PART 31A
Information Risk Management &
Security Management
File 31A_Information_Risk_Management_&_Security_Management
Paul...
2
PS/JV/VU
MRT/2010
IRM & Security Management
Opbouw Information Risk Mgt & Security Mgt
Onderwerpen:
• Organisatie van In...
3
PS/JV/VU
MRT/2010
IRM & Security Management
1. Organisatie van informatiebeveiliging
Organisatorische ophanging
Functies...
4
PS/JV/VU
MRT/2010
IRM & Security Management
Organisatorische ophanging
5
PS/JV/VU
MRT/2010
IRM & Security Management
Organisatorische ophanging
• Volgende ophangingsmogelijkheden komen voor:
– ...
6
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Chief information security officer
• Organisatiebreed
• Primaire t...
7
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Information Security Architect
• Primaire taak is onderhouden
info...
8
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Information Security Officer
• Onderdeel van Business organisatie
...
9
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Information Security Manager
• Onderdeel ICT organisatie
• Sturend...
10
PS/JV/VU
MRT/2010
IRM & Security Management
Information Security Specialist
• Onderdeel van lijnorganisatie
• Primaire ...
11
PS/JV/VU
MRT/2010
IRM & Security Management
Functierelaties volgens “functies in informatiebeveiliging”
12
PS/JV/VU
MRT/2010
IRM & Security Management
Functierelaties volgens “functies in
informatiebeveiliging”
13
PS/JV/VU
MRT/2010
IRM & Security Management
Relatie IT audit en Informatiebeveiligingsfuncties.
14
PS/JV/VU
MRT/2010
IRM & Security Management
Relatie met Compliance (officer) :
• Compliance =
Het voldoen aan wet- en r...
15
PS/JV/VU
MRT/2010
IRM & Security Management
Compliance – IT-security
• Regels: zie vorige
• Impact op IT-security: Afha...
16
PS/JV/VU
MRT/2010
IRM & Security Management
Compliance -- standaard
• Afdwingen van Management Control Cycle
• Nadruk o...
17
PS/JV/VU
MRT/2010
IRM & Security Management
Informatiebeveiligingsplan
• Jaarlijks beveiligingsplan als basis PDCA
cycl...
18
PS/JV/VU
MRT/2010
IRM & Security Management
Risicoprofiel
• Welk risicokader is relevant voor de bedrijfstak
• Welke ri...
19
PS/JV/VU
MRT/2010
IRM & Security Management
Risk Appetite
• Het beeld (op hoog abstractieniveau) van de
risicobereidhei...
20
PS/JV/VU
MRT/2010
IRM & Security Management
2. ITIL Security Management
• Laatkomer in de ITIL-reeks
• Nederlands produ...
21
PS/JV/VU
MRT/2010
IRM & Security Management
Plaatje
PLAN:
• Service level agreement
• Underpinning contracts
• Operatio...
22
PS/JV/VU
MRT/2010
IRM & Security Management
Attentiepunten – nr. X
23
PS/JV/VU
MRT/2010
IRM & Security Management
Omgang met incidenten
Waarom incidentbeheer:
• Schade minimaliseren
• Incid...
24
PS/JV/VU
MRT/2010
IRM & Security Management
Incidentbeheer
• Labeling van alle incidenten is gewenst.
• Periodieke tren...
25
PS/JV/VU
MRT/2010
IRM & Security Management
Computer Emergency Response Team
• Waarschuwingen over kwetsbaarheden van
v...
26
PS/JV/VU
MRT/2010
IRM & Security Management
Security Operations Center
Diverse uitvoerende beveiligingstaken:
• Event m...
27
PS/JV/VU
MRT/2010
IRM & Security Management
Autorisatiebeheer: Rol based access control
• Relatie gebruiker (n) – appli...
28
PS/JV/VU
MRT/2010
IRM & Security Management
Autorisatiebeheer: Identity Management
Veel applicaties eigen gebruikers en...
29
PS/JV/VU
MRT/2010
IRM & Security Management
ORM & IRM
• IRM is onderdeel ORM
• Gestructureerde IRM heeft vaak langere h...
30
PS/JV/VU
MRT/2010
IRM & Security Management
Samenwerking lijn en staf
Verantwoordelijkheid en merendeel uitvoering is i...
31
PS/JV/VU
MRT/2010
IRM & Security Management
Autorisatiebeheer
32
PS/JV/VU
MRT/2010
IRM & Security Management
2. Autorisatiebeheer “=” (?) logisch toegangsbeheer; samenhang I
Resultaat
...
33
PS/JV/VU
MRT/2010
IRM & Security Management
Bevoegdhedenbeheer
Trigger van gebruiker,
systeem of bedrijfsvoering
• Aanv...
34
PS/JV/VU
MRT/2010
IRM & Security Management
(Verbindingsmogelijkheden)
Deelproces IDC:
Identiteitcontrole
Deelproces VB...
35
PS/JV/VU
MRT/2010
IRM & Security Management
Identiteitscontrole
Pad maken
naar doel-
systeem
Authenticatie
• Kennis
• B...
36
PS/JV/VU
MRT/2010
IRM & Security Management
Autorisatiecontrole
Deelproces AUT:
Autorisatiebeheer
Ingelogd user-id op d...
37
PS/JV/VU
MRT/2010
IRM & Security Management
Samenhang II
I&A-middelen
• User-ID per
doelsysteem
• Wachtwoord
• Token
• ...
38
PS/JV/VU
MRT/2010
IRM & Security Management
Plaatje dynamisch (Everett)
39
PS/JV/VU
MRT/2010
IRM & Security Management
Policy & Administration
• Identity administration
• Pseudo-identiteiten ..?...
40
PS/JV/VU
MRT/2010
IRM & Security Management
Roll-out / Operations
• Provisioning
• Daadwerkelijk inkloppen
• Administra...
41
PS/JV/VU
MRT/2010
IRM & Security Management
Subject/object
• Access enforcement on systems, services and
information ob...
42
PS/JV/VU
MRT/2010
IRM & Security Management
Monitor & Report
• Compliance dashboard
• Issue list?
• Security Incident &...
43
PS/JV/VU
MRT/2010
IRM & Security Management
Identity …?
44
PS/JV/VU
MRT/2010
IRM & Security Management
Afsluiting: Identity = ?
• Een stukje abstracter…
• Wat is identiteit?
• Ti...
45
PS/JV/VU
MRT/2010
IRM & Security Management
3. Classificatie als instrument voor Security management
Classificatie:
• W...
46
PS/JV/VU
MRT/2010
IRM & Security Management
Waarom Classificatie
Probleem:
• Business moet leidend zijn bij beveiliging...
47
PS/JV/VU
MRT/2010
IRM & Security Management
Vormen van classificatie
Op basis waarvan classificeer je:
• Aard van de ge...
48
PS/JV/VU
MRT/2010
IRM & Security Management
Identificatie verantwoordelijken
Classificatie
Risico analyse
Vaststellen m...
49
PS/JV/VU
MRT/2010
IRM & Security Management
6.3 De authenticatie dient in
overeenstem m ing te zijn
m et de classificat...
50
PS/JV/VU
MRT/2010
IRM & Security Management
De commercieel verantwoordelijke van het product of de
dienst:
• Specificee...
51
PS/JV/VU
MRT/2010
IRM & Security Management
De ICT dienstverlener:
• Implementeert maatregelen uit risicoanalyse in
app...
52
PS/JV/VU
MRT/2010
IRM & Security Management
BIV-code: specificatie van vereiste
beveiligingsniveau
Laag Midden Hoog
Bes...
53
PS/JV/VU
MRT/2010
IRM & Security Management
Bepaal soort gegevens en belang applicatie
B: Maximale uitvalsduur in geval...
54
PS/JV/VU
MRT/2010
IRM & Security Management
Bedreigingen
schadetypering
schade-impact
schade-omvang
schadekans
minderRe...
55
PS/JV/VU
MRT/2010
IRM & Security Management
Risicoanalyse proces: Voorbereiding
56
PS/JV/VU
MRT/2010
IRM & Security Management
Risicoanalyse proces: Uitvoering
7
Normen check
Risico's volledig
afgedekt?...
57
PS/JV/VU
MRT/2010
IRM & Security Management
Risico Analyse
• BIV-code is basis voor risicoanalyse
• Risicoanalyse verta...
