• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

VU Information Risk Management Security Management 2010 JvdV

on

  • 707 views

 

Statistics

Views

Total Views
707
Views on SlideShare
706
Embed Views
1

Actions

Likes
1
Downloads
0
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

VU Information Risk Management  Security Management 2010 JvdV VU Information Risk Management Security Management 2010 JvdV Presentation Transcript

  • PART 31A Information Risk Management & Security Management Paul Samwel (Rabobank) Jurgen van der Vlugt (Noordbeek) 29 maart 2010 File 31A_Information_Risk_Management_&_Security_Management © 2010
  • PS/JV/VU Opbouw Information Risk Mgt & Security Mgt MRT/2010 Onderwerpen: • Organisatie van Informatiebeveiliging • Autorisatiebeheer • Risico analyse & Gegevensclassificatie • Integrated Security & Fraud Management • Security Management & Outsourcing IRM & Security Management 2
  • PS/JV/VU 1. Organisatie van informatiebeveiliging MRT/2010 Organisatorische ophanging Functies in informatiebeveiliging Informatiebeveiligingsplan Omgang met incidenten CERT SOC Autorisatiebeheer ORM & IRM IRM & Security Management 3
  • PS/JV/VU Organisatorische ophanging MRT/2010 IRM & Security Management 4
  • PS/JV/VU Organisatorische ophanging MRT/2010 • Volgende ophangingsmogelijkheden komen voor: – Onderdeel Risico Management – Integrale veiligheid – Onder ICT • Ophanging buiten ICT wenselijk maar niet gebruikelijk. • Directe rapportagelijn altijd buiten ICT noodzakelijk IRM & Security Management 5
  • PS/JV/VU Functies: Chief information security officer MRT/2010 • Organisatiebreed • Primaire taak is beleidsvorming • Richt zich op “ wat” • Uniforme / organisatiebrede trajecten. IRM & Security Management 6
  • PS/JV/VU Functies: Information Security Architect MRT/2010 • Primaire taak is onderhouden informatiebeveiligingsarchitectuur • Richt zich op “hoe” op hoogste abstractieniveau. • Efficiency en haalbaarheid oplossingen • Veelal ook als controlling architect betrokken bij realisatietrajecten IRM & Security Management 7
  • PS/JV/VU Functies: Information Security Officer MRT/2010 • Onderdeel van Business organisatie • Normstellend voor ICT applicaties • Functioneel van aard • Naleving in businessprocessen • Naleving gebruikersorganisatie IRM & Security Management 8
  • PS/JV/VU Functies: Information Security Manager MRT/2010 • Onderdeel ICT organisatie • Sturend op informatiebeveiliging voor gehele ICT organisatie • Naleving ICT applicaties • Normstellend ICT infrastructuur • Naleving ICT organisatie • Technisch van aard • Functionele sturing op Informatiebeveiligingsspecialisten • Integrale risicobeheersing => onderdeel taken risicomanager IRM & Security Management 9
  • PS/JV/VU Information Security Specialist MRT/2010 • Onderdeel van lijnorganisatie • Primaire focus is naleving in ICT producten en processen. • Veelal een rol (niet full time) • Specialisatie is deels betrekking op beveiliging en deels op aandachtsgebied waar werkzaam. IRM & Security Management 10
  • PS/JV/VU Functierelaties volgens “functies in informatiebeveiliging” MRT/2010 IRM & Security Management 11
  • Functierelaties volgens “functies in PS/JV/VU informatiebeveiliging” MRT/2010 IRM & Security Management 12
  • PS/JV/VU Relatie IT audit en Informatiebeveiligingsfuncties. MRT/2010 IRM & Security Management 13
  • PS/JV/VU Relatie met Compliance (officer) : MRT/2010 • Compliance = Het voldoen aan wet- en regelgeving, of het proces om daar (terug) te komen • Wetten, regelgeving, regulators – Security • SOx enzo, zucht • WCC II (Computervredebreuk..?) • Privacy • Bewaarplicht • Auteursrecht, licenties, … • Sectorspecifiek (ROB/ROC-WTK, Basel-II, Mifid, …) • Vage regels, harde boetes (tsja, juristen…) IRM & Security Management 14
  • PS/JV/VU Compliance – IT-security MRT/2010 • Regels: zie vorige • Impact op IT-security: Afhankelijk van scope • IT, operationeel gericht: Weinig merkbaar • IT, geïntegreerd met ‘de business’: Alles anders • Wet- en regelgeving komt uit kokers ‘zonder’ begrip van dagelijkse IT-werkelijkheid • Technisch/economisch onmogelijk, onhaalbaar (NB: Soms smoesje! Zie webverkeersgegevens) • In 1 regeltje mogelijk veel impact óf • Veel regeltjes, gaat nergens over • Goed Huisvaderschap versus Fort Knox IRM & Security Management 15
  • PS/JV/VU Compliance -- standaard MRT/2010 • Afdwingen van Management Control Cycle • Nadruk op proces en rapportage • Doel is aantoonbare volledigheid => Omissies worden zichtbaar zodat ze opgelost kunnen worden • Gevaar van aandacht voor administratieproces ten koste van risicoreductie. IRM & Security Management 16
  • PS/JV/VU Informatiebeveiligingsplan MRT/2010 • Jaarlijks beveiligingsplan als basis PDCA cyclus. • Middel om beveiliging bespreekbaar te maken. • Jaarlijkse toets van organisatie aan beleid. • Bevat veelal: – Terugblik op vorig jaar – Trends en risicoontwikkelingen – Bijgesteld Risicoprofiel – Bijgestelde Risk Appetite – Informatiebeveiligingsactiviteiten komend jaar – Schets beveiligingsorganisatie • Is basis voor voortgangsrapportage (check) IRM & Security Management 17
  • PS/JV/VU Risicoprofiel MRT/2010 • Welk risicokader is relevant voor de bedrijfstak • Welke risico’s zijn relevant voor het bedrijf • Welke risico’s zijn relevant voor bedrijfsonderdeel gegeven haar rol in bedrijf. IRM & Security Management 18
