2© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
IntroductieMichiel van Veen MSc RE Senior Manager, KPMG Cyber
MobileTel
+31 (0) 65 207 8818+31 (0) 20 656 4046
Lars Jacobs MScManager, KPMG Cyber
MobileTel
+31 (0) 61 589 0326+31 (0) 206 564 319
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
4© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
http://www.reuters.com/article/us-usa-cyber-swift-exclusive-idUSKBN1412NTDRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
5© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
A small update on Cyber Security trends 2017
THE PERFECT STORM
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
6© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Cyber incidenten in het nieuws
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
8© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Hackers vs. IT auditRequestor
Authorizer
Grantor
Tool/System
Auditor
Request access
Verify user identity
Approve?
Write to system of record
Grant/revoke access
End
Initiate auditRights match
system?Report End
Notification to end user
Follow-up?
HACKERACQUIRE
ADMINISTRATIVE ACCESS RIGHTS
EXPLOIT VULNERABILITY End
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
9© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Hackers do not follow the processHACKERS: Do not follow your procedures
HACKERS: Bypass your implemented measures
HACKERS: Break your segregation of duties
HACKERS: Steal your data (C)
HACKERS: Steal your money (I)
HACKERS: Put you out of business (A)
for fun and profit
CYBER CRIME = BIG BUSINESS
Threats change from internal to external
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
11© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Wat kan de IAD bereiken?
Incident management Cyber weerbaar
Cyber onbewust Cyber bewustzijn
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
12© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Wat kan de IAD bereiken? 1st LoD: Business & IT• Primair verantwoordelijk
voor risicobeheersing
2nd LoD: ORM / IRM• Monitoring en
rapportage van risico’s, vraagbaak voor 1st LOD
3rd LoD: Audit• Beoordelen effectiviteit
risicobeheersing / controlemaatregelen
Uitvoeren van Cyber Risk assessment
Onafhankelijke beoordeling van de effectiviteit van het cyber risk management programma
Escalatie naar audit committee wanneer cyber risico’s onvoldoende beheerst zijn
Controle / regie rol in beheersing van cyber risico
123 DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
14© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Wat kan de IAD bereiken?
START
03 04
01
AB
02
Cyber Risk AssessmentCyber Maturity Assessment,
definiëren en testen van controls
Gap Analysis,Huidige stand vsambitie
Reporting and improving
MonitoringDRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
15© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Holistisch: Cyber Maturity niveau
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
16© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Single view of risk
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
17© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Andere modellen
NIST: https://www.nist.gov/cyberframework
ISF: https://www.securityforum.org/tool/the-isf-standardrmation-security/
AICPA (Cyber risk management assurance): https://www.aicpa.org/Press/PressReleases/2017/Pages/AICPA-Unveils-Cybersecurity-Risk-Management-Reporting-Framework.aspx
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
19© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Cyber 2.0
PREVENT DETECT RESPOND IMPROVE
Avoid the incidentMonitoring as it
happens React swiftlyLearn and strengthen
OLD FOCUS
MODERN FOCUS
PREPARE
Prepare for the incident
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
20© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Valkuilen
Zelf expert willen worden
Cyber enkel bij IT afdeling neerleggen
Risico’s negeren of onderschatten vanwege technische complexiteit
100% zekerheid willen
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
21© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Readiness - PrepareIn het groeiproces voor organisaties om adequaat te kunnen reageren op cyber incidenten geloven wij in de mix tussen mens en techniek. Hierbij helpen wij organisaties middels training en technische oplossingen om ten tijde van een cyber incidenten efficiënt van crisis modus naar “business as usual” te komen.
In dit proces zijn onder meer de volgende vragen van belang:
- Wat zijn mijn kroonjuwelen?
- Welke bedrijfsrisico’s loop ik bij verlies of diefstal?
- Wie heeft er belang bij deze data?
- Welke modus operandi bestaan er om deze data te verliezen?
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
22© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Readiness - PrepareOp het moment dat de alarmbellen bij een cyber incident afgaan verandert alles. Om de impact van een cyber incident op de teamdynamiek te ervaren nemen wij klantteams mee in de cyber simulatie game. Hierin kunnen klantteams oefenen zodat zij ten tijde van een echt cyber incident optimaal kunnen reageren.
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
23© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
DetectOm een cyber incident te kunnen detecteren helpen wij organisaties bij het opzetten van monitoring- en detectiesystemen. Dit omvat o.a. het opzetten en testen van de spreekwoordelijke rookmelders.
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
24© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Response & Post-BreachOp het moment dat de alarmbellen afgaan voor een cyber incident is het zaak om spoedig een eerste diagnose te stellen en passende response activiteiten te definiëren. Hierbij helpen wij organisaties door de handen in één te slaan met het team van de verzekerde. Om zo optimaal van crisis naar “business as usual” te komen.
Waarbij de onderstaande vragen centraal staan:
- Wat ging er fout?
- Hoe stop ik de breach?
- Wat ben ik mogelijk kwijt?
- Hoe voorkom ik het in de toekomst?DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
26© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Belangrijke thema’s
• Relatie tussen bedrijfsrisico’s en cyberrisico’s
Relevantie van cyberrisico’s
• Relevant voor sector en bedrijfsrisico’s
Ambitiebepaling
• Waar staat de organisatie nu?
Volwassenheidsbepaling
• Wat komt er op je af: GDPR
Impactbepaling wet en regelgeving
• Cyber in the Boardroom & dashboarding: hoe neemt het bestuur haar verantwoordelijkheid?
Rapporteren over cyber risico’s
• Welke afspraken zijn er met ketenpartners?
Derde partijen en ketenpartners
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
27© 2017 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG en het logo zijn geregistreerde merken van KPMG International.
Acties
— Control testing— Implementatie vs
ambitie— Cyber risk vs Business
risk— Risk management — Awareness
— Purple teaming— Monitoring capabillity— Staff
— Purple teaming— Staff— Escalatie processen— Readiness assessment— Impact materialiteit
incident
Prevent Detect Respond
DRAFT
DRAFT - FOR DISCUSSION PURPOSES ONLY
Thank youMichiel van VeenCyberSenior Manager, AmstelveenKPMG NederlandTel: + 31 (0)20 656 4046Mob: +31 0(6) 52 07 88 18 [email protected]
Lars JacobsCyberManager, AmstelveenKPMG NederlandTel: +31 (0)20 656 4319Mob: +31 (0)6 15 89 03 [email protected]
DRAFT - FOR DISCUSSION PURPOSES ONLY