58
PS/JV/VU
MRT/2010
IRM & Security Management
Alternatief voor kwantitatieve risico analyse
• Kwantiatief:
• Annualized R...
59
PS/JV/VU
MRT/2010
IRM & Security Management
Doelen:
• Expliciet vaststellen (te implementeren) maatregelset
• Acceptere...
60
PS/JV/VU
MRT/2010
IRM & Security Management
Implementatie
• Fase waarbij er in principe geen wijzigingen
optreden in fu...
61
PS/JV/VU
MRT/2010
IRM & Security Management
Classficatie van infrastructuur
• Infrastructuur bestaat uit standaard prod...
62
PS/JV/VU
MRT/2010
IRM & Security Management
Strategie Stap 5:
Classificatie van infrastructuur
Functionaliteit = 222
A/...
63
PS/JV/VU
MRT/2010
IRM & Security Management
Leerpunten
• Classificatie gaat pas leven als:
• Duidelijk is hoe verschill...
64
PS/JV/VU
MRT/2010
IRM & Security Management
Slot classificatie
• Consistent inzetten van classificatie zorgt ervoor
dat...
65
PS/JV/VU
MRT/2010
IRM & Security Management
Classificatie en auditor
• Classificatie zorgt ervoor dat beveiligingsnorm
...
66
PS/JV/VU
MRT/2010
IRM & Security Management
Beleid in de lijn
• Abstractiniveau 27001 is vaak te hoog voor
eenduidighei...
67
PS/JV/VU
MRT/2010
IRM & Security Management
Geautomatiseerde configuratie
• Vroeger vaak platformstandaarden opgesteld ...
68
PS/JV/VU
MRT/2010
IRM & Security Management
Geautomatiseerde toetsing
• Op detailniveau parameters zijn een paar
afwijk...
69
PS/JV/VU
MRT/2010
IRM & Security Management
Slot risk organisation & risk analysis
• Enisa heeft veel info over het ond...
70
PS/JV/VU
MRT/2010
IRM & Security Management
• Traditionele silo’s
• Samenwerken is moeilijk
• Zal toch moeten
• Upside:...
71
PS/JV/VU
MRT/2010
IRM & Security Management
Traditioneel gescheiden werelden
• (Fysieke) Beveiliging v.v. IT Security
•...
72
PS/JV/VU
MRT/2010
IRM & Security Management
Ingewikkeld
ControlControlControl
ControlControlControl
ControlControlContr...
73
PS/JV/VU
MRT/2010
IRM & Security Management
Ingewikkeld - II
• Threats, vulnerabilities, controls van de soorten
• Peop...
74
PS/JV/VU
MRT/2010
IRM & Security Management
Integratie (Convergentie)
• Organisatie:
• Naar elkaar toe → aan elkaar → i...
75
PS/JV/VU
MRT/2010
IRM & Security Management
ERM/ORM/IRM als business
• Integrated security, de ‘harde’ kant van ORM
• M...
76
PS/JV/VU
MRT/2010
IRM & Security Management
Voorbeelden
• Voorbeelden (nu populair):
• Integrated access = 1 pasje voor...
77
PS/JV/VU
MRT/2010
IRM & Security Management
IT Fraude/forensics
• Fraude door IT (personeel)
• Fraude door inzet IT hul...
78
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude en forensics
• IT als belangrijk(st)e informatiemedium →
• IT als be...
79
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude: Oude wijn
• Been there, done that; slechts
definitiekwestie
plus pa...
80
PS/JV/VU
MRT/2010
IRM & Security Management
Nieuwe zakken
• Veranderde techniek, technieken
– Complexiteit!
– IT → onta...
81
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude, een Inleiding
• Fraude = een vorm van
• Bedrog (een derde ontdaan v...
82
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude intern
Gelegenheid
RationaliseringDruk
83
PS/JV/VU
MRT/2010
IRM & Security Management
Fraudedriehoek
84
PS/JV/VU
MRT/2010
IRM & Security Management
Fraudedriehoek - II
• Gelegenheid
• Degenen met functioneel hun vingers aan...
85
PS/JV/VU
MRT/2010
IRM & Security Management
Technische ontwikkelingen; gelegenheid…
• RFID, smartcardtechnologie
• Web ...
86
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude extern
Gelegenheid
(toegang)
Andere moraal
(geen scrupules,
politiek...
87
PS/JV/VU
MRT/2010
IRM & Security Management
Ontwikkelingen
• De-perimetrisatie
– ‘Web-applicatie’= ?
– Portable media
–...
88
PS/JV/VU
MRT/2010
IRM & Security Management
Steeds vaker beide
Bron: De Telegraaf, 28 september 2004, p. 11
GLAZENWASSE...
89
PS/JV/VU
MRT/2010
IRM & Security Management
Eenmaal
VHF/UHF antenna
Memory
512kb = 500.000+
keystrokes
2 Meg = 2.000.00...
90
PS/JV/VU
MRT/2010
IRM & Security Management
Andermaal
91
PS/JV/VU
MRT/2010
IRM & Security Management
Oplossingen
• More of the same ..!
• Plus een béétje
techniek
• Biometrie
•...
92
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude (extern)
• Wapenwedloop, ongelijke strijd
• Aantal, ID, lo...
93
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude (intern)
• Kan wel, ‘in-house’ en organisatie versus eenli...
94
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude (intern) - vervolg
• Druk: Ook controls, op personeel… zor...
95
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude – IT-middelen
• CAATs
• ‘It’s five o’clock; do you know wh...
96
PS/JV/VU
MRT/2010
IRM & Security Management
Continuous…
97
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude – IT-audit
• Autorisatietabellen (gelegenheid, profijt)
• ...
98
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude en forensics
• Weest voorzichtig!
• (Herhaald) IT als belangrijkste ...
99
PS/JV/VU
MRT/2010
IRM & Security Management
5. Security & Outsourcing
100
PS/JV/VU
MRT/2010
IRM & Security Management
Soorten outsourcing
• Wat outsourcen:
• Beheer
• Systeemontwikkeling
• Bus...
101
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Voorbereiding
• Brede risico analyse (incl inf bev risico’s) ...
102
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Risicoinventarisatie
• Risico’s van bedrijfsproces
• Afhankel...
103
PS/JV/VU
MRT/2010
IRM & Security Management
Selectie outsourcing partner
• Bij RFI reeds openheid over spelregels
• Op...
104
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: het contract
• Contract veelal op hoog abstractieniveau. => g...
105
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Management en operations
• Hoe is de samenwerking
• mate van ...
106
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Omgang met veranderingen
• Outsourcingsdeals zijn lange termi...
107
PS/JV/VU
MRT/2010
IRM & Security Management
Offshoring: Corruption Perception Index 2004
Rang Land Index
1 Finland 9.7...
108
PS/JV/VU
MRT/2010
IRM & Security Management
Offshoring: Privacy in EU
• Europese regelgeving verbiedt export
persoonsg...
109
PS/JV/VU
MRT/2010
IRM & Security Management
Screening van Personeel
• Personeel bij outsourcingspartner kan risico
vor...
110
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van systeemontwikkeling
• Risico’s met systeemontwikkeling:
• ...
111
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van systeemontwikkeling
Programmeer-
fouten
Ontwerp-
fouten
Ac...
112
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van systeemontwikkeling;
Open Web Application Security Project...
113
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van beheer
• Inzage in live data en toegang tot netwerk vaak
o...
114
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van beveiligingsfuncties
Managed security services, motivatie
...
115
PS/JV/VU
MRT/2010
IRM & Security Management
Business Process Outsourcing
• Bedrijfsproces outsourcen, veelal als gevol...
116
PS/JV/VU
MRT/2010
IRM & Security Management
Toegang tot infrastructuur
• Outsourcing zorgt voor meer noodzaak tot exte...
117
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: samenvatting
• Beveiligingscomplexiteit neemt toe door scheid...
118
PS/JV/VU
MRT/2010
IRM & Security Management
Samenvattend
• Organisatie van Informatiebeveiliging
• Autorisatiebeheer
•...
119
PS/JV/VU
MRT/2010
IRM & Security Management
Het Einde
Vragen …?
120
PS/JV/VU
MRT/2010
IRM & Security Management
Referenties
• Functies in de Informatiebeveiliging:
Blackboard
• Convergen...