  • PS/JV/VU Risk Appetite MRT/2010 • Het beeld (op hoog abstractieniveau) van de risicobereidheid van het bedrijfsonderdeel • Wordt gebruik bij besluitvorming inzake risicobeheersing • Is instrument voor manager (niet voor werkvloer) • Eventueel ondersteund door Riskboard. • Gelijk voor heel het bedrijfsonderdeel. Geen vertaling per afdeling IRM & Security Management 19
  • PS/JV/VU 2. ITIL Security Management MRT/2010 • Laatkomer in de ITIL-reeks • Nederlands product • No nonsense, KISS • … hoewel: alleen hoofdlijnen • Best Practice is ook maar een mening IRM & Security Management 20
  • PS/JV/VU Plaatje MRT/2010 ITIL security management CUSTOMER defines requirements based on business needs Service Level Agreement / /Security section REPORT REPORT ••conform SLA SECURITY Service Level Agreement Security section ••agreed between customer and provider agreed between customer and provider conform SLA IT SERVICE PROVIDER implements PLAN: PLAN: Security Management to comply with SLA ••Service level agreement Service level agreement ••Underpinning contracts Underpinning contracts MAINTENANCE: ••Operational Level agreements Operational Level agreements MAINTENANCE: ••Policy statements ••Learn Learn Policy statements ••Improve Improve CONTROL: ••plan CONTROL: IMPLEMENT: plan •• Get organised Get organised IMPLEMENT: ••implementation implementation •• Establish management •• Create awareness Establish management Create awareness framework framework •• Classification & registration Classification & registration •• Allocate •• Personnel security Personnel security EVALUATE: Allocate •• Physical security EVALUATE: responsibilities responsibilities Physical security ••Internal audits Internal audits •• Security management computers, Security management computers, ••External audits External audits networks, applications ... networks, applications ... ••Self assessments Self assessments •• Control & management of access Control & management of access ••Security incidents Security incidents rights rights •• Security incident handling, Security incident handling, registration registration •• … (in fact: this is ISO/IEC 17799) … (in fact: this is ISO/IEC 17799) IRM & Security Management 21
  • PS/JV/VU Attentiepunten – nr. X MRT/2010 IRM & Security Management 22
  • PS/JV/VU Omgang met incidenten MRT/2010 Waarom incidentbeheer: • Schade minimaliseren • Incidenten zijn indicatoren voor falende of ontbrekende maatregelen • Bijsturen beveiliging Problemen: • Volume van incidenten (incident versus problem) • Bijna schades vs schades • Schade minimaliseren vs fraudeur pakken IRM & Security Management 23
  • PS/JV/VU Incidentbeheer MRT/2010 • Labeling van alle incidenten is gewenst. • Periodieke trendanalyse op gelabelde “kleine incidenten” • Ernstige verstoringen op beveiliging analyseren. • Bij fraude: managementbeslissing tussen schade minimaliseren en dader pakken, voor de zekerheid gegevens veiligstellen. IRM & Security Management 24
  • PS/JV/VU Computer Emergency Response Team MRT/2010 • Waarschuwingen over kwetsbaarheden van verschillende bronnen. • Urgentie en betrouwbaarheid niet altijd duidelijk. • Snelheid patchen afhankelijk van urgentie • Uniformiteit in patchmanagement wenselijk • Waarschuwingsdienst centraliseren = CERT • Inkopen mogelijk • Generiek (platformen etc) of branche gerelateerde info. IRM & Security Management 25
  • PS/JV/VU Security Operations Center MRT/2010 Diverse uitvoerende beveiligingstaken: • Event monitoring • Coordinate Patch-proces • Vulnerability scanning • Key Management • Autorisatiebeheer • Beheer firewall rules => Bundeling (enkele van) deze taken in SOC kan volume creëren voor nette processen en bezetting met hoge beschikbaarheid IRM & Security Management 26
  • PS/JV/VU Autorisatiebeheer: Rol based access control MRT/2010 • Relatie gebruiker (n) – applicatiefunctie (m) • Aantal autorisaties = n*m • Role based access control: • Gebruiker (n) – rol (x) – applicatiefunctie (m) • Aantal autorisaties = n * x + x * m IRM & Security Management 27
  • PS/JV/VU Autorisatiebeheer: Identity Management MRT/2010 Veel applicaties eigen gebruikers en autorisatiebeheer: • Volume onbeheersbaar en inefficient • Slecht beheer Identity management • Enkelvoudige opslag van identiteiten en autorisaties (b.v. rollen). • Nette procedures (koppeling HR etc) IRM & Security Management 28
  • PS/JV/VU ORM & IRM MRT/2010 • IRM is onderdeel ORM • Gestructureerde IRM heeft vaak langere historie – ORM profiteert van IRM • ORM heeft aandacht en aansluiting businessdoelen – IRM profiteert van ORM • Processen samenvoegen uit efficiency: – Omgang met incidenten en schades – Risico analyses en acceptatie – Voortgangsbewaking • Integraal risicomanagement = ORM, IRM en BCM gecombineerd IRM & Security Management 29
  • PS/JV/VU Samenwerking lijn en staf MRT/2010 Verantwoordelijkheid en merendeel uitvoering is in de lijn maar specialistische deskundigheid vaak in staf. • Verantwoordelijkheden duidelijk uitschrijven (ACP) • Afwijkingen en voorbereiden besluitvorming in Risk Board IRM & Security Management 30
  • PS/JV/VU Autorisatiebeheer MRT/2010 IRM & Security Management 31
