De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Security & KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security.

Verwante presentaties


Presentatie over: "Security & KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security."— Transcript van de presentatie:

1 Security & KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security

2 September 2010ISACA Briefing - Security & KPN1 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen

3 September 2010ISACA Briefing - Security & KPN2 Security & KPN Het managen van risico’s t.a.v. bedrijfsmiddelen: – – Mensen – – Tastbare bedrijfsmiddelen – – Niet tastbare bedrijfsmiddelen De missie…

4 September 2010ISACA Briefing - Security & KPN3 Security & KPN De focus…

5 September 2010ISACA Briefing - Security & KPN4 De context… Algemeen –Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf –Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker Zakelijke markt –Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) –Security & Continuity management zijn niet langer een USP (*), maar een uitgangspunt Consumenten markt –Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services –Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens Leverketens –Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen –Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers Economische situatie –Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers –Vraagt intern om extra nadruk op kostenefficiëntie Security & KPN * USP = Unique selling point

6 September 2010ISACA Briefing - Security & KPN5 Security & KPN De uitdaging… Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten –geleverd door ~ medewerkers –vanuit 14 landen –draaiend op > 2000 systemen, platformen en netwerken –met ruim 125 jaar (telefonie) historie in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk… Besturing vanuit de Raad van Bestuur is randvoorwaardelijk!

7 September 2010ISACA Briefing - Security & KPN6 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen

8 September 2010ISACA Briefing - Security & KPN7 KPN Business Control Framework (BCF) Beleid

9 September 2010ISACA Briefing - Security & KPN8 Security & Continuity zijn onderdeel KPN Corporate Governance Beleid KPN Security & Continuity Charter –Onderdeel van het Business Control Framework –RvB portefeuillehouder (Baptiest Coopmans) –Vormt de basis voor de KPN Corporate Security Policy KPN Corporate Security Policy framework –Door de RvB geaccordeerd –Bestaat uit: Corporate Security policy Governance & Compliance model Verklaring toepassingsgebied

10 September 2010ISACA Briefing - Security & KPN9 Therefore, units shall: –In line with the Corporate Security Policy, implement and maintain: a mandatory minimum set of security measures (the Security Baseline); a security management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security & safety, fraud and business continuity. –Determine and implement their own additional security policies, when required by: specific (operational) risks within their domain; contracts and agreements with customers, partners and/or suppliers; applicable legal and/or regulatory requirements. –In line with the Corporate Security Policy, determine and report compliance and non- compliance to this policy to Chief Information Security Officer (CISO). KPN Group BCF Security & Continuity charter Implementeer de KPN Baseline Richt een Security Risk management proces in Manage business Security risico’s Demonstreer Compliance (GRIP) Beleid

11 September 2010ISACA Briefing - Security & KPN10 KPN Corporate Security Policy Beleid Omvat ondermeer… –Security & Continuity Management (organisatie en processen) –Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) –Security & Continuïteit Awareness –Veiligheid van medewerkers (ARBO, BHV) –Betrouwbaarheid en integriteit van medewerkers –Justitieel Aftappen en gegevensverstrekking –Telecom Fraude en abuse –Incidentmanagement

12 September 2010ISACA Briefing - Security & KPN11 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen

13 September 2010ISACA Briefing - Security & KPN12 Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy) Justitieel aftappen & Monitoren KPN Group – Raad van Bestuur Bestaat uit 54 medewerkers Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen Telecom Fraude & Abuse KPN Security (CSO) (Integriteit & analyse) Organisatie KPN Corporate Security Communicatie & Awareness

14 September 2010ISACA Briefing - Security & KPN13 KPN Group Allen voldoen aan de Corporate Security policy Diversiteit in besturing en rapportage Organisatie KPN NL KPN Group – Raad van Bestuur KPN GB Getronics E-Plus KPN Security iBasis GRIP (Governance, Risk & In- control processes) KPN CERT

15 September 2010ISACA Briefing - Security & KPN14 Organisatie KPN NL – Raad van Bestuur (‘NL Board’) Tactical Security Board Tactische eenheid (Segment) Segment MT’s en Corporate Center Tactical Security Managers Operationele eenheid Proces, dienst of product eigenaren Operational Security Managers Operational Security Board Security Steering Committee KPN Security & BCM Manager GRIP board KPN Group – Raad van Bestuur (‘RvB’) KPN Nederland KPN CERT

16 September 2010ISACA Briefing - Security & KPN15 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen

17 September 2010ISACA Briefing - Security & KPN16 Besturing SSC GRIP Board TSMRM Implementatie & bijstelling Compliance & tactische risico’s Structurele verbeteringen Compliance & strategische risico’s Business Financieel Materieel Niet-materieel Governance Compliance Segment Management Business processen & diensten Audit (QA) Security Management - Strategisch SSC = Security Steering committee TSM = Tactisch Security Manager RM = Risk Manager GRIP = Governance & Compliance, Risk & QA = Quality Assurance In control processes

