes@OrangeOaks.nltwitter.com/doclink
• Partner sinds 2008 bij Orange Oaks Audit & Advisory• Voorgaand gewerkt bij Ernst & Young, IBM• Lid van NOREA, IIA, ISACA in verschillende commissies, waaronder de
cyber security assessment• Presenteert / schrijft regelmatig op het Cyber Security vakgebied
- Eerder verschenen blog op de IIA Linked-IN/E-Dialoque website: “Internal Audit moeite met het verwerken van cybercrime dreigingen.”
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
De stand van zaken eind 2014
Cybercrime groeit hard
Focus verlegd van Banken naar andere financiële instellingen en hightech
Nieuwe spelers, nieuwe spelregels, wetgeving?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Verkenning
Bekende gebreken
SQL injectie
Phishing
Spear Phishing
Malware aanvallen
Zwakke authenticatie
Verschillende soorten aanvallen, verschillende soorten verweer?
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Techniek, maar ook proces & gedrag
Bouwstenen voor het vertrouwen: IT General Controls
Toegangsbeveiliging (Pen-test)
Changemanagement
Additioneel: Operations, Back-up & Recovery
Standaard processen, standaard gedrag…
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Security centraal of waarde centraal?
Cyberrisico management
✓ Detectie
✓ Reactie
✓ Recuperatie
✓ Verdediging
*
* © Deloitte – Audit Committee brief 2013
€
Waardeanalyse, direct of in de keten als opmaat voor de risicoanalyse
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Pragmatisch advies
Leiderschap & governance
Tone of the top – directie toont zorgvuldigheid, eigenaarschap en effectief managen van risico’s
Informatie riskmanagement
Holistische aanpak van risk management op waardevolle informatie door de hele organisatie en aangesloten partners
Specifieke inzet van Operations en technologie
De mensen factor
toezien dat de volgende zaken geadresseerd worden in de organisatie als maat voor volwassenheid op het gebied van cybersecurity
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
-vervolgNiveau en inzet van maatregelen om de geïdentificeerde risico’s aan te pakken en de impact ervan te minimaliseren
Het niveau en de integratie van een beveiligingscultuur die bekrachtigd en ondersteund wordt door de juiste mensen met de juiste kennis.
Business Continuïteit & Crisis management
Voorbereiding op security calamiteiten en de mogelijkheden om deze tegen te gaan of te minimaliseren door een succesvol crisis en stakeholder management
Betrokkenheid van Juridische zaken en compliance
De banksector laat zien dat het doorvoeren van relevant toezicht en internationale standaarden de dreiging van cybercrime kan indammen, beheersen en tegengaan. Verzekeraars zouden op vergelijkbare wijze hun aanpak kunnen aanpassen om vergelijkbare verdedigingsmechanismes te ontwikkelen.
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
Q&AStelling 1
Stelling 2
Seminar “Betekenis van interne audit voor specifieke verzekeraars” - 11 december 2014
– Office of the Superintendent of Financial Institutions Canada
“Ik heb nog iets voor deelnemers...”
Top Related