  • PS/JV/VU 2. Autorisatiebeheer “=” (?) logisch toegangsbeheer; samenhang I MRT/2010 Randvoorwaarden en eisen • AO/IC van gebruikersorganisatie en IT-organisatie • Rollen, personen, apparaten Trigger Logisch Toegangbeheer • Aanvragen Deelproces ACC: Bevoegdhedenbeheer Centraal I&A-middelen • User-ID • Wachtwoord Decentrale • Token I&A-middelen Resultaat • Certificaat etc. Toegang tot doelobject Deelproces VBD: Deelproces IDC: Deelproces AUT: Verbindings- Identiteitcontrole Autorisatiebeheer Applicatie Remote access mogelijkheden Gegevens Gegevens Draadloos Relatie met andere processen LOG MON IRM & Security Management 32
  • PS/JV/VU Bevoegdhedenbeheer MRT/2010 Randvoorwaarden en eisen • AO/IC Defensie • Personen en apparaten • AO/IC IVENT • Koppelingen • Rollen • Beveiligingattributen Resultaat Trigger van gebruiker, Distributie van I&A- systeem of bedrijfsvoering middelen aan personen en systemen • Aanvraag I&A-middel Aanmaken, muteren Ja en verwijderen Distributie • Actualisatie status Analyse en • Mutatie I&A-middel beoordeling • Verwijderen I&A-middel Correcties Nee Indien nodig Centraal Periodieke verificatie I&A-middelen en analyse • User-ID • Wachtwoord Distributie naar • Token decentraal • Certificaat etc. (Automatisch of Decentrale handmatig) I&A-middelen Logging IRM & Security Management 33
  • PS/JV/VU (Verbindingsmogelijkheden) MRT/2010 Deelproces ACC: Bevoegdhedenbeheer Centraal I&A-middelen • User-ID • Wachtwoord Decentrale • Token I&A-middelen Deelproces VBD: • Certificaat etc. Verbindingsmogelijkheden Netwerk Deelproces IDC: Deelproces AUT: Identiteitcontrole Autorisatiebeheer Remote access Draadloos IRM & Security Management 34
  • PS/JV/VU Identiteitscontrole MRT/2010 Centraal I&A-middelen • User-id per doelsysteem • Wachtwoord • Token Decentrale • Certificaat etc. I&A-middelen Nee Identificatie Ja Authenticatie Trigger • Kennis Ja Pad maken Resultaat • Verzoek tot toegang • Bezit naar doel- tot een doelsysteem • Biometrisch systeem Geautoriseerde • Techniek toegang • Combinatie Persoon Inlog- • Individuele gebruiker dialoog Nee • Functionele gebruiker • Beheerder • Groep Techniek • Systemen • Apparaten Logging IRM & Security Management 35
  • PS/JV/VU Autorisatiecontrole MRT/2010 Deelproces ACC: Bevoegdhedenbeheer Resultaat: Deelproces AUT: Toegang tot Centraal Autorisatiebeheer doelobject I&A-middelen • User-ID • Wachtwoord Decentrale • Token I&A-middelen • Certificaat etc. Gegevens Verbindingsmogelijkheden Verzoek tot • Read Gegevens • Write Ingelogd user-id op doelsysteem • Execute Ja Identiteitcontrole Deelproces VBD: • Update etc. Deelproces IDC: Sessiebeheer Autorisatie? Versleutelde gegevens Applicatie Nee Laden Software Applicatie Logging IRM & Security Management 36
  • PS/JV/VU Samenhang II MRT/2010 Deelproces 1: I&A-middelen Deelproces 2: Identiteitcontrole en connectie Gebruiker Bedrijfsvoering Gebruiker of systeem Aanvraag voor nieuw Mutaties op personen Aanvraag voor of mutatie en functies toegang tot user-ID Verificatie blijvende Autorisatie tot gebruik user-ID? Nee Nee Toestemming actualiteit en integriteit Ja Doelsysteem Centraal Validatie • Aanmaken Autorisaties binnen Active • Actualiseren I&A-middelen Ja systeem Directory • Muteren • User-ID per doelsysteem Veilig pad • Verwijderen Functies • Wachtwoord • Token • Certificaat etc. Distribu tie naar dec e ntraal Distributie naar personen of systemen I&A-middelen • Lokaal Distributie naar harde middelen zoals tokens en apparatuur Logging Logging Logging IRM & Security Management 37
  • PS/JV/VU Plaatje dynamisch (Everett) MRT/2010 IRM & Security Management 38
  • PS/JV/VU Policy & Administration MRT/2010 • Identity administration • Pseudo-identiteiten ..? • Self Service • Wie (sic) heeft recht (sic) op self service ..? • Entitlement management • Least privilege • Dis-entitlement ..? • Wie bepaalt !? • Granulariteit? • Administratief… • Authorisation management • ‘RBAC’, of XYZ-AC ..? • Incl context ..? • Granulariteit? IRM & Security Management 39
  • PS/JV/VU Roll-out / Operations MRT/2010 • Provisioning • Daadwerkelijk inkloppen • Administratief • Technisch • ‘SSO’ geautomatiseerd of handmatig • Re-provisioning ..? • Single Sign-On • Waarom eigenlijk? Gebruiksgemak versus beveiliging • Beperkt gebruik tot 1 rol • Niet atomaire handelingen, maar ‘aanwezigheid’ IRM & Security Management 40
  • PS/JV/VU Subject/object MRT/2010 • Access enforcement on systems, services and information objects • Wat is de scope ..? ‘Het’ netwerk, ‘service’ of ‘applicatie’ ..? • Granulariteit !? • Dis-entitlement ..? IRM & Security Management 41
  • PS/JV/VU Monitor & Report MRT/2010 • Compliance dashboard • Issue list? • Security Incident & Event Monitoring (SIEM) • Moet SEIM zijn • Vierkante oogjes + pizza’s ‘s weekends • Breder perspectief: CERT, plus continuïteit ..? • Soll-Ist comparison • Inhoudelijk • Inspectie ≠ ‘audit’ ..? • Soll = norm, Ist = maatregelen …!? • Access attestation / certification • ‘Non-repudiation’ IRM & Security Management 42
  • PS/JV/VU Identity …? MRT/2010 IRM & Security Management 43
  • PS/JV/VU Afsluiting: Identity = ? MRT/2010 • Een stukje abstracter… • Wat is identiteit? • Tijdgebonden Wie lijkt er nog op zijn/haar paspoortfoto? Van 9 tot 5 of Het Nieuwe Werken ..? → • → Situatiegebonden • Reputatie, moral hazard, herstel na boetedoening ..? • Bootstrappen of marge van onzekerheid ..? IRM & Security Management 44
  • PS/JV/VU 3. Classificatie als instrument voor Security management MRT/2010 Classificatie: • Waarom classificatie • Vormen van classificatie • Classificatie in beveiligingsbeleid • Classificatie van toepassingen • Classificatie van infrastructuur IRM & Security Management 45
