Programma dinsdag 6 december 2011
(Locatie: Van der Valk Hotel, Breukelen)

Inleiding

08.30 Ontvangst, registratie en koffie

09.00 Opening en inleiding door uw dagvoorzitter: Piet Poos, Hoofddocent IT Governance, Enterprise Risk Management & Internal Control, TiasNimbas Business School & Voormalig Hoofd Operational Risk Management, SNS REAAL

09.15 Access Governance Rabobank, 14 jaar ervaring: een zegen of remmende voorsprong?

• Gestructureerde controle over autorisaties blijft een uitdaging
• Processen: Centralisatie biedt het kwaliteitsvoordeel
• Tooling: Van zelfbouw naar pakketoplossing
• Nieuwe autorisatiecriteria voor "het nieuwe werken"

Paul Samwel, Lead Security Architect, Rabobank Nederland

09.45 Pragmatisch controle voeren over toegangsrechten op basis van Access Governance; 2 jaar met de voeten in de modder

• Gestructureerde controle over autorisaties blijfteen uitdaging
• Met Access Governance in een paar weken tijd meetbare resultaten
• Access Governance als onderdeel van een ‘go-to-cloud’ strategie
• Hoe ziet het er in de praktijk uit: processen en tooling?

Maarten Stultjens, Director Business Development, Elephant Security (BHOLD)

Compliance, Wet en Regelgeving

10.15 Access Governance - voldoende antwoord voor uw toezichthouder?

• Wat zijn de vereisten vanuit Wet en Regelgeving op het gebied van autorisatiemanagement?
  Zijn deze vereisten de laatste jaren echt veranderd?
• Good practices: hoe Access Governance op te zetten en te “embedden” in uw organisatie?

John Hermans, Partner, KPMG IT Advisory

10.45 Ochtendpauze en netwerken

Integriteit van Data

11.15 A Governance Based approach to IDM

• In 3 stappen naar Access Governance?
• Risk management als key enabler van Access Governance?
• Automatisering & Governance, kan maar waar?
• Best Practices aan de hand van enkele praktijkvoorbeelden

Hans Bakker, Director of Channels, EMEA, Sailpoint

Het Privacy Debat

11.45 Interactief debat met de volgende stellingen:

• Het falen van de OV-chip kaart en het Landelijk Patiënten Dossier laten zien dat we er in Nederland nog helemaal niet klaar voor zijn: het koppelen van gegevens van personen is privacytechnisch gezien onverantwoord.
• DigiD is erg fraudegevoelig. Dat is hoofdzakelijk te danken aan het brede gebruik van het BSN als identificatie- en authorisatienummer.
• Privacy is de verantwoordelijkheid van de board bij de uitrol van autorisatiebeheer.
• Sociale netwerksites eisen steeds vaker het gebruik van je echte naam. Toch kunnen sociale media voor bedrijven geen waardevol medium zijn om betrouwbare access control op te zetten.
• Goede beveiliging van systemen is belangrijk, maar moet meer gezien worden als reparatiekit. Aandacht moet verschuiven naar de voorkant: dus zo weinig mogelijk gegevens opslaan. Voorkomen is beter dan genezen.

Discussieleider:
Rachel Marbus, Boardmember, PvIB
Debatleden:
Huib Gardeniers, Partner, Net2Legal Consultants
Jeroen Terstegge, Executive Director, PrivaSense & Hoofdredacteur, Privacy en Compliance
Arnold Roosendaal, Eigenaar Fennell Roosendaal O&A & Onderzoeker TILT-UvT

12.15 Lunch en netwerken

Praktijkcases

De inrichting of aanpassing van Access Governance in tijden van verandering

Interactieve sessies uit de praktijk
Kies uw stroom:

STROOM A
Uitdaging 1: Nieuwe Werken en Mobile Devices
13.15 Pragmatische antwoorden op nieuwe uitdagingen. De UWV aanpak.

