1

Grondbeginselen van de informatiesysteembeveiliging

• Definitie van proces-/informatieactiva en ondersteunende activa (IT).
• DICT/P-classificatie: Beschikbaarheid, integriteit, vertrouwelijkheid en traceerbaarheid/bewijzen.
• Definitie van het ISS-risico en de specifieke eigenschappen ervan (kwetsbaarheden, bedreigingen).
• De verschillende soorten risico's: ongeluk, fout, kwaad opzet.
• Ontstaan van het cyberrisico, APT's, u voorbereiden op een cybercrisis.
• Essentiële externe informatiebronnen (ANSSI, CLUSIF, ENISA, enz.).

2

ISS task force: verschillende beroepsprofielen

• Rol en verantwoordelijkheden van de CISO, relatie met de IS-afdeling.
• Naar een gestructureerde en beschreven beveiligingsorganisatie, vaardigheden identificeren.
• Rol van de "Assets Owners" en de noodzakelijke betrokkenheid van het management.
• Profielen van architecten, integrators, auditors, pentesters, supervisors, risk managers, enz.
• Een competent team samenstellen dat is opgeleid en kan reageren op veranderingen in de cyberruimte.

3

Normatieve en regelgevende kaders

• Bedrijfs-, wettelijke en contractuele eisen integreren. De conformiteitsbenadering.
• Een voorbeeld van bedrijfsregelgeving: PCI DSS om uw gevoelige gegevens te beschermen.
• Beveiligingsmaatregelen om vertrouwelijkheid en gegevensintegriteit te bereiken.
• Een voorbeeld van juridische regelgeving: NIS-richtlijn / Loi Programmation Militaire.
• De 4 pijlers van beveiliging, zoals gezien door Europa en het ANSSI: governance, bescherming, verdediging en veerkracht.
• Beveiligingsmaatregelen om beschikbaarheid en procesintegriteit te bereiken.
• De ISO 27001-norm in een managementsysteembenadering (Deming-/PDCA-cirkel).
• De universele best practices van de ISO 27002-norm, de essentiële minimumkennis.
• Veiligheidsgebieden: van beleid via IT-beveiliging tot conformiteit.
• Een veiligheidsgarantieplan binnen uw relatie tussen klant en leverancier opstellen.

4

Risicoanalyseproces

• Integratie van risicoanalyse in het beveiligingsgovernanceproces.
• Identificatie en classificatie van risico's, ongevalsrisico's en cyberrisico's.
• De normen ISO 31000 en 27005 en de relatie van het risicoproces tot het ISO 27001-ISMS.
• Van risicobeoordeling tot het risicobehandelingsplan: de juiste procesactiviteiten.
• Vooraf gedefinieerde methoden kennen: FR/EBIOS RM-benadering, US/NIST-benadering, enz.

5

Veiligheidsaudits en bewustmaking van gebruikers

• Auditcategorieën, van de organisatieaudit tot de penetratietest.
• Op de beveiliging toegepaste best practices van de 19011-norm.
• Hoe uw auditors te kwalificeren? - voorbeeld met de PASSI’s (PASSI = ‘Prestataire d’audit de la sécurité des systèmes d’information’) in Frankrijk.
• Bewustmaking voor beveiliging: Wie? Wat? Hoe?
• De noodzaak van geprogrammeerde en gebudgetteerde bewustmaking.
• De verschillende vormen van bewustmaking, face to face of virtueel?
• Het veiligheidshandvest, het legaal bestaan en de inhoud ervan, de sancties.
• Tests en serious games, voorbeeld met de MOOC van het ANSSI.

6

Kosten van beveiliging en noodplannen

• Veiligheidsbudgetten, beschikbare statistieken.
• De definitie van Return On Security Investment (ROSI).
• Kostenevaluatietechnieken, verschillende berekeningsmethoden, TCO-berekening.
• Risicodekking en continuïteitsstrategie.
• Nood-, continuïteits-, herstel- en crisisbeheerplannen, PCA/PRA, PSI, RTO/RPO.
• Een continuïteitsplan ontwikkelen en integreren in een beveiligingsbenadering.

7

Optimale technische oplossingen ontwikkelen

• Uw logische en fysieke beveiliging structureren. Een diepteverdediging kunnen uitwerken.
• De drie grote pijlers van IT-beveiliging (netwerken, gegevens, software).
• Uw gevoelige netwerken, netwerk- en toepassingsfirewalltechnologieën verdelen.
• Uw gegevens onleesbaar maken tijdens opslag en transport, cryptografische technieken.
• Uw software beveiligen door harding en veilig ontwerp.
• Beheer van softwarekwetsbaarheden, CVE’s/CVSS’en kunnen gebruiken.

8

Supervisie van de beveiliging

• Operationele governance- en beveiligingsindicatoren.
• Cyberbeheer: ISO-conform dashboard.
• Uw verdediging voorbereiden (IDS, incidentdetectie, enz.).
• Verwerking van waarschuwingen en cyber forensics, de rol van CERT's.

9

Wettelijke inbreuken op het systeem voor automatische gegevensverwerking

• Herhaling, definitie van het systeem voor automatische gegevensverwerking (ADPS).
• Soorten inbreuken, Europese context, de LCEN-wet. De AVG-verordening
• Wat zijn de juridische risico's voor het bedrijf, zijn bestuurders en de CISO?

10

Aanbevelingen voor een "wettelijke" beveiliging van het IS

• De bescherming van persoonsgegevens, sancties bij niet-naleving.
• Het gebruik van biometrie in Frankrijk.
• Cybersurveillance van werknemers: grenzen en wettelijke beperkingen.
• De rechten van werknemers en de sancties die de werkgever riskeert.