  • PS/JV/VU Waarom Classificatie MRT/2010 Probleem: • Business moet leidend zijn bij beveiliging • Business moet norm stellen • Business heeft geen kennis van beveiliging(smaatregelen) • Beveiligingsnorm moet eenduidig zijn Classificatie als instrument om business eenduidig de norm te laten bepalen. IRM & Security Management 46
  • PS/JV/VU Vormen van classificatie MRT/2010 Op basis waarvan classificeer je: • Aard van de gegevens • Business impact van de bedrijfsprocessen Wat label je: • Data(stromen) • Documenten • Applicaties • Bedrijfsprocessen • ICT producten IRM & Security Management 47
  • Classificatie in strategie PS/JV/VU MRT/2010 Identificatie verantwoordelijken taktische & operationele standaarden Classificatie BIV-code Risico analyse concept maatregelset Vaststellen maatregelset definitieve maatregelset Implementatie Omgaan met incidenten en afwijkingen IRM & Security Management 48
  • Classificatie in standaarden PS/JV/VU MRT/2010 B I V 6 .3 D e au th en ticatie d ien t in 1 . E r k a n w o rd en v astg esteld d at d e h erk o m st - 1 1 o v eree n stem m in g te zijn v an d e se ssie a fk o m stig is v an e en m e t d e class ificatie. n etw e rk d o m ein b eh o ren d e b ij d e R a b o b an k g ro ep . 2 . D e id e n titeit v a n d e in d iv id u ele g eb ru ik er - 2 2 w o rd t v astg este ld d o o r co n tro le v an e e n g eh eim (statisc h ) w a ch tw o o rd 3 . D e id e n titeit v a n d e in d iv id u ele g eb ru ik er - 3 3 w o rd t v astg este ld d o o r co n tro le v an e e n m id d e ls sterk e au th e n ticatie g eg e n ere erd e een m alig g eld ig e co d e. (b .v . tijd safh an k elijk e co d e o f “ch allen g e resp o n se” o p b asis v an en c ry p tie.) IRM & Security Management 49
  • PS/JV/VU Identificatie verantwoordelijken MRT/2010 De commercieel verantwoordelijke van het product of de dienst: • Specificeert de norm in de vorm van classificatie (BIV- code) • Is opdrachtgever risico analyse • Accepteert restrisico’s en stelt maatregelenset vast • Faciliteert (betaalt) implementatie maatregelen Indien risico’s de reikwijdte van de commercieel verantwoordelijke overstijgen is afstemming noodzakelijk. IRM & Security Management 50
  • PS/JV/VU Identificatie verantwoordelijken MRT/2010 De ICT dienstverlener: • Implementeert maatregelen uit risicoanalyse in applicaties • Informeert business eigenaar over omissies in maatregelen • Classificeert standaard ICT producten • Implementeert maatregelen in standaard ICT producten. IRM & Security Management 51
  • ge PS/JV/VU Classificatie i uid MRT/2010 nd ee BIV-code: specificatie van vereiste beveiligingsniveau Laag Midden Hoog Beschikbaarheid 1 2 3 Integriteit 1 2 3 Vertrouwelijkheid 1 2 3 Door middel van Business Impact Analyse IRM & Security Management 52
  • PS/JV/VU Classificatie criteria MRT/2010 Bepaal soort gegevens en belang applicatie B: Maximale uitvalsduur in geval calamiteiten en storingen I : Noodzakelijke volledigheid, juistheid en onweerlegbaarheid, kans op /belang bij inbreuk. V: Imagoschade of aansprakelijkheid bij onbedoelde onthulling, kans op/belang bij inbreuk IRM & Security Management 53
  • PS/JV/VU Risico Analyse MRT/2010 meer Restrisico’s minder Bedreigingen Maatregelen schadetypering schade-impact schade-omvang schadekans Risico-evaluatie IRM & Security Management 54
  • PS/JV/VU Risicoanalyse proces: Voorbereiding MRT/2010 IRM & Security Management 55
  • PS/JV/VU Risicoanalyse proces: Uitvoering MRT/2010 Start Naar eerdere fase ... Ja Rule Based Normenkader beschikbaar? Nee 7 Normen check Risico's volledig afgedekt? Nee Ja 8 Uitgebreide risico analyse 14 Kwaliteitscontrole 9 Maatregelen analyse Akkoord? 10 Maatregelen Nee selectie Ja 11 Maatregelen beschrijving Naar afsluiting 12 Restrisico bepaling 13 Risico strategie bepaling IRM & Security Management 56
  • PS/JV/VU Risico Analyse MRT/2010 • BIV-code is basis voor risicoanalyse • Risicoanalyse vertaalt BIV-code naar maatregelen. • Primair kijken naar beschikbare standaarden • Secundair analyse van bedreigingen die niet door standaarden worden afgedekt en analyse compenserende maatregelen • Risico analyse bevat maatregelpakket en restrisico’s IRM & Security Management 57
  • PS/JV/VU Alternatief voor kwantitatieve risico analyse MRT/2010 • Kwantiatief: • Annualized Rate of Occurrence, ARO = Kans • Single Loss Expectancy, SLE = Schade per keer • Annual Loss Expectancy = Schade per jaar • ARO x SLE = ALE = max budget maatregelen? • Maar: • Waarden zijn vaag => uitkomst is erg vaag • Classificatie kan helpen eenduidigheid te behouden zonder foutgevoeligheid als gevolg van vermenigvuldiging vage waarden IRM & Security Management 58
  • PS/JV/VU Vaststellen maatregelset MRT/2010 Doelen: • Expliciet vaststellen (te implementeren) maatregelset • Accepteren restrisico door opdrachtgever en eventueel andere partijen die “risico lopen” • Informeren van hoger echelon ter toetsing van de acceptatie • Zorgt ervoor dat lijnafdelingen verantwoordelijkheid voelen en dragen. • Verlenen “decharge” aan projectleider en security manager. IRM & Security Management 59
  • PS/JV/VU Implementatie MRT/2010 • Fase waarbij er in principe geen wijzigingen optreden in functioneel maatregelpakket: • Technisch ontwerp • Coderen • Testen • Inrichten infrastructuur • Wel terugkoppeling (iteratie) indien maatregelen niet haalbaar blijken. • Testen van effectiviteit beveiliging in testfase. • Testen van werking maatregelpakket • Testen op bekende kwetsbaarheden (pen.test vuln.scan) IRM & Security Management 60