Upcoming SlideShare
Loading in …5
×

VU Information Risk Management Security Management 2010 JvdV

1,474 views

Published on

Published in: Technology, Business
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,474
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

VU Information Risk Management Security Management 2010 JvdV

  1. 1. PART 31A Information Risk Management & Security Management File 31A_Information_Risk_Management_&_Security_Management Paul Samwel (Rabobank) Jurgen van der Vlugt (Noordbeek) 29 maart 2010 © 2010
  2. 2. 2 PS/JV/VU MRT/2010 IRM & Security Management Opbouw Information Risk Mgt & Security Mgt Onderwerpen: • Organisatie van Informatiebeveiliging • Autorisatiebeheer • Risico analyse & Gegevensclassificatie • Integrated Security & Fraud Management • Security Management & Outsourcing
  3. 3. 3 PS/JV/VU MRT/2010 IRM & Security Management 1. Organisatie van informatiebeveiliging Organisatorische ophanging Functies in informatiebeveiliging Informatiebeveiligingsplan Omgang met incidenten CERT SOC Autorisatiebeheer ORM & IRM
  4. 4. 4 PS/JV/VU MRT/2010 IRM & Security Management Organisatorische ophanging
  5. 5. 5 PS/JV/VU MRT/2010 IRM & Security Management Organisatorische ophanging • Volgende ophangingsmogelijkheden komen voor: – Onderdeel Risico Management – Integrale veiligheid – Onder ICT • Ophanging buiten ICT wenselijk maar niet gebruikelijk. • Directe rapportagelijn altijd buiten ICT noodzakelijk
  6. 6. 6 PS/JV/VU MRT/2010 IRM & Security Management Functies: Chief information security officer • Organisatiebreed • Primaire taak is beleidsvorming • Richt zich op “ wat” • Uniforme / organisatiebrede trajecten.
  7. 7. 7 PS/JV/VU MRT/2010 IRM & Security Management Functies: Information Security Architect • Primaire taak is onderhouden informatiebeveiligingsarchitectuur • Richt zich op “hoe” op hoogste abstractieniveau. • Efficiency en haalbaarheid oplossingen • Veelal ook als controlling architect betrokken bij realisatietrajecten
  8. 8. 8 PS/JV/VU MRT/2010 IRM & Security Management Functies: Information Security Officer • Onderdeel van Business organisatie • Normstellend voor ICT applicaties • Functioneel van aard • Naleving in businessprocessen • Naleving gebruikersorganisatie
  9. 9. 9 PS/JV/VU MRT/2010 IRM & Security Management Functies: Information Security Manager • Onderdeel ICT organisatie • Sturend op informatiebeveiliging voor gehele ICT organisatie • Naleving ICT applicaties • Normstellend ICT infrastructuur • Naleving ICT organisatie • Technisch van aard • Functionele sturing op Informatiebeveiligingsspecialisten • Integrale risicobeheersing => onderdeel taken risicomanager
  10. 10. 10 PS/JV/VU MRT/2010 IRM & Security Management Information Security Specialist • Onderdeel van lijnorganisatie • Primaire focus is naleving in ICT producten en processen. • Veelal een rol (niet full time) • Specialisatie is deels betrekking op beveiliging en deels op aandachtsgebied waar werkzaam.
  11. 11. 11 PS/JV/VU MRT/2010 IRM & Security Management Functierelaties volgens “functies in informatiebeveiliging”
  12. 12. 12 PS/JV/VU MRT/2010 IRM & Security Management Functierelaties volgens “functies in informatiebeveiliging”
  13. 13. 13 PS/JV/VU MRT/2010 IRM & Security Management Relatie IT audit en Informatiebeveiligingsfuncties.
  14. 14. 14 PS/JV/VU MRT/2010 IRM & Security Management Relatie met Compliance (officer) : • Compliance = Het voldoen aan wet- en regelgeving, of het proces om daar (terug) te komen • Wetten, regelgeving, regulators – Security • SOx enzo, zucht • WCC II (Computervredebreuk..?) • Privacy • Bewaarplicht • Auteursrecht, licenties, … • Sectorspecifiek (ROB/ROC-WTK, Basel-II, Mifid, …) • Vage regels, harde boetes (tsja, juristen…)
  15. 15. 15 PS/JV/VU MRT/2010 IRM & Security Management Compliance – IT-security • Regels: zie vorige • Impact op IT-security: Afhankelijk van scope • IT, operationeel gericht: Weinig merkbaar • IT, geïntegreerd met ‘de business’: Alles anders • Wet- en regelgeving komt uit kokers ‘zonder’ begrip van dagelijkse IT-werkelijkheid • Technisch/economisch onmogelijk, onhaalbaar (NB: Soms smoesje! Zie webverkeersgegevens) • In 1 regeltje mogelijk veel impact óf • Veel regeltjes, gaat nergens over • Goed Huisvaderschap versus Fort Knox
  16. 16. 16 PS/JV/VU MRT/2010 IRM & Security Management Compliance -- standaard • Afdwingen van Management Control Cycle • Nadruk op proces en rapportage • Doel is aantoonbare volledigheid => Omissies worden zichtbaar zodat ze opgelost kunnen worden • Gevaar van aandacht voor administratieproces ten koste van risicoreductie.
  17. 17. 17 PS/JV/VU MRT/2010 IRM & Security Management Informatiebeveiligingsplan • Jaarlijks beveiligingsplan als basis PDCA cyclus. • Middel om beveiliging bespreekbaar te maken. • Jaarlijkse toets van organisatie aan beleid. • Bevat veelal: – Terugblik op vorig jaar – Trends en risicoontwikkelingen – Bijgesteld Risicoprofiel – Bijgestelde Risk Appetite – Informatiebeveiligingsactiviteiten komend jaar – Schets beveiligingsorganisatie • Is basis voor voortgangsrapportage (check)
  18. 18. 18 PS/JV/VU MRT/2010 IRM & Security Management Risicoprofiel • Welk risicokader is relevant voor de bedrijfstak • Welke risico’s zijn relevant voor het bedrijf • Welke risico’s zijn relevant voor bedrijfsonderdeel gegeven haar rol in bedrijf.
  19. 19. 19 PS/JV/VU MRT/2010 IRM & Security Management Risk Appetite • Het beeld (op hoog abstractieniveau) van de risicobereidheid van het bedrijfsonderdeel • Wordt gebruik bij besluitvorming inzake risicobeheersing • Is instrument voor manager (niet voor werkvloer) • Eventueel ondersteund door Riskboard. • Gelijk voor heel het bedrijfsonderdeel. Geen vertaling per afdeling
  20. 20. 20 PS/JV/VU MRT/2010 IRM & Security Management 2. ITIL Security Management • Laatkomer in de ITIL-reeks • Nederlands product • No nonsense, KISS • … hoewel: alleen hoofdlijnen • Best Practice is ook maar een mening
  21. 21. 21 PS/JV/VU MRT/2010 IRM & Security Management Plaatje PLAN: • Service level agreement • Underpinning contracts • Operational Level agreements • Policy statements PLAN: • Service level agreement • Underpinning contracts • Operational Level agreements • Policy statements IMPLEMENT: • Create awareness • Classification & registration • Personnel security • Physical security • Security management computers, networks, applications ... • Control & management of access rights • Security incident handling, registration • … (in fact: this is ISO/IEC 17799) IMPLEMENT: • Create awareness • Classification & registration • Personnel security • Physical security • Security management computers, networks, applications ... • Control & management of access rights • Security incident handling, registration • … (in fact: this is ISO/IEC 17799) CONTROL: • Get organised • Establish management framework • Allocate responsibilities CONTROL: • Get organised • Establish management framework • Allocate responsibilitiesEVALUATE: • Internal audits • External audits • Self assessments • Security incidents EVALUATE: • Internal audits • External audits • Self assessments • Security incidents REPORT • conform SLA REPORT • conform SLA MAINTENANCE: • Learn • Improve • plan • implementation MAINTENANCE: • Learn • Improve • plan • implementation Service Level Agreement / Security section • agreed between customer and provider Service Level Agreement / Security section • agreed between customer and provider IT SERVICE PROVIDER implements Security Management to comply with SLA CUSTOMER defines requirements based on business needs ITIL security management SECURITY
  22. 22. 22 PS/JV/VU MRT/2010 IRM & Security Management Attentiepunten – nr. X
  23. 23. 23 PS/JV/VU MRT/2010 IRM & Security Management Omgang met incidenten Waarom incidentbeheer: • Schade minimaliseren • Incidenten zijn indicatoren voor falende of ontbrekende maatregelen • Bijsturen beveiliging Problemen: • Volume van incidenten (incident versus problem) • Bijna schades vs schades • Schade minimaliseren vs fraudeur pakken
  24. 24. 24 PS/JV/VU MRT/2010 IRM & Security Management Incidentbeheer • Labeling van alle incidenten is gewenst. • Periodieke trendanalyse op gelabelde “kleine incidenten” • Ernstige verstoringen op beveiliging analyseren. • Bij fraude: managementbeslissing tussen schade minimaliseren en dader pakken, voor de zekerheid gegevens veiligstellen.
