Agenda Security & KPN Beleid Organisatie Besturing

Slides:



Advertisements
Verwante presentaties
Update on EduStandard: public-private platform in Dutch education Henk Nijstad, Kennisnet / november 2013.
Advertisements

Informatiebeveiliging: Investering of kostenpost?
22 February 2013 Randstad. Welcome Who is Who Triple P Bottom Line.
Help, ik moet naar Office 2007!?. Wat horen wij bij klanten Training “New UI will cause too big of a loss in productivity” Training “New UI will cause.
Seminar Vendor Performance Management Donderdag 17 september Professionalisering Supply Chain Management door beter Contract Management Jan van.
Agenda Blok 1 - Evolutie van Cloud Computing
Ervaringen van een BPOS Partner T-BENCH Danny Otten.
Atos, Atos and fish symbol, Atos Origin and fish symbol, Atos Consulting, and the fish itself are registered trademarks of Atos Origin SA. August 2006.
Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.
Social Technographics Hoe ontwikkel je een succesvolle social media strategie? Reineke Reitsma Director, Consumer Technographics Forrester Research 11.
Sex, drugs and rock n' roll 2.0: Wat kunnen we leren van evenementen? Dr. Walther Ploos van Amstel Vrije Universiteit/TNO Mobility.
Thursday, July 10, 2014 Presenter’s Name MSP Procurement tool of partnership?
Teams on the frontline Geert Stroobant De Heide - Balans
Social Business MARKETINGPIONEERS Sonja Loth | Social Inc. 31 JAN.
Copyright © 2008 Tele Atlas. All rights reserved. Zet uw Business Data op de kaart: Locaties in eTOM ®
Bedrijfs processen overzicht
Nieuwe Febelfin Governance
1 Services Assembly Production Plan Installation Dates: Current Baseline (Version 6 – 27 Sept ’02) Current Baseline (Version 6 – 27 Sept ’02) Endcap A/C.
Informatie governance in
Finance & Business Control
Megatrends, besturen en talent
QAD Reporting & Analytics
Figuur 1.1: De Pascaline van Blaise Pascal
Wat is nieuw in MS Project 2010 Wil Jansen.  Dit!!
Private cloud / hosted citrix / virtualisatie All the same Studiedag ’cloud iets voor uw bestuur?’
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
Vaardig? Een spectrum aan vaardigheden! Van informatie- naar media- naar exploratievaardig? Of e-Research & e-learning literate? Collaboration literate??
1 Presenting Borealis 2006 © 2005 Borealis A/S Presenting Borealis A leading, innovative provider of plastics solutions February 2007.
DATA over. Visie Elk jaar neemt behoefte aan data en interactie tussen systemen (zowel B-2- B als B-2-C) exponentieel toe; daarom zal het structureren.
Realisten aan het roer Naar een prestatiegerichte governance van IT Verkenningsinstituut Nieuwe Technologie NGI Groningen, 13 april 2004.
Performance Intelligence!
Corporate Communications February 2011 Succesvol met Outsourcing Gerben Edelijn, CEO Thales Nederland.
© 2004 IBM Corporation Guts Wissema, OpenSource & Linux Sales, IBM Open Document Format.
GOVERNANCE & COMPLIANCE ADVISORY Onderzoek kwaliteit beleidsuitvoering vergunningverlening en -handhaving Gemeente Almelo Internal Audit, Risk and Compliance.
Rob Elsinga Business Group Lead Information Worker Microsoft Nederland Samenwerken op Afstand.
Social Technology How to get the end-user involved Carl Bik Capgemini Nederland bv.
AGENDA Tijd Agenda Spreker 08:00 – 08:30 Registratie en ontbijt
®  SAP Nederland B.V. APSS 24 September 1998 Frans van Hoesel Product Marketing Manager Real-time beslissingsondersteuning over de gehele keten HP Dutchworld.
1 HOORCOLLEGE Hoorcollege CRM en Interactieve marketing (Thema Marketing & Communicatie Sjo Smeets)
1 HOORCOLLEGE Customer Relationship Management
Copernicus Institute Sustainable Development and Transition Management - April 17, 2002 Sturing van Transities Pieter Glasbergen.
In samenwerking met het Europees Sociaal Fonds en het Hefboomkrediet The role of APEL in career coaching and competence management Competence navigation.
Organisatie voor Economische Samenwerking en Ontwikkeling
ISV Royalty License Agreement
SPLA Service Provider License Agreement
© 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied,
Microsoft Partner Programma
CEBP Danny Burlage.
Prahalad & Hamal.
Bedrijfs- of programma- management
3.6 Architecture of HIS. 3.7 Integrity & Integration within HIS Suraja Padarath /10/2007.
02/ / 18 Kwaliteitsmanagementprincipes -Algemeen- Om een organisatie met succes te kunnen leiden en te laten functioneren is het nodig deze.
Automation SolutionsMFG/Pro Dutch usergroup 8 februari 2007 ISA S88 & S95 Het gebruik van deze normen in de productie.
Geheugen, distributie en netwerken Netwerken: de basis voor distributie van gegevens en taken (processen) –bestaan zo’n 40 jaar, zeer snelle ontwikkeling.
Microsoft’s Enterprise Project Management 2007 “The Next Generation” Johan Apperloo Olaf van KImmenaede.
Titel Spreker Datalekken in Cyberspace Hans Henseler FLITS bijeenkomst NVvIR 13 oktober 2011, Den Haag.
Ontwikkeling van een organisatie door evolutie en revolutie
Context-Driven Adaptation of Mobile Services Vergadering met Gebruikerscommissie na jaar 2.
Introductie OHSAS
Windows 2000 Update & Windows.NET Server Family Preview Arthur de Meij Solution Specialist Business Infrastructure Enterprise & Partner Group Microsoft.
© Copyright VIMC 2009 Telecom Expense Management A Discussion Ed Vonk
Ontstaan van het Rode Kruis 1859Veldslag in Solferino 1863Comité voor verzorging van gewonde soldaten 1864Eerste verdrag van Genève 1867Oprichting Nederlandse.
AOPA KNVvL 1 Safety Management System (SMS) The Basics Paul van den Berk AOPA KNVvL Lelystad.
PROJECTMANAGEMENTPROJECTMANAGEMENT Assesment CMM RM:Requirements Management PP: Project Planning PTO: Project Tracking & Oversight SSM:Software Subcontract.
Ontbijtsessie 2 juli 2014 Kwaliteitsverbeteringen in Infra Projecten.
EML en IMS Learning Design
Klantkennis Geïndividu- Relatie- Multi
Sharing best practices By Exar - Reinbouwgroep 28 november 2014 Peter Reinders.
G Project Sponsor & Business Lead : Anna Stamp & Jane Johnston
Transcript van de presentatie:

Security & Continuity @ KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De missie… Het managen van risico’s t.a.v. bedrijfsmiddelen: Mensen Tastbare bedrijfsmiddelen Niet tastbare bedrijfsmiddelen ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De focus… ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De context… Algemeen Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker Zakelijke markt Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt Consumenten markt Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens Leverketens Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers Economische situatie Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De uitdaging… Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten geleverd door ~35.000 medewerkers vanuit 14 landen draaiend op > 2000 systemen, platformen en netwerken met ruim 125 jaar (telefonie) historie in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk… Besturing vanuit de Raad van Bestuur is randvoorwaardelijk! ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Business Control Framework (BCF) Beleid KPN Business Control Framework (BCF) ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity zijn onderdeel KPN Corporate Governance Beleid Security & Continuity zijn onderdeel KPN Corporate Governance KPN Security & Continuity Charter Onderdeel van het Business Control Framework RvB portefeuillehouder (Baptiest Coopmans) Vormt de basis voor de KPN Corporate Security Policy KPN Corporate Security Policy framework Door de RvB geaccordeerd Bestaat uit: Corporate Security policy Governance & Compliance model Verklaring toepassingsgebied ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Group BCF Security & Continuity charter Beleid KPN Group BCF Security & Continuity charter <snip> Therefore, units shall: In line with the Corporate Security Policy, implement and maintain: a mandatory minimum set of security measures (the Security Baseline); a security management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security & safety, fraud and business continuity. Determine and implement their own additional security policies, when required by: specific (operational) risks within their domain; contracts and agreements with customers, partners and/or suppliers; applicable legal and/or regulatory requirements. In line with the Corporate Security Policy, determine and report compliance and non-compliance to this policy to Chief Information Security Officer (CISO). </snip> Implementeer de KPN Baseline Richt een Security Risk management proces in Manage business Security risico’s Demonstreer Compliance (GRIP) ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Corporate Security Policy Beleid KPN Corporate Security Policy Omvat ondermeer… Security & Continuity Management (organisatie en processen) Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) Security & Continuïteit Awareness Veiligheid van medewerkers (ARBO, BHV) Betrouwbaarheid en integriteit van medewerkers Justitieel Aftappen en gegevensverstrekking Telecom Fraude en abuse Incidentmanagement ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Corporate Security Organisatie KPN Corporate Security KPN Group – Raad van Bestuur KPN Security (CSO) (Integriteit & analyse) Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy) Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse Bestaat uit 54 medewerkers Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Group KPN Group – Raad van Bestuur KPN NL KPN Security GRIP (Governance, Risk & In-control processes) Getronics KPN GB KPN CERT E-Plus iBasis Allen voldoen aan de Corporate Security policy Diversiteit in besturing en rapportage ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Nederland KPN Group – Raad van Bestuur (‘RvB’) KPN NL – Raad van Bestuur (‘NL Board’) GRIP board Tactische eenheid (Segment) Segment MT’s en Corporate Center Security Steering Committee KPN Security & BCM Manager Tactical Security Board