  • PS/JV/VU Classficatie van infrastructuur MRT/2010 • Infrastructuur bestaat uit standaard producten met standaard beveiliging • ICT Productmanager bepaalt classificatie van ICT product op basis van: • Gewenste beveiliging door (merendeel van) afnemers • Verkoopbare prijs voor product. • Applicatieeigenaar toetst of Classificatie van standaard ICT componenten voldoende is om applicatieclassificatie te halen. Zo niet: • Applicatieve maatregelen • Maatwerk infrastructuur IRM & Security Management 61
  • Strategie Stap 5: PS/JV/VU Classificatie van infrastructuur MRT/2010 Functionaliteit = 222 A/O = 222 Software 222 Infrastructuur Server platform = 222 Netwerk = 322 Firewall = 222 Middleware component = 211 IRM & Security Management 62
  • PS/JV/VU Leerpunten MRT/2010 • Classificatie gaat pas leven als: • Duidelijk is hoe verschillende classificaties leiden tot verschillende maatregelpakketten. • Iedereen erom vraagt, dus verankeren in systeemontwikkelings en projectmethodieken. • Standaard ICT producten ook geclassificeerd zijn. • Dankzij classificatie ook wel eens duidelijk wordt dat maatregelen niet nodig zijn (en het dus goedkoper kan) IRM & Security Management 63
  • PS/JV/VU Slot classificatie MRT/2010 • Consistent inzetten van classificatie zorgt ervoor dat veel beveiligingsvraagstukken gewoon “ af te lezen zijn”: • Voor 80% van de beveiligingsvraagstukken hoef je dus niet meer “na te denken” en heb je minder “administratieve last” . • Die 80% is (deels) uit te voeren door niet-specialisten. • Schaarse tijd besteden aan spannende 20 % IRM & Security Management 64
  • PS/JV/VU Classificatie en auditor MRT/2010 • Classificatie zorgt ervoor dat beveiligingsnorm eenduidig gespecificeert wordt. • Beveiligingsstandaarden bieden gedetailleerde vertaling naar maatregelen. ( toetsingsnorm ) • Biedt instrument om bevindingen te kunnen bespreken met hogere echelons zonder technisch jargon. IRM & Security Management 65
  • PS/JV/VU Beleid in de lijn MRT/2010 • Abstractiniveau 27001 is vaak te hoog voor eenduidigheid voor de lijn. • 27001 controls toewijzen aan lijnafdelingen. • Lijn moet zelf een vertaling doen naar details zoals parameters, systeeminstellingen en dergelijke. • Volume van vertaling (= parameterlijsten etc) is gigantisch, noodzaak voor: • Geautomatiseerde configuratie • Geautomatiseerde toetsing IRM & Security Management 66
  • PS/JV/VU Geautomatiseerde configuratie MRT/2010 • Vroeger vaak platformstandaarden opgesteld door bedrijven. • Nu komen platformstandaarden vaak mee als onderdeel van systemen. • Onderhoud bij leverancier = specialist • Beheerprogrammatuur kan direct de norm toepassen • De “ afnemer” maakt soms selecties en bekrachtigd leveranciersnorm als standaard. IRM & Security Management 67
  • PS/JV/VU Geautomatiseerde toetsing MRT/2010 • Op detailniveau parameters zijn een paar afwijkingen vaak nodig. • Toetsingssysteem moet om kunnen gaan met afwijkingen: • Geautomatiseerde systemen of scripts voor toetsing. • Afwijkingen detecteren. • Afwijkingen accorderen. • Daarna geaccordeerde afwijkingen als systeemspecifieke toetsingsnorm. IRM & Security Management 68
  • PS/JV/VU Slot risk organisation & risk analysis MRT/2010 • Enisa heeft veel info over het onderwerp: • http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/rm-process/risk-assessment/ IRM & Security Management 69
  • PS/JV/VU 4. Integrated Security MRT/2010 • Traditionele silo’s • Samenwerken is moeilijk • Zal toch moeten • Upside: COSO ERM Asset Protection, de harde elementen IRM & Security Management 70
  • PS/JV/VU Traditioneel gescheiden werelden MRT/2010 • (Fysieke) Beveiliging v.v. IT Security • Operational Risk Management • Business Continuity Management • Ieder een eigen silo Veel kleine foutjes; gemakkelijk herstelbaar of insignificant Fre quen Opera Materiële (significante) schade; komt met enige tie tio regelmaat voor (maar is geen ‘routine’) nele ver liezen Break-the-business incidenten; organisatie overleeft klap niet Beveiligings- incidenten Continuïteitsbedreigingen Schade IRM & Security Management 71
  • PS/JV/VU Ingewikkeld MRT/2010 • Bedreigingen, controls, kwetsbaarheden, schade: • Netwerk van AND/OR-relaties, oorzaak→gevolg? • Controls zwak, incompleet, inconsistent, ongeadresseerd (te duur; geaccepteerd risico’s) Threat Threat Control Control Vulner Vulner Threat Control Vulner Threat Threat Control Control Vulner Vulner Threat Control Vulner Threat Threat Control Control Vulner Vulner Threat Control Vulner ? IRM & Security Management 72
  • PS/JV/VU Ingewikkeld - II MRT/2010 • Threats, vulnerabilities, controls van de soorten • People (extern, intern) • Materials (Input, Output = products) • Real Estate Veel kleine foutjes; gemakkelijk herstelbaar of insignificant • Process Fre quen Materiële (significante) schade; komt met tie Opera • Money Tio enige regelmaat voor (maar is geen ‘routine’) nele • Information ver liezen Break-the-business inci-denten; organisatie over-leeft klap niet • Mensen, Apparatuur, Beveiligings- Programmatuur, incidenten Continuïteitsbedreigingen Gegevens, Organisatie, Schade Omgeving, Diensten (MAPGOOD) IRM & Security Management 73