18 September 2010ISACA Briefing - Security & KPN17 Besturing Security Management – Tactisch en operationeel MT Tactisch eenheden (Segment) Strategisch Tactisch Operationeel Operationele eenheden (Reporting Unit) Drie niveau’s van security management Business eisen & Service Level rapportage (Keten management) Beleid, Organisatie & Besturing Compliance en risico rapportage SSC GRIP TSM RM CISO TSM RM SSC = Security Steering committee CFO = Chief Financial Officer RM = Risk Manager CISO = Chief Information Security Officier TSM = Tactisch Security manager OSM = Operational Security manager OSM BCM

19 September 2010ISACA Briefing - Security & KPN18 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen

20 September 2010ISACA Briefing - Security & KPN19 Maatregelen KPN Baseline Annex A van de ISO standaard vormt de basis voor de set maatregelen Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”) De KPN Baseline is een selectie van 73 van deze maatregelen (54%) De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen: –Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving Ter indicatie, de Security controlset van een vijftal KPN diensten: KPN Baseline (73 controls) WO OPS INT (38 controls) Cybercenters (45 controls) EVPN (53 controls) OfficeAccess (54 controls) Risk based Baseline Managed LAN (46 controls) CSP ISO controls

21 September 2010ISACA Briefing - Security & KPN20 Maatregelen INNOVATIE OPERATIËN BEDRIJFSMIDDELEN EIGENAREN DIENSTEN LEVERANCIERS INCIDENTEN PERSONEEL SM / BCM ORGANISATIE SM / BCM BELEID KLANTEN SM / BCM BESTURING RISICO MANAGEMENT CONTINUÏTEITS PLANNEN 6 14 HR PROCES 16 AWARENESS 13 TOEGANG 5 TESTEN VAN MAATREGELEN 7 VERBETER MANAGEMENT 8 DIENST AANBIEDINGEN 10 ASSURANCE OVEREENKOMSTEN MAATREGELEN Beheersdoelen CO-01Beleid CO-02Organisatie CO-03Security management (PDCA) CO-04Beheer van informatie(middelen) CO-05Toegangsverlening (fysiek & logisch) CO-06Risicomanagement CO-07Testen van maatregelen CO-08Monitoren van verbeteringen CO-09Vernieuwingsproces CO-10Dienstaanbiedingen CO-11Interne en externe overeenkomsten CO-12Management van leveranciers CO-13Bewustzijn CO-14Continuïteitsplanning CO-15Management van incidenten CO-16HR-proces CO-17Security in operatiën Security Control Framework

22 September 2010ISACA Briefing - Security & KPN21 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen

23 September 2010ISACA Briefing - Security & KPN22 Security Control Framework – Internal compliance Risks, customers requirement, incidents, law and regulations ISO annex A (133 potential Security and BCM controls) (Strategische) Security risico’s worden gemitigeerd middels control objectives Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) Een deel van deze ISO controls zijn “Baseline” en dus verplicht De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control 73 baseline controls 60 risk based controls Security & BCM Control objectives (17) GRC+ controls CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc…. Assurance

24 September 2010ISACA Briefing - Security & KPN23 Assurance Intern vs Extern BCF beleid Corporate Security policy – –Security: ISO 27001/27002 based – –Business Continuity: BS25999 based Assurance via quarterly DOR proces, GRC+ Compliance demands BCF Specific BCF & BU Overlap BU specific KPN Business Control Framew Market demands Customer demands Customer specific Market demands Bepalen de basis van het compliance framework: – –ISO 9001 – –ISO (certification) – –ITIL security & BCM elements – –Assurance (SAS70 & TPM) – –Cobit – –VCA (Health) Customer demands Leiden tot addtionele eisen en assurance formaten: ─ ─Specific customer scope assurance such as TPM & SAS70 ─ ─Audit reports & certifications ─ ─PCI, ISO 14000, NEN 7510, etc. ─ ─Real-time monitoring, SOC/SIEM Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance Pilot is uitgerold bij GTN, doorontwikkeling in Integrated Control Framework

25 September 2010ISACA Briefing - Security & KPN24 Maatregelen Assurance middels ISO certificaten –Certificaten met generieke scopeCertificaat # Hosting Services Application Services Cybercenter Services ICS 008 Business Continuity Services Local Area Network Services Integrated & Outsourcing services Operations Internationaal –Certificaten met specifieke scope Certificaat # Office Access & EVPN KPN MTI SDU Transport ISC 017 Osiris (Support team tooling)

26 September 2010ISACA Briefing - Security & KPN25 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen

27 September 2010ISACA Briefing - Security & KPN26 Lessons learned Transparantie en duidelijkheid Plot Security & Continuity op de meerjarige business strategie Schets belangen en risico’s in de “taal van de business” Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden Haal security implementatieverantwoordelijkheid uit de financiële kolom –Breng de “business” in haar rol t.a.v. policy implementatie en –geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance Strategie Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) Plan iteratief binnen die strategie –Wees wendbaar en flexibel –Plan tijd voor correctieve actie (Demming’s C&A-fasen) Integreer waar mogelijk met bestaande processen en structuren

28 September 2010ISACA Briefing - Security & KPN27 Agenda Security & KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen

29 September 2010ISACA Briefing - Security & KPN28 Vragen… ?


Download ppt "Security & KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security."

Verwante presentaties


Ads door Google