• Autorisatiebeheer en –beleid binnen het UWV;
• Hoe beheert u het toegangsbeleid? Op basis van welk model en welke services?
• Hoe wordt omgegaan met het Nieuwe Werken en Mobile Devices binnen UWV?
• Hoe realiseert u snelheid en flexibiliteit in het verwijderen en toevoegen van toegangsrechten?
• Waar raakt Access Governance dit thema? En waar raakt dit thema Access Governance?

Bart van Staveren, Senior Beleidsadviseur, CIO Office UWV

STROOM B
Uitdaging 2: Integriteit van data
13.15 Wetgeving (WBP, Sarbanes-Oxley) en standaarden (ISO-27001, PCI DSS) bevatten o.a. voorschriften op het gebied van toegang tot en de integriteit van gegevens. Om de door deze wet- en regelgeving beoogde transparantie te verwezenlijken moet de governance op toegang en integriteit op orde zijn.

• Hoe zorgt u dat de toegang tot uw data en services
• integer is?
• Hoe betrouwbaar zijn uw gegevens eigenlijk?
• Hoe zit dat in de Cloud?
• Reflectie: welke problematiek zit achter de dagelijkse problemen?

Rieks Joosten, Research Consultant, TNO

STROOM A
Uitdaging 3: Veiligheid internetverkeer
13.45

• Hoe bereidt u zich voor op een cyberinbraak?
• Hoe betrouwbaar zijn beveiligingscertificaten tegenwoordig nog?
• Welke kennis is nodig over risico's op het gebied van internetsecurity?

Brenno de Winter, journalist

STROOM B
Uitdaging 4: Fusies
13.45 Achmea als fusiebedrijf: met de impact van fusies op autorisatiebeheer

• Wat betekent een fusie voor de implementatie van autorisatiebeheer gedurende het uitrolproces?
• Welke factoren spelen een rol bij de integratie van autorisatiebeheer bij een fusie?
• Hoe integreer je verschillende rollenmodellen en goedkeuringsflows?

Martien Reiffers, Programma manager Identity Management, Achmea

14.45 Middagpauze en netwerken

Het Access Governance Café

15.15 Kies 2 thematafels. U gaat een half uur in gesprek over dé belangrijkste Access Governance thema’s. Stel uw praktijkspecifieke vragen en profiteer van de kennis van uw vakgenoten. De thematafels staan onder leiding van uw tafelvoorzitter. Aan het eind van het Access Governance Café lichten diverse tafelvoorzitters de uitkomsten kort toe.

Thematafel 1: Compliance, wet en regelgeving
Uw tafelvoorzitter: Jeroen Terstegge, Executive Director, PrivaSense & Hoofdredacteur, Privacy en Compliance

Thematafel 2: Access Governance in relatie tot Privacy

• Privacy is dood – toegangsbeheersing op social media bestaat niet
• Privacy is springlevend – maar de huidige wet- en regelgeving lopen lichtjaren achter
• 'Access' legt de klemtoon op 'preventie van toegang'. Draai het eens om!
• Rond privacy zijn er veel tranentrekkers. Kom eens met succesverhalen!
  Uw tafelvoorzitter: Dr. Ir. Paul Overbeek RE, Docent "Information Security & Risk Management" bij de TiasNimbas Businessschool en de Amsterdam Business School. Partner OIS Information Risk & Security Management

Thematafel 3: Aansluiting en vertaalslag van Access Governance richting de business

• Draagt Access Governance bij aan de bedrijfsbusiness, bijvoorbeeld in de vorm van tijd en geld?
• Hoe kijkt de business aan tegen de noodzaak van Access Governance?
• Wat zijn de taken en verantwoordelijkheden van de business voor het invulling geven aan Access Governance?
• Waaraan moeten (hulp)middelen voldoen zodat de business optimaal aan haar taken en verantwoordelijkheden invulling kan geven?
  Uw tafelvoorzitter: Jean-Pierre Vincent, Senior consultant, Traxion

Thematafel 4: Identity & Access Management v.s. Access Governance

Thematafel 5: Het nieuwe werken, hoe zorg je voor een sluitende aansturing op zowel technisch als organisatorisch vlak?