  • PS/JV/VU Integratie (Convergentie) MRT/2010 • Organisatie: • Naar elkaar toe → aan elkaar → in elkaar migreren • Strategisch, tactisch, operationeel niveau • Fysieke beveiliging, fraude-onderzoek, Infosec (zie BAH-onderzoek) • Volwassenheid: 0: Alles ad hoc 1: IT-security en fysieke beveiliging (en BCM en …) in silo’s 2: Kennismaking, overleg en samenwerking op operationeel gebied (bijvoorbeeld fraude-onderzoek) 3: Aan elkaar ritsen (overlap en gaten voorkomen); overleg over projecten 4: Tactische projecten samen doen, overleg over strategie, aparte reporting 5: Geïntegreerde organisatie (in elkaar geritst) IRM & Security Management 74
  • PS/JV/VU ERM/ORM/IRM als business MRT/2010 • Integrated security, de ‘harde’ kant van ORM • Maar ORM, de onbegrepen kant van COSO • Security business cases blijven moeilijk: • Als het goed is, is er niks te merken van verkregen security ..? • Opbrengsten vaag, maar kosten ook • Metrics: Zijn er niet. Te slecht gedefinieerd. • Nodig: Metrics en trendanalyses. Operationeel, tactisch, strategisch • Zou BAU moeten zijn (reporting) • Aansluitend op Key Risk Indicators etc. binnen ORM! (maar: begrip en/of inzicht van elkaars terreinen ??) • Grote samenkomst van alle ERM-functies …? Dromen … IRM & Security Management 75
  • PS/JV/VU Voorbeelden MRT/2010 • Voorbeelden (nu populair): • Integrated access = 1 pasje voor fysieke en logische toegang • Whistleblowing-systeem • Forensisch onderzoek • Beveiliging portable media (laptop, tapes, USB, PDA) • Tegengaan Information leakage via shoulder surfen, loslippigheid (stoer!), casual mail • Nogmaals: Let op (f)actoren kunnen zowel kwetsbaarheid als bedreiging vormen! Voorbeeld: personeelsbeveiliging • Beveiliging van personeel • Beveiliging tégen personeel (screenen -- herhalen); denk aan functieclassificatie -> IT’ers en dan zeker IT-security staff en, nog erger, IT-auditors ? • Wat te doen met externen … outsourcing van IT? IRM & Security Management 76
  • PS/JV/VU IT Fraude/forensics MRT/2010 • Fraude door IT (personeel) • Fraude door inzet IT hulpmiddelen • Fraude door aanval IT processen • IT forensics IRM & Security Management 77
  • PS/JV/VU Fraude en forensics MRT/2010 • IT als belangrijk(st)e informatiemedium → • IT als belangrijkste kwetsbaarheid én bedreiging → • IT als belangrijkste onderzoeksterrein • IT als belangrijkste terrein voor controls • ‘Security’ en forensisch werk sterk gerelateerd maar pas op: forensics zijn specialisme IRM & Security Management 78
  • PS/JV/VU Fraude: Oude wijn MRT/2010 • Been there, done that; slechts definitiekwestie plus paar nieuwe technieken • Maar hoe effectief waren we (..!) eigenlijk? IRM & Security Management 79
  • PS/JV/VU Nieuwe zakken MRT/2010 • Veranderde techniek, technieken – Complexiteit! – IT → ontastbaar, onzichtbaar • Internationalisatie, fysieke aanwezigheid minder nodig dan ooit • Professionalisering! • Harder, immoreel • Hoewel… triviale fraude blijft voornaamste IRM & Security Management 80
  • PS/JV/VU Fraude, een Inleiding MRT/2010 • Fraude = een vorm van • Bedrog (een derde ontdaan van geld / waardevolle goederen) • Met betrekking tot (wettelijke) controles • Externe fraude = door externen gepleegd • Interne fraude = … • Mediawaarde neemt toe (fraude of reputatie?) • Bedrijfsspionage of Information Leakage IRM & Security Management 81
  • PS/JV/VU Fraude intern MRT/2010 Gelegenheid Druk Rationalisering IRM & Security Management 82
  • PS/JV/VU Fraudedriehoek MRT/2010 IRM & Security Management 83
  • PS/JV/VU Fraudedriehoek - II MRT/2010 • Gelegenheid • Degenen met functioneel hun vingers aan het geld • … allen die zich in zo’n positie kunnen manoeuvreren → IT’ers, IT-security, IT-audit… • Druk • Positief: Bij groep willen horen, schulden, targets moeten halen (of anders..) • Negatief: Afpersing, bedreiging (familie) • Rationalisering: Stillen van het geweten • Ik heb het verdiend • De rest doet het ook • … veronderstelt dat de dader een geweten heeft of een moraal die dezelfde is als de onze IRM & Security Management 84
  • PS/JV/VU Technische ontwikkelingen; gelegenheid… MRT/2010 • RFID, smartcardtechnologie • Web 2.0 (MySpace, Flickr, Google Earth, Ajax), Ubiquitous Computing, Ambient Intelligence • Identificatie en Authenticatie • ID-theft • (Social engineering) • Man-in-the-Middle (trojans) • Autorisatie • Zoals geïmplementeerd, en/of • Zoals bedoeld door wetgever ..? • Integriteit van verwerking? • Zero-day verandering in wetgeving; software netjes getest? • De-perimetrisatie → • Keten van verwerking IRM & Security Management 85
  • PS/JV/VU Fraude extern MRT/2010 Gelegenheid (toegang) Profijt Andere moraal (lol, erkenning, (geen scrupules, winst) politiek activisme, Uitkeringsfraude onopgevoedheid (?)) Bankbreuk (phishing) IRM & Security Management 86
  • PS/JV/VU Ontwikkelingen MRT/2010 • De-perimetrisatie – ‘Web-applicatie’= ? – Portable media – WiFi – Off-boarding – Outsourcing • Aanvallen IRM & Security Management 87
  • PS/JV/VU Steeds vaker beide MRT/2010 Bron: De Telegraaf, 28 september 2004, p. 11 GLAZENWASSERS BETRAPT BIJ INBRAAK IN COMPUTER ING • Twee glazenwassers hebben geprobeerd op een buitengewoon doortrapte manier ING te beroven. Gezien hun werk konden zij overal rondlopen. Zij drongen door tot een centrale computerruimte en plaatsten daar een kastje onder de computer. Hiermee konden zij zowel informatie aftappen als valse informatie invoeren. • Het apparaat was onder andere in staat te achterhalen wat er op de toetsenborden werd ingetypt, inclusief wachtwoorden. Vervolgens werden die gegevens via een zendertje naar buiten gestuurd. • Een bewakingscamera zag de glazenwassers, waardoor zij tegen de lamp liepen. Hen wordt poging tot oplichting en onbevoegd binnendringen in de computerruimte en computer ten laste gelegd. IRM & Security Management 88