  25. 25. 25 PS/JV/VU MRT/2010 IRM & Security Management Computer Emergency Response Team • Waarschuwingen over kwetsbaarheden van verschillende bronnen. • Urgentie en betrouwbaarheid niet altijd duidelijk. • Snelheid patchen afhankelijk van urgentie • Uniformiteit in patchmanagement wenselijk • Waarschuwingsdienst centraliseren = CERT • Inkopen mogelijk • Generiek (platformen etc) of branche gerelateerde info.
  26. 26. 26 PS/JV/VU MRT/2010 IRM & Security Management Security Operations Center Diverse uitvoerende beveiligingstaken: • Event monitoring • Coordinate Patch-proces • Vulnerability scanning • Key Management • Autorisatiebeheer • Beheer firewall rules => Bundeling (enkele van) deze taken in SOC kan volume creëren voor nette processen en bezetting met hoge beschikbaarheid
  27. 27. 27 PS/JV/VU MRT/2010 IRM & Security Management Autorisatiebeheer: Rol based access control • Relatie gebruiker (n) – applicatiefunctie (m) • Aantal autorisaties = n*m • Role based access control: • Gebruiker (n) – rol (x) – applicatiefunctie (m) • Aantal autorisaties = n * x + x * m
  28. 28. 28 PS/JV/VU MRT/2010 IRM & Security Management Autorisatiebeheer: Identity Management Veel applicaties eigen gebruikers en autorisatiebeheer: • Volume onbeheersbaar en inefficient • Slecht beheer Identity management • Enkelvoudige opslag van identiteiten en autorisaties (b.v. rollen). • Nette procedures (koppeling HR etc)
  29. 29. 29 PS/JV/VU MRT/2010 IRM & Security Management ORM & IRM • IRM is onderdeel ORM • Gestructureerde IRM heeft vaak langere historie – ORM profiteert van IRM • ORM heeft aandacht en aansluiting businessdoelen – IRM profiteert van ORM • Processen samenvoegen uit efficiency: – Omgang met incidenten en schades – Risico analyses en acceptatie – Voortgangsbewaking • Integraal risicomanagement = ORM, IRM en BCM gecombineerd
  30. 30. 30 PS/JV/VU MRT/2010 IRM & Security Management Samenwerking lijn en staf Verantwoordelijkheid en merendeel uitvoering is in de lijn maar specialistische deskundigheid vaak in staf. • Verantwoordelijkheden duidelijk uitschrijven (ACP) • Afwijkingen en voorbereiden besluitvorming in Risk Board
  31. 31. 31 PS/JV/VU MRT/2010 IRM & Security Management Autorisatiebeheer
  32. 32. 32 PS/JV/VU MRT/2010 IRM & Security Management 2. Autorisatiebeheer “=” (?) logisch toegangsbeheer; samenhang I Resultaat Toegang tot doelobject Applicatie Gegevens Gegevens Logisch Toegangbeheer LOG MON Deelproces AUT: Autorisatiebeheer Deelproces ACC: Bevoegdhedenbeheer Draadloos Remote access Randvoorwaarden en eisen • AO/IC van gebruikersorganisatie en IT-organisatie • Rollen, personen, apparaten Trigger • Aanvragen Relatie met andere processen Deelproces VBD: Verbindings- mogelijkheden Deelproces IDC: Identiteitcontrole Centraal I&A-middelen • User-ID • Wachtwoord • Token • Certificaat etc. Decentrale I&A-middelen
  33. 33. 33 PS/JV/VU MRT/2010 IRM & Security Management Bevoegdhedenbeheer Trigger van gebruiker, systeem of bedrijfsvoering • Aanvraag I&A-middel • Actualisatie status • Mutatie I&A-middel • Verwijderen I&A-middel Aanmaken, muteren en verwijderenAnalyse en beoordeling Distributie Randvoorwaarden en eisen • AO/IC Defensie • AO/IC IVENT • Rollen Ja Nee Decentrale I&A-middelen I&A-middelen • User-ID • Wachtwoord • Token • Certificaat etc. Centraal Periodieke verificatie en analyse Correcties Distributie naar decentraal (Automatisch of handmatig) Resultaat Distributie van I&A- middelen aan personen en systemen Logging Indien nodig • Personen en apparaten • Koppelingen • Beveiligingattributen
  34. 34. 34 PS/JV/VU MRT/2010 IRM & Security Management (Verbindingsmogelijkheden) Deelproces IDC: Identiteitcontrole Deelproces VBD: Verbindingsmogelijkheden Deelproces AUT: Autorisatiebeheer Deelproces ACC: Bevoegdhedenbeheer Draadloos Remote access Netwerk Centraal I&A-middelen • User-ID • Wachtwoord • Token • Certificaat etc. Decentrale I&A-middelen
  35. 35. 35 PS/JV/VU MRT/2010 IRM & Security Management Identiteitscontrole Pad maken naar doel- systeem Authenticatie • Kennis • Bezit • Biometrisch • Techniek • Combinatie Inlog- dialoog Nee Nee Persoon • Individuele gebruiker • Functionele gebruiker • Beheerder • Groep Techniek • Systemen • Apparaten Trigger • Verzoek tot toegang tot een doelsysteem Decentrale I&A-middelen I&A-middelen • User-id per doelsysteem • Wachtwoord • Token • Certificaat etc. Centraal Ja Ja Resultaat Geautoriseerde toegang Logging Identificatie
  36. 36. 36 PS/JV/VU MRT/2010 IRM & Security Management Autorisatiecontrole Deelproces AUT: Autorisatiebeheer Ingelogd user-id op doelsysteem Deelproces ACC: Bevoegdhedenbeheer DeelprocesIDC: Identiteitcontrole Sessiebeheer Verzoek tot • Read • Write • Execute • Update etc. Autorisatie? Software Applicatie Nee Ja Resultaat: Toegang tot doelobject Gegevens Gegevens Applicatie Versleutelde gegevens Laden DeelprocesVBD: Verbindingsmogelijkheden Centraal I&A-middelen • User-ID • Wachtwoord • Token • Certificaat etc. Decentrale I&A-middelen Logging
  37. 37. 37 PS/JV/VU MRT/2010 IRM & Security Management Samenhang II I&A-middelen • User-ID per doelsysteem • Wachtwoord • Token • Certificaat etc. Aanvraag voor nieuw of mutatie Toestemming Distributie naar personen of systemen Mutaties op personen en functies Verificatie blijvende actualiteit en integriteit Nee Deelproces 1: I&A-middelen Gebruiker Bedrijfsvoering Centraal Distributie naar harde middelen zoals tokens en apparatuur Ja Logging Deelproces 2: Identiteitcontrole en connectie Aanvraag voor toegang tot user-ID Gebruiker of systeem Active Directory Doelsysteem Veilig pad Validatie I&A-middelen • Lokaal Distributie naar decentraal Functies Nee Autorisaties binnen systeem Autorisatie tot gebruik user-ID? Ja Logging Logging • Aanmaken • Actualiseren • Muteren • Verwijderen
  38. 38. 38 PS/JV/VU MRT/2010 IRM & Security Management Plaatje dynamisch (Everett)
  39. 39. 39 PS/JV/VU MRT/2010 IRM & Security Management Policy & Administration • Identity administration • Pseudo-identiteiten ..? • Self Service • Wie (sic) heeft recht (sic) op self service ..? • Entitlement management • Least privilege • Dis-entitlement ..? • Wie bepaalt !? • Granulariteit? • Administratief… • Authorisation management • ‘RBAC’, of XYZ-AC ..? • Incl context ..? • Granulariteit?