• Impliceert HNW dat uw gebruikers anoniemer worden, dat u minder grip heeft over de locatie, het moment en de manier waarop uw applicaties en informatie benaderd worden?
• Als oude beveiligingswetten niet meer gelden in een HNW situatie, welke eisen stelt u dan aan uw Access Governance en Identity & Access Management voorzieningen?
• Welke rol speelt (Master) Data Management in HNW?
  Uw tafelvoorzitter: Casper Teijema: Identity & Access Governance, NetIQ

Thematafel 6: Toegangsbeveiliging in de Cloud, hoe houdt u hier grip op?

• Hoe kunt u het huidige beleid voor toegangsbeveiliging uitbreiden voor de Cloud?
• Welke standaarden en technologieën zijn beschikbaar voor het uitwisselen van toegangsinformatie?
• Hoe beheert u het toegangsbeleid? Op basis van welk model en welke services?
• Hoe voert u een gedegen controle uit in de Cloud? Hoe controleert u trust en niveaus van trust?
  Uw tafelvoorzitter:Maarten Wegdam, Principal Research, Novay

Houd de website in de gaten voor meer tafelvoorzitters

16.30 Afsluiting inhoudelijk programma door uw dagvoorzitter

17.00-19.00 Uitgebreide netwerkborrel
Onder het genot van een drankje en een hapje een perfecte gelegenheid om bij te praten, te netwerken en met uw vakgenoten de dag te evalueren. De files lossen vanzelf op wanneer u richting huis rijdt.

Verdiepingsdag: woensdag 7 december
Access Governance: van project naar proces
(Locatie: Coengebouw, Amsterdam)

Access Governance: beheer van uw verificatieproces

• Wat is Access Governance?
• Waarom Access Governance?
• Aanpak op hoofdlijnen
• Attestatie & certificatie
• Relatie met Identity & Access Management

Implementatie van Access Governance in detail

• Hoe start u een Access Governance project?
• Hoe implementeert u Access Governance als intern verificatieproces?
• Hoe te komen tot een juiste scope van het verificatieproces?
• Hoe komt u tot een controleerbaar en auditeerbaar verificatieproces?
• Hoe richt u het autorisatiebeheer & verificatie flexibel in voor een veranderende organisatie?
• Hoe te komen tot valide bedrijfsregels?
• Impact van Cloud Computing

Inzichtelijke rapportages

• Wat definieert u als belangrijke KPI’s (ghost accounts, beveiligingsrisico’s, etc.)?
• Hoe maakt u uw autorisatiebeheer inzichtelijk voor Financial Auditing, Risk en Compliance?
• Hoe stelt u rapportages op, zodat u een overzicht van geaccordeerde en niet-geaccordeerde afwijkingen en uitzonderingen en status follow-up hebt?
• Hoe past u uw autorisatiematrix aan op basis van de uitkomsten van de rapportages?

Relatie met IAM in detail: van detectief naar preventief

• Bepalen ambitieniveau
• Mogelijke groeiscenario’s richting preventieve controlemaatregelen

Access Governance in de praktijk

• Demonstratie van de aanpak aan de hand van een concrete case met behulp van analysesoftware

Praktijkopdrachten
Gedurende de verdiepingsdag zullen diverse cases/praktijkopdrachten aan bod komen. Bijvoorbeeld het definiëren van een RACI-matrix voor het Access Governance proces als onderdeel van het interne controle raamwerk of het komen tot bedrijfsregels en het bepalen van rapportage items.

Uw expert:
Joris ter Hart, Manager, KPMG IT Advisory

Dagindeling
08.30 Ontvangst met koffie en thee
09.00 Start verdiepingsdag
11.00 Pauze
12.30 Lunch
13.30 Start middagprogramma
15.00 Pauze
17.00 Einde programma