  • PS/JV/VU Eenmaal MRT/2010 VHF/UHF antenna 512kb = 500.000+ keystrokes Memory 2 Meg = 2.000.000+ keystrokes Purple = keyboard connection IRM & Security Management 89
  • PS/JV/VU Andermaal MRT/2010 IRM & Security Management 90
  • PS/JV/VU Oplossingen MRT/2010 • More of the same ..! • Plus een béétje techniek • Biometrie • Encryptie rond data-elementen • Tegen voornoemde problemen • Identificatie, authenticatie • Wegnemen factor uit driehoek: gelegenheid • Helpt het? (… trojans) • Maar autorisatie, integriteit van verwerking..? IRM & Security Management 91
  • PS/JV/VU Tegengaan fraude (extern) MRT/2010 • Wapenwedloop, ongelijke strijd • Aantal, ID, localiteit (if any…) tegenstanders • Aantal kwetsbaarheden • Soms ‘onbeperkt’ tijd, geld • Soms middel/doel immoreel (volgens ‘ons’) • Defensief; terugslaan is immoreel / resultaat ..? • Dus: • Focus op controls in de processen: Gelegenheid inperken • ‘Forensics’ door anderen: Audit is geen politiedienst (surveillance)? IRM & Security Management 92
  • PS/JV/VU Tegengaan fraude (intern) MRT/2010 • Kan wel, ‘in-house’ en organisatie versus eenling (?) • (Maar let alsnog op moraliteit van defensie) • Gelegenheid: Controls! Proces- en IT-gericht • Dual control, etc…. Klassieke AO • Controls in IT (klassieke AO implementeren; hw, sw) • General IT controls • Controls zijn niet perfect… fraudeurs zijn creatief (samenspanning?) • Audit! Waaronder stukje surveillance… IRM & Security Management 93
  • PS/JV/VU Tegengaan fraude (intern) - vervolg MRT/2010 • Druk: Ook controls, op personeel… zorg • Screening → regelmatig • Opvang; ook whistleblowing (anoniem vs. zwartmaken?) • Exit • Voorkom negatieve prikkels (w.o. targets…) • Kán (IT-)audit wel vragen stellen? (uitlokking vs. verdachtmaking?) • Rationalisering: Ook controls, op personeel… • ‘Tone at the top’ en publieke waardering / afkeuring • Ook voor/door algehele moraal binnen organisatie IRM & Security Management 94
  • PS/JV/VU Tegengaan fraude – IT-middelen MRT/2010 • CAATs • ‘It’s five o’clock; do you know where your data is? → Denk vanuit informatie! • Processen, ‘systeem’ in brede zin • Architectuur • Deperimetrisatie, ketens… • Beschikbaar stellen (faciliteren) veilig gebruik • Secure telewerken • Secure USB / PDA • Mail screeners tegen information leakage • Continuous Monitoring (!) / Auditing IRM & Security Management 95
  • PS/JV/VU Continuous… MRT/2010 IRM & Security Management 96
  • PS/JV/VU Tegengaan fraude – IT-audit MRT/2010 • Autorisatietabellen (gelegenheid, profijt) • Dual control (gelegenheid) • Encryptie (gelegenheid, profijt) • Logging (achteraf: sporen; druk) • Audit software / IT-forensics (discovery) • Continuous monitoring / auditing • (CAATs) IRM & Security Management 97
  • PS/JV/VU Fraude en forensics MRT/2010 • Weest voorzichtig! • (Herhaald) IT als belangrijkste onderzoeksterrein • Ook al vanwege ‘pervasive’ IT → Spoorzoeken in IT • Wet- en regelgeving dwingt tot voorzichtig werken • Maar het grijze gebied is zeer groot ..! • (Afwezig? Politie) • Het zal nooit weggaan • Be alert IRM & Security Management 98
  • PS/JV/VU 5. Security & Outsourcing MRT/2010 IRM & Security Management 99
  • PS/JV/VU Soorten outsourcing MRT/2010 • Wat outsourcen: • Beheer • Systeemontwikkeling • Business Process • ASP • Etc • Outsourcing van regie of niet • Wel of geen (productie)gegevens • Verantwoordelijkheid voor risicobeheersing kan niet geoutsourced worden IRM & Security Management 100
  • PS/JV/VU Outsourcing: Voorbereiding MRT/2010 • Brede risico analyse (incl inf bev risico’s) als onderdeel van het hele traject • Vroegtijdig starten met • generieke risico’s verbonden aan outsourcing • indentificatie van relevante regelgeving • Verstrekken van relevante eisen aan potentiele partners • Vroegtijdige start zorgt ervoor dat beveiligingskosten nog meegenomen kunnen worden in businesscase • Vroegtijdige start zorgt voor risico-awareness bij betrokkenen IRM & Security Management 101
  • PS/JV/VU Outsourcing: Risicoinventarisatie MRT/2010 • Risico’s van bedrijfsproces • Afhankelijkheid bedrijfsprocessen • Eisen vooraf voldoende helder • Risico’s van partner / opdrachtnemer • Locatie opdrachtnemer • TPM / SAS70 ? • Vergelijkbaar beleid (ISO 27001) • Risico’s van outsouringsproces • Onvoldoende zeggenschap over personeel • Onvoldoende motivatie • Minder mogelijkheid tot iteratie van beveiligingseisen IRM & Security Management 102
  • PS/JV/VU Selectie outsourcing partner MRT/2010 • Bij RFI reeds openheid over spelregels • Opdrachtgever geeft aan wat essentiele spelregels zijn • Opdrachtnemer geeft aan of compliance mogelijk is • Bij RFP verklaart opdrachtnemer hoe omgegaan wordt met spelregels • Realiteit: spelregels zijn meestal geen breekpunt maar bespreking in selectiefase vergemakkelijkt vervolgtraject IRM & Security Management 103
  • PS/JV/VU Outsourcing: het contract MRT/2010 • Contract veelal op hoog abstractieniveau. => geen gedetailleerde spelregels • Wel verwijzingen mogelijk • Detailniveau afhankelijk van aard uitbestede dienst • Afspraken over nieuwe spelregels • Afspraken over hoe om te gaan met non-compliance IRM & Security Management 104
  • PS/JV/VU Outsourcing: Management en operations MRT/2010 • Hoe is de samenwerking • mate van vertrouwen • wederzijds belang bij succes • duidelijkheid in verwachtingenpatroon • Taken en verantwoordelijkheden • Incidentbeheer • Openheid om compenserende maatregelen mogelijk te maken (geen afrekencultuur) • Monitoring • Rapportage over functioneren maatregelpakket • Werking AO/IC binnen opdrachtnemer IRM & Security Management 105
  • PS/JV/VU Outsourcing: Omgang met veranderingen MRT/2010 • Outsourcingsdeals zijn lange termijn afspraken • Zowel opdrachtgever als opdrachtnemer veranderen • Dienstverlening verandert • Niet elk detail is te overzien • Afspraken over veranderingen • In contract • In periodieke bijstelling • Exit strategie? IRM & Security Management 106
  • PS/JV/VU Offshoring: Corruption Perception Index 2004 MRT/2010 Rang Land Index 1 Finland 9.7 10 Nederland 8.7 17 USA 7.5 (met België en Ierland) 90 India 2.8 (met Mozambique, Rusland, e.a.) 145 Bangladesh 1.5 (met Nigeria) bron: Transparancy International IRM & Security Management 107
  • PS/JV/VU Offshoring: Privacy in EU MRT/2010 • Europese regelgeving verbiedt export persoonsgegevens buiten de EU uit angst voor mindere privacywaarborg • Escape door strikte afspraken over privacywaarborgen in verwerking • Eenvoudiger oplossing bij bedrijven die Safe Harbour onderschrijven (bedrijven op Safe Harbour list) voor de dienstverlening IRM & Security Management 108
  • PS/JV/VU Screening van Personeel MRT/2010 • Personeel bij outsourcingspartner kan risico vormen • Opdrachtnemer kan screening niet uitvoeren • Opdrachtgever mag niet beschikken over alle screeningsinformatie (zwarte lijst etc) • Wie wordt gescreend? • Is vooraf duidelijk wie op welk moment gaat meewerken aan het contract • Combinatie van afspraken over screening en aansprakelijk stellen opdrachtnemer IRM & Security Management 109
  • PS/JV/VU Outsourcing van systeemontwikkeling MRT/2010 • Risico’s met systeemontwikkeling: • Onbeschikbaarheid • Fraude • Ongewenste onthulling • Oorzaken: • Programmeerfouten • Ontwerpfouten • Achterdeurtjes IRM & Security Management 110
  • PS/JV/VU Outsourcing van systeemontwikkeling MRT/2010 Programmeer- Ontwerp- Achterdeur fouten fouten Codeerstandaarden gebaseerd op OWASP x Kennis & training x Source Code Analyser x Code review door collega x x Penetratietest / vulnerability scan x x x Risico analyse in functioneel en technisch x ontwerp. Testen van werking van maatregelen x Gedragscode + aansprakelijkheid x IRM & Security Management 111
  • Outsourcing van systeemontwikkeling; PS/JV/VU Open Web Application Security Project (OWASP) top 10. MRT/2010 A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access IRM & Security Management 112
  • PS/JV/VU Outsourcing van beheer MRT/2010 • Inzage in live data en toegang tot netwerk vaak onvermijdelijk • Hoge beschikbaarheid van dienst en service relevant. Tijd- en taalverschillen kunnen lastig zijn • Application Service Providing (ASP) als specifieke variant IRM & Security Management 113
  • PS/JV/VU Outsourcing van beveiligingsfuncties MRT/2010 Managed security services, motivatie • Specialistische kennis • Schaalvoordeel Mogelijke dienstverlening omvat o.a.: • Beheer firewalls • Security Event Monitoring • Penetratietesting • Uitgifte PKI passen IRM & Security Management 114
  • PS/JV/VU Business Process Outsourcing MRT/2010 • Bedrijfsproces outsourcen, veelal als gevolg van specialisatie (back to basics) of kostenreductie • Altijd (productie)data • Vaak concurrentiegevoelige gegevens betrokken IRM & Security Management 115
  • PS/JV/VU Toegang tot infrastructuur MRT/2010 • Outsourcing zorgt voor meer noodzaak tot externe toegang door derden • Waarborgen: • Alleen van dat bedrijf • Alleen die persoon • Alleen naar die omgeving (netwerksegmentatie?) • Alleen naar die applicatie • Alleen noodzakelijke handelingen IRM & Security Management 116
  • PS/JV/VU Outsourcing: samenvatting MRT/2010 • Beveiligingscomplexiteit neemt toe door scheiding tussen specificatie en uitvoering van beveiliging • Contractuele afspraken vormen de brug, maar moeten ook bestand zijn tegen veranderingen • Outsourcing van beveiligingsfuncties kan helpen functiescheiding of kwaliteit te halen voor organisaties die daar standaard geen ruimte voor hebben IRM & Security Management 117
  • PS/JV/VU Samenvattend MRT/2010 • Organisatie van Informatiebeveiliging • Autorisatiebeheer • Risico analyse & Gegevensclassificatie • Integrated Security & Fraud Management • Security Management & Outsourcing IRM & Security Management 118
  • PS/JV/VU Het Einde MRT/2010 Vragen …? IRM & Security Management 119
  • PS/JV/VU Referenties MRT/2010 • Functies in de Informatiebeveiliging: Blackboard • Convergentie van security (op weg naar integrated security): http://www.issa.org/PDF/ConvergenceStudyNov05.pdf • Risk management en security: http://www.noordbeek.com/publicaties.html • Catch me if you can: http://www.amazon.com/ • Oh ja: per 1 september nieuwe Wet computercriminaliteit van kracht. Zie www.iusmentis.com/beveiliging/hacken/computercriminaliteit/ • Overige links: • www.security.nl • ENISA www.enisa.europa.eu • PvIB www.pvib.nl • NICC www.samentegencybercrime.nl • ISSA www.issa-nl.org IRM & Security Management 120