  40. 40. 40 PS/JV/VU MRT/2010 IRM & Security Management Roll-out / Operations • Provisioning • Daadwerkelijk inkloppen • Administratief • Technisch • ‘SSO’ geautomatiseerd of handmatig • Re-provisioning ..? • Single Sign-On • Waarom eigenlijk? Gebruiksgemak versus beveiliging • Beperkt gebruik tot 1 rol • Niet atomaire handelingen, maar ‘aanwezigheid’
  41. 41. 41 PS/JV/VU MRT/2010 IRM & Security Management Subject/object • Access enforcement on systems, services and information objects • Wat is de scope ..? ‘Het’ netwerk, ‘service’ of ‘applicatie’ ..? • Granulariteit !? • Dis-entitlement ..?
  42. 42. 42 PS/JV/VU MRT/2010 IRM & Security Management Monitor & Report • Compliance dashboard • Issue list? • Security Incident & Event Monitoring (SIEM) • Moet SEIM zijn • Vierkante oogjes + pizza’s ‘s weekends • Breder perspectief: CERT, plus continuïteit ..? • Soll-Ist comparison • Inhoudelijk • Inspectie ≠ ‘audit’ ..? • Soll = norm, Ist = maatregelen …!? • Access attestation / certification • ‘Non-repudiation’
  43. 43. 43 PS/JV/VU MRT/2010 IRM & Security Management Identity …?
  44. 44. 44 PS/JV/VU MRT/2010 IRM & Security Management Afsluiting: Identity = ? • Een stukje abstracter… • Wat is identiteit? • Tijdgebonden Wie lijkt er nog op zijn/haar paspoortfoto? Van 9 tot 5 of Het Nieuwe Werken ..? → • → Situatiegebonden • Reputatie, moral hazard, herstel na boetedoening ..? • Bootstrappen of marge van onzekerheid ..?
  45. 45. 45 PS/JV/VU MRT/2010 IRM & Security Management 3. Classificatie als instrument voor Security management Classificatie: • Waarom classificatie • Vormen van classificatie • Classificatie in beveiligingsbeleid • Classificatie van toepassingen • Classificatie van infrastructuur
  46. 46. 46 PS/JV/VU MRT/2010 IRM & Security Management Waarom Classificatie Probleem: • Business moet leidend zijn bij beveiliging • Business moet norm stellen • Business heeft geen kennis van beveiliging(smaatregelen) • Beveiligingsnorm moet eenduidig zijn Classificatie als instrument om business eenduidig de norm te laten bepalen.
  47. 47. 47 PS/JV/VU MRT/2010 IRM & Security Management Vormen van classificatie Op basis waarvan classificeer je: • Aard van de gegevens • Business impact van de bedrijfsprocessen Wat label je: • Data(stromen) • Documenten • Applicaties • Bedrijfsprocessen • ICT producten
  48. 48. 48 PS/JV/VU MRT/2010 IRM & Security Management Identificatie verantwoordelijken Classificatie Risico analyse Vaststellen maatregelset Implementatie BIV-code concept maatregelset definitieve maatregelset Omgaan met incidenten en afwijkingen taktische&operationelestandaarden Classificatie in strategie
  49. 49. 49 PS/JV/VU MRT/2010 IRM & Security Management 6.3 De authenticatie dient in overeenstem m ing te zijn m et de classificatie. 1. Er kan worden vastgesteld dat de herkomst van de sessie afkom stig is van een netwerkdom ein behorende bij de Rabobankgroep. - 1 1 2. De identiteit van de individuele gebruiker wordt vastgesteld door controle van een geheim (statisch) wachtwoord - 2 2 3. De identiteit van de individuele gebruiker wordt vastgesteld door controle van een m iddels sterke authenticatie gegenereerde eenm alig geldige code. (b.v. tijdsafhankelijke code of “challenge response” op basis van encryptie.) - 3 3 B I V Classificatie in standaarden
  50. 50. 50 PS/JV/VU MRT/2010 IRM & Security Management De commercieel verantwoordelijke van het product of de dienst: • Specificeert de norm in de vorm van classificatie (BIV- code) • Is opdrachtgever risico analyse • Accepteert restrisico’s en stelt maatregelenset vast • Faciliteert (betaalt) implementatie maatregelen Indien risico’s de reikwijdte van de commercieel verantwoordelijke overstijgen is afstemming noodzakelijk. Identificatie verantwoordelijken
  51. 51. 51 PS/JV/VU MRT/2010 IRM & Security Management De ICT dienstverlener: • Implementeert maatregelen uit risicoanalyse in applicaties • Informeert business eigenaar over omissies in maatregelen • Classificeert standaard ICT producten • Implementeert maatregelen in standaard ICT producten. Identificatie verantwoordelijken
  52. 52. 52 PS/JV/VU MRT/2010 IRM & Security Management BIV-code: specificatie van vereiste beveiligingsniveau Laag Midden Hoog Beschikbaarheid 1 2 3 Integriteit 1 2 3 Vertrouwelijkheid 1 2 3 Door middel van Business Impact Analyse eenduidige Classificatie
  53. 53. 53 PS/JV/VU MRT/2010 IRM & Security Management Bepaal soort gegevens en belang applicatie B: Maximale uitvalsduur in geval calamiteiten en storingen I : Noodzakelijke volledigheid, juistheid en onweerlegbaarheid, kans op /belang bij inbreuk. V: Imagoschade of aansprakelijkheid bij onbedoelde onthulling, kans op/belang bij inbreuk Classificatie criteria
  54. 54. 54 PS/JV/VU MRT/2010 IRM & Security Management Bedreigingen schadetypering schade-impact schade-omvang schadekans minderRestrisico’s Risico-evaluatie meer Maatregelen Risico Analyse
  55. 55. 55 PS/JV/VU MRT/2010 IRM & Security Management Risicoanalyse proces: Voorbereiding
  56. 56. 56 PS/JV/VU MRT/2010 IRM & Security Management Risicoanalyse proces: Uitvoering 7 Normen check Risico's volledig afgedekt? 8 Uitgebreide risico analyse 9 Maatregelen analyse 10 Maatregelen selectie 11 Maatregelen beschrijving 12 Restrisico bepaling 13 Risico strategie bepaling Start Naar afsluiting Ja Nee Rule Based Normenkader beschikbaar? Ja Nee 14 Kwaliteitscontrole Akkoord? Naar eerdere fase ... Nee Ja
  57. 57. 57 PS/JV/VU MRT/2010 IRM & Security Management Risico Analyse • BIV-code is basis voor risicoanalyse • Risicoanalyse vertaalt BIV-code naar maatregelen. • Primair kijken naar beschikbare standaarden • Secundair analyse van bedreigingen die niet door standaarden worden afgedekt en analyse compenserende maatregelen • Risico analyse bevat maatregelpakket en restrisico’s
  58. 58. 58 PS/JV/VU MRT/2010 IRM & Security Management Alternatief voor kwantitatieve risico analyse • Kwantiatief: • Annualized Rate of Occurrence, ARO = Kans • Single Loss Expectancy, SLE = Schade per keer • Annual Loss Expectancy = Schade per jaar • ARO x SLE = ALE = max budget maatregelen? • Maar: • Waarden zijn vaag => uitkomst is erg vaag • Classificatie kan helpen eenduidigheid te behouden zonder foutgevoeligheid als gevolg van vermenigvuldiging vage waarden
  59. 59. 59 PS/JV/VU MRT/2010 IRM & Security Management Doelen: • Expliciet vaststellen (te implementeren) maatregelset • Accepteren restrisico door opdrachtgever en eventueel andere partijen die “risico lopen” • Informeren van hoger echelon ter toetsing van de acceptatie • Zorgt ervoor dat lijnafdelingen verantwoordelijkheid voelen en dragen. • Verlenen “decharge” aan projectleider en security manager. Vaststellen maatregelset
  60. 60. 60 PS/JV/VU MRT/2010 IRM & Security Management Implementatie • Fase waarbij er in principe geen wijzigingen optreden in functioneel maatregelpakket: • Technisch ontwerp • Coderen • Testen • Inrichten infrastructuur • Wel terugkoppeling (iteratie) indien maatregelen niet haalbaar blijken. • Testen van effectiviteit beveiliging in testfase. • Testen van werking maatregelpakket • Testen op bekende kwetsbaarheden (pen.test vuln.scan)
  61. 61. 61 PS/JV/VU MRT/2010 IRM & Security Management Classficatie van infrastructuur • Infrastructuur bestaat uit standaard producten met standaard beveiliging • ICT Productmanager bepaalt classificatie van ICT product op basis van: • Gewenste beveiliging door (merendeel van) afnemers • Verkoopbare prijs voor product. • Applicatieeigenaar toetst of Classificatie van standaard ICT componenten voldoende is om applicatieclassificatie te halen. Zo niet: • Applicatieve maatregelen • Maatwerk infrastructuur
  62. 62. 62 PS/JV/VU MRT/2010 IRM & Security Management Strategie Stap 5: Classificatie van infrastructuur Functionaliteit = 222 A/O = 222 Software 222 Infrastructuur Server platform = 222 Netwerk = 322 Firewall = 222 Middleware component = 211
  63. 63. 63 PS/JV/VU MRT/2010 IRM & Security Management Leerpunten • Classificatie gaat pas leven als: • Duidelijk is hoe verschillende classificaties leiden tot verschillende maatregelpakketten. • Iedereen erom vraagt, dus verankeren in systeemontwikkelings en projectmethodieken. • Standaard ICT producten ook geclassificeerd zijn. • Dankzij classificatie ook wel eens duidelijk wordt dat maatregelen niet nodig zijn (en het dus goedkoper kan)
  64. 64. 64 PS/JV/VU MRT/2010 IRM & Security Management Slot classificatie • Consistent inzetten van classificatie zorgt ervoor dat veel beveiligingsvraagstukken gewoon “ af te lezen zijn”: • Voor 80% van de beveiligingsvraagstukken hoef je dus niet meer “na te denken” en heb je minder “administratieve last” . • Die 80% is (deels) uit te voeren door niet-specialisten. • Schaarse tijd besteden aan spannende 20 %
  65. 65. 65 PS/JV/VU MRT/2010 IRM & Security Management Classificatie en auditor • Classificatie zorgt ervoor dat beveiligingsnorm eenduidig gespecificeert wordt. • Beveiligingsstandaarden bieden gedetailleerde vertaling naar maatregelen. ( toetsingsnorm ) • Biedt instrument om bevindingen te kunnen bespreken met hogere echelons zonder technisch jargon.
  66. 66. 66 PS/JV/VU MRT/2010 IRM & Security Management Beleid in de lijn • Abstractiniveau 27001 is vaak te hoog voor eenduidigheid voor de lijn. • 27001 controls toewijzen aan lijnafdelingen. • Lijn moet zelf een vertaling doen naar details zoals parameters, systeeminstellingen en dergelijke. • Volume van vertaling (= parameterlijsten etc) is gigantisch, noodzaak voor: • Geautomatiseerde configuratie • Geautomatiseerde toetsing
  67. 67. 67 PS/JV/VU MRT/2010 IRM & Security Management Geautomatiseerde configuratie • Vroeger vaak platformstandaarden opgesteld door bedrijven. • Nu komen platformstandaarden vaak mee als onderdeel van systemen. • Onderhoud bij leverancier = specialist • Beheerprogrammatuur kan direct de norm toepassen • De “ afnemer” maakt soms selecties en bekrachtigd leveranciersnorm als standaard.
  68. 68. 68 PS/JV/VU MRT/2010 IRM & Security Management Geautomatiseerde toetsing • Op detailniveau parameters zijn een paar afwijkingen vaak nodig. • Toetsingssysteem moet om kunnen gaan met afwijkingen: • Geautomatiseerde systemen of scripts voor toetsing. • Afwijkingen detecteren. • Afwijkingen accorderen. • Daarna geaccordeerde afwijkingen als systeemspecifieke toetsingsnorm.
  69. 69. 69 PS/JV/VU MRT/2010 IRM & Security Management Slot risk organisation & risk analysis • Enisa heeft veel info over het onderwerp: • http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/rm-process/risk-assessment/
  70. 70. 70 PS/JV/VU MRT/2010 IRM & Security Management • Traditionele silo’s • Samenwerken is moeilijk • Zal toch moeten • Upside: COSO ERM Asset Protection, de harde elementen 4. Integrated Security
  71. 71. 71 PS/JV/VU MRT/2010 IRM & Security Management Traditioneel gescheiden werelden • (Fysieke) Beveiliging v.v. IT Security • Operational Risk Management • Business Continuity Management • Ieder een eigen silo Fre quen tie Schade Opera tio nele ver liezen Beveiligings- incidenten Continuïteitsbedreigingen Veel kleine foutjes; gemakkelijk herstelbaar of insignificant Materiële (significante) schade; komt met enige regelmaat voor (maar is geen ‘routine’) Break-the-business incidenten; organisatie overleeft klap niet
  72. 72. 72 PS/JV/VU MRT/2010 IRM & Security Management Ingewikkeld ControlControlControl ControlControlControl ControlControlControl ThreatThreatThreat ThreatThreatThreat ThreatThreatThreat VulnerVulnerVulner VulnerVulnerVulner VulnerVulnerVulner ? • Bedreigingen, controls, kwetsbaarheden, schade: • Netwerk van AND/OR-relaties, oorzaak→gevolg? • Controls zwak, incompleet, inconsistent, ongeadresseerd (te duur; geaccepteerd risico’s)
  73. 73. 73 PS/JV/VU MRT/2010 IRM & Security Management Ingewikkeld - II • Threats, vulnerabilities, controls van de soorten • People (extern, intern) • Materials (Input, Output = products) • Real Estate • Process • Money • Information • Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving, Diensten (MAPGOOD) Fre quen tie Schade Opera Tio nele ver liezen Beveiligings- incidenten Continuïteitsbedreigingen Veel kleine foutjes; gemakkelijk herstelbaar of insignificant Materiële (significante) schade; komt met enige regelmaat voor (maar is geen ‘routine’) Break-the-business inci-denten; organisatie over-leeft klap niet
  74. 74. 74 PS/JV/VU MRT/2010 IRM & Security Management Integratie (Convergentie) • Organisatie: • Naar elkaar toe → aan elkaar → in elkaar migreren • Strategisch, tactisch, operationeel niveau • Fysieke beveiliging, fraude-onderzoek, Infosec (zie BAH-onderzoek) • Volwassenheid: 0: Alles ad hoc 1: IT-security en fysieke beveiliging (en BCM en …) in silo’s 2: Kennismaking, overleg en samenwerking op operationeel gebied (bijvoorbeeld fraude-onderzoek) 3: Aan elkaar ritsen (overlap en gaten voorkomen); overleg over projecten 4: Tactische projecten samen doen, overleg over strategie, aparte reporting 5: Geïntegreerde organisatie (in elkaar geritst)
  75. 75. 75 PS/JV/VU MRT/2010 IRM & Security Management ERM/ORM/IRM als business • Integrated security, de ‘harde’ kant van ORM • Maar ORM, de onbegrepen kant van COSO • Security business cases blijven moeilijk: • Als het goed is, is er niks te merken van verkregen security ..? • Opbrengsten vaag, maar kosten ook • Metrics: Zijn er niet. Te slecht gedefinieerd. • Nodig: Metrics en trendanalyses. Operationeel, tactisch, strategisch • Zou BAU moeten zijn (reporting) • Aansluitend op Key Risk Indicators etc. binnen ORM! (maar: begrip en/of inzicht van elkaars terreinen ??) • Grote samenkomst van alle ERM-functies …? Dromen …
  76. 76. 76 PS/JV/VU MRT/2010 IRM & Security Management Voorbeelden • Voorbeelden (nu populair): • Integrated access = 1 pasje voor fysieke en logische toegang • Whistleblowing-systeem • Forensisch onderzoek • Beveiliging portable media (laptop, tapes, USB, PDA) • Tegengaan Information leakage via shoulder surfen, loslippigheid (stoer!), casual mail • Nogmaals: Let op (f)actoren kunnen zowel kwetsbaarheid als bedreiging vormen! Voorbeeld: personeelsbeveiliging • Beveiliging van personeel • Beveiliging tégen personeel (screenen -- herhalen); denk aan functieclassificatie -> IT’ers en dan zeker IT-security staff en, nog erger, IT-auditors ? • Wat te doen met externen … outsourcing van IT?
  77. 77. 77 PS/JV/VU MRT/2010 IRM & Security Management IT Fraude/forensics • Fraude door IT (personeel) • Fraude door inzet IT hulpmiddelen • Fraude door aanval IT processen • IT forensics
  78. 78. 78 PS/JV/VU MRT/2010 IRM & Security Management Fraude en forensics • IT als belangrijk(st)e informatiemedium → • IT als belangrijkste kwetsbaarheid én bedreiging → • IT als belangrijkste onderzoeksterrein • IT als belangrijkste terrein voor controls • ‘Security’ en forensisch werk sterk gerelateerd maar pas op: forensics zijn specialisme
  79. 79. 79 PS/JV/VU MRT/2010 IRM & Security Management Fraude: Oude wijn • Been there, done that; slechts definitiekwestie plus paar nieuwe technieken • Maar hoe effectief waren we (..!) eigenlijk?
  80. 80. 80 PS/JV/VU MRT/2010 IRM & Security Management Nieuwe zakken • Veranderde techniek, technieken – Complexiteit! – IT → ontastbaar, onzichtbaar • Internationalisatie, fysieke aanwezigheid minder nodig dan ooit • Professionalisering! • Harder, immoreel • Hoewel… triviale fraude blijft voornaamste
  81. 81. 81 PS/JV/VU MRT/2010 IRM & Security Management Fraude, een Inleiding • Fraude = een vorm van • Bedrog (een derde ontdaan van geld / waardevolle goederen) • Met betrekking tot (wettelijke) controles • Externe fraude = door externen gepleegd • Interne fraude = … • Mediawaarde neemt toe (fraude of reputatie?) • Bedrijfsspionage of Information Leakage
  82. 82. 82 PS/JV/VU MRT/2010 IRM & Security Management Fraude intern Gelegenheid RationaliseringDruk
  83. 83. 83 PS/JV/VU MRT/2010 IRM & Security Management Fraudedriehoek
  84. 84. 84 PS/JV/VU MRT/2010 IRM & Security Management Fraudedriehoek - II • Gelegenheid • Degenen met functioneel hun vingers aan het geld • … allen die zich in zo’n positie kunnen manoeuvreren → IT’ers, IT-security, IT-audit… • Druk • Positief: Bij groep willen horen, schulden, targets moeten halen (of anders..) • Negatief: Afpersing, bedreiging (familie) • Rationalisering: Stillen van het geweten • Ik heb het verdiend • De rest doet het ook • … veronderstelt dat de dader een geweten heeft of een moraal die dezelfde is als de onze
  85. 85. 85 PS/JV/VU MRT/2010 IRM & Security Management Technische ontwikkelingen; gelegenheid… • RFID, smartcardtechnologie • Web 2.0 (MySpace, Flickr, Google Earth, Ajax), Ubiquitous Computing, Ambient Intelligence • Identificatie en Authenticatie • ID-theft • (Social engineering) • Man-in-the-Middle (trojans) • Autorisatie • Zoals geïmplementeerd, en/of • Zoals bedoeld door wetgever ..? • Integriteit van verwerking? • Zero-day verandering in wetgeving; software netjes getest? • De-perimetrisatie → • Keten van verwerking
  86. 86. 86 PS/JV/VU MRT/2010 IRM & Security Management Fraude extern Gelegenheid (toegang) Andere moraal (geen scrupules, politiek activisme, onopgevoedheid (?)) Profijt (lol, erkenning, winst) Uitkeringsfraude Bankbreuk (phishing)
  87. 87. 87 PS/JV/VU MRT/2010 IRM & Security Management Ontwikkelingen • De-perimetrisatie – ‘Web-applicatie’= ? – Portable media – WiFi – Off-boarding – Outsourcing • Aanvallen
  88. 88. 88 PS/JV/VU MRT/2010 IRM & Security Management Steeds vaker beide Bron: De Telegraaf, 28 september 2004, p. 11 GLAZENWASSERS BETRAPT BIJ INBRAAK IN COMPUTER ING • Twee glazenwassers hebben geprobeerd op een buitengewoon doortrapte manier ING te beroven. Gezien hun werk konden zij overal rondlopen. Zij drongen door tot een centrale computerruimte en plaatsten daar een kastje onder de computer. Hiermee konden zij zowel informatie aftappen als valse informatie invoeren. • Het apparaat was onder andere in staat te achterhalen wat er op de toetsenborden werd ingetypt, inclusief wachtwoorden. Vervolgens werden die gegevens via een zendertje naar buiten gestuurd. • Een bewakingscamera zag de glazenwassers, waardoor zij tegen de lamp liepen. Hen wordt poging tot oplichting en onbevoegd binnendringen in de computerruimte en computer ten laste gelegd.
  89. 89. 89 PS/JV/VU MRT/2010 IRM & Security Management Eenmaal VHF/UHF antenna Memory 512kb = 500.000+ keystrokes 2 Meg = 2.000.000+ keystrokes Purple = keyboard connection
  90. 90. 90 PS/JV/VU MRT/2010 IRM & Security Management Andermaal
  91. 91. 91 PS/JV/VU MRT/2010 IRM & Security Management Oplossingen • More of the same ..! • Plus een béétje techniek • Biometrie • Encryptie rond data-elementen • Tegen voornoemde problemen • Identificatie, authenticatie • Wegnemen factor uit driehoek: gelegenheid • Helpt het? (… trojans) • Maar autorisatie, integriteit van verwerking..?
  92. 92. 92 PS/JV/VU MRT/2010 IRM & Security Management Tegengaan fraude (extern) • Wapenwedloop, ongelijke strijd • Aantal, ID, localiteit (if any…) tegenstanders • Aantal kwetsbaarheden • Soms ‘onbeperkt’ tijd, geld • Soms middel/doel immoreel (volgens ‘ons’) • Defensief; terugslaan is immoreel / resultaat ..? • Dus: • Focus op controls in de processen: Gelegenheid inperken • ‘Forensics’ door anderen: Audit is geen politiedienst (surveillance)?
  93. 93. 93 PS/JV/VU MRT/2010 IRM & Security Management Tegengaan fraude (intern) • Kan wel, ‘in-house’ en organisatie versus eenling (?) • (Maar let alsnog op moraliteit van defensie) • Gelegenheid: Controls! Proces- en IT-gericht • Dual control, etc…. Klassieke AO • Controls in IT (klassieke AO implementeren; hw, sw) • General IT controls • Controls zijn niet perfect… fraudeurs zijn creatief (samenspanning?) • Audit! Waaronder stukje surveillance…
  94. 94. 94 PS/JV/VU MRT/2010 IRM & Security Management Tegengaan fraude (intern) - vervolg • Druk: Ook controls, op personeel… zorg • Screening → regelmatig • Opvang; ook whistleblowing (anoniem vs. zwartmaken?) • Exit • Voorkom negatieve prikkels (w.o. targets…) • Kán (IT-)audit wel vragen stellen? (uitlokking vs. verdachtmaking?) • Rationalisering: Ook controls, op personeel… • ‘Tone at the top’ en publieke waardering / afkeuring • Ook voor/door algehele moraal binnen organisatie
  95. 95. 95 PS/JV/VU MRT/2010 IRM & Security Management Tegengaan fraude – IT-middelen • CAATs • ‘It’s five o’clock; do you know where your data is? → Denk vanuit informatie! • Processen, ‘systeem’ in brede zin • Architectuur • Deperimetrisatie, ketens… • Beschikbaar stellen (faciliteren) veilig gebruik • Secure telewerken • Secure USB / PDA • Mail screeners tegen information leakage • Continuous Monitoring (!) / Auditing
  96. 96. 96 PS/JV/VU MRT/2010 IRM & Security Management Continuous…
  97. 97. 97 PS/JV/VU MRT/2010 IRM & Security Management Tegengaan fraude – IT-audit • Autorisatietabellen (gelegenheid, profijt) • Dual control (gelegenheid) • Encryptie (gelegenheid, profijt) • Logging (achteraf: sporen; druk) • Audit software / IT-forensics (discovery) • Continuous monitoring / auditing • (CAATs)
  98. 98. 98 PS/JV/VU MRT/2010 IRM & Security Management Fraude en forensics • Weest voorzichtig! • (Herhaald) IT als belangrijkste onderzoeksterrein • Ook al vanwege ‘pervasive’ IT → Spoorzoeken in IT • Wet- en regelgeving dwingt tot voorzichtig werken • Maar het grijze gebied is zeer groot ..! • (Afwezig? Politie) • Het zal nooit weggaan • Be alert
  99. 99. 99 PS/JV/VU MRT/2010 IRM & Security Management 5. Security & Outsourcing
  100. 100. 100 PS/JV/VU MRT/2010 IRM & Security Management Soorten outsourcing • Wat outsourcen: • Beheer • Systeemontwikkeling • Business Process • ASP • Etc • Outsourcing van regie of niet • Wel of geen (productie)gegevens • Verantwoordelijkheid voor risicobeheersing kan niet geoutsourced worden
  101. 101. 101 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing: Voorbereiding • Brede risico analyse (incl inf bev risico’s) als onderdeel van het hele traject • Vroegtijdig starten met • generieke risico’s verbonden aan outsourcing • indentificatie van relevante regelgeving • Verstrekken van relevante eisen aan potentiele partners • Vroegtijdige start zorgt ervoor dat beveiligingskosten nog meegenomen kunnen worden in businesscase • Vroegtijdige start zorgt voor risico-awareness bij betrokkenen
  102. 102. 102 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing: Risicoinventarisatie • Risico’s van bedrijfsproces • Afhankelijkheid bedrijfsprocessen • Eisen vooraf voldoende helder • Risico’s van partner / opdrachtnemer • Locatie opdrachtnemer • TPM / SAS70 ? • Vergelijkbaar beleid (ISO 27001) • Risico’s van outsouringsproces • Onvoldoende zeggenschap over personeel • Onvoldoende motivatie • Minder mogelijkheid tot iteratie van beveiligingseisen
  103. 103. 103 PS/JV/VU MRT/2010 IRM & Security Management Selectie outsourcing partner • Bij RFI reeds openheid over spelregels • Opdrachtgever geeft aan wat essentiele spelregels zijn • Opdrachtnemer geeft aan of compliance mogelijk is • Bij RFP verklaart opdrachtnemer hoe omgegaan wordt met spelregels • Realiteit: spelregels zijn meestal geen breekpunt maar bespreking in selectiefase vergemakkelijkt vervolgtraject
  104. 104. 104 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing: het contract • Contract veelal op hoog abstractieniveau. => geen gedetailleerde spelregels • Wel verwijzingen mogelijk • Detailniveau afhankelijk van aard uitbestede dienst • Afspraken over nieuwe spelregels • Afspraken over hoe om te gaan met non-compliance
  105. 105. 105 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing: Management en operations • Hoe is de samenwerking • mate van vertrouwen • wederzijds belang bij succes • duidelijkheid in verwachtingenpatroon • Taken en verantwoordelijkheden • Incidentbeheer • Openheid om compenserende maatregelen mogelijk te maken (geen afrekencultuur) • Monitoring • Rapportage over functioneren maatregelpakket • Werking AO/IC binnen opdrachtnemer
  106. 106. 106 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing: Omgang met veranderingen • Outsourcingsdeals zijn lange termijn afspraken • Zowel opdrachtgever als opdrachtnemer veranderen • Dienstverlening verandert • Niet elk detail is te overzien • Afspraken over veranderingen • In contract • In periodieke bijstelling • Exit strategie?
  107. 107. 107 PS/JV/VU MRT/2010 IRM & Security Management Offshoring: Corruption Perception Index 2004 Rang Land Index 1 Finland 9.7 10 Nederland 8.7 17 USA 7.5 (met België en Ierland) 90 India 2.8 (met Mozambique, Rusland, e.a.) 145 Bangladesh 1.5 (met Nigeria) bron: Transparancy International
  108. 108. 108 PS/JV/VU MRT/2010 IRM & Security Management Offshoring: Privacy in EU • Europese regelgeving verbiedt export persoonsgegevens buiten de EU uit angst voor mindere privacywaarborg • Escape door strikte afspraken over privacywaarborgen in verwerking • Eenvoudiger oplossing bij bedrijven die Safe Harbour onderschrijven (bedrijven op Safe Harbour list) voor de dienstverlening
  109. 109. 109 PS/JV/VU MRT/2010 IRM & Security Management Screening van Personeel • Personeel bij outsourcingspartner kan risico vormen • Opdrachtnemer kan screening niet uitvoeren • Opdrachtgever mag niet beschikken over alle screeningsinformatie (zwarte lijst etc) • Wie wordt gescreend? • Is vooraf duidelijk wie op welk moment gaat meewerken aan het contract • Combinatie van afspraken over screening en aansprakelijk stellen opdrachtnemer
  110. 110. 110 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing van systeemontwikkeling • Risico’s met systeemontwikkeling: • Onbeschikbaarheid • Fraude • Ongewenste onthulling • Oorzaken: • Programmeerfouten • Ontwerpfouten • Achterdeurtjes
  111. 111. 111 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing van systeemontwikkeling Programmeer- fouten Ontwerp- fouten Achterdeur Codeerstandaarden gebaseerd op OWASP x Kennis & training x Source Code Analyser x Code review door collega x x Penetratietest / vulnerability scan x x x Risico analyse in functioneel en technisch ontwerp. x Testen van werking van maatregelen x Gedragscode + aansprakelijkheid x
  112. 112. 112 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing van systeemontwikkeling; Open Web Application Security Project (OWASP) top 10. A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access
  113. 113. 113 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing van beheer • Inzage in live data en toegang tot netwerk vaak onvermijdelijk • Hoge beschikbaarheid van dienst en service relevant. Tijd- en taalverschillen kunnen lastig zijn • Application Service Providing (ASP) als specifieke variant
  114. 114. 114 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing van beveiligingsfuncties Managed security services, motivatie • Specialistische kennis • Schaalvoordeel Mogelijke dienstverlening omvat o.a.: • Beheer firewalls • Security Event Monitoring • Penetratietesting • Uitgifte PKI passen
  115. 115. 115 PS/JV/VU MRT/2010 IRM & Security Management Business Process Outsourcing • Bedrijfsproces outsourcen, veelal als gevolg van specialisatie (back to basics) of kostenreductie • Altijd (productie)data • Vaak concurrentiegevoelige gegevens betrokken
  116. 116. 116 PS/JV/VU MRT/2010 IRM & Security Management Toegang tot infrastructuur • Outsourcing zorgt voor meer noodzaak tot externe toegang door derden • Waarborgen: • Alleen van dat bedrijf • Alleen die persoon • Alleen naar die omgeving (netwerksegmentatie?) • Alleen naar die applicatie • Alleen noodzakelijke handelingen
  117. 117. 117 PS/JV/VU MRT/2010 IRM & Security Management Outsourcing: samenvatting • Beveiligingscomplexiteit neemt toe door scheiding tussen specificatie en uitvoering van beveiliging • Contractuele afspraken vormen de brug, maar moeten ook bestand zijn tegen veranderingen • Outsourcing van beveiligingsfuncties kan helpen functiescheiding of kwaliteit te halen voor organisaties die daar standaard geen ruimte voor hebben
  118. 118. 118 PS/JV/VU MRT/2010 IRM & Security Management Samenvattend • Organisatie van Informatiebeveiliging • Autorisatiebeheer • Risico analyse & Gegevensclassificatie • Integrated Security & Fraud Management • Security Management & Outsourcing
  119. 119. 119 PS/JV/VU MRT/2010 IRM & Security Management Het Einde Vragen …?
  120. 120. 120 PS/JV/VU MRT/2010 IRM & Security Management Referenties • Functies in de Informatiebeveiliging: Blackboard • Convergentie van security (op weg naar integrated security): http://www.issa.org/PDF/ConvergenceStudyNov05.pdf • Risk management en security: http://www.noordbeek.com/publicaties.html • Catch me if you can: http://www.amazon.com/ • Oh ja: per 1 september nieuwe Wet computercriminaliteit van kracht. Zie www.iusmentis.com/beveiliging/hacken/computercriminaliteit/ • Overige links: • www.security.nl • ENISA www.enisa.europa.eu • PvIB www.pvib.nl • NICC www.samentegencybercrime.nl • ISSA www.issa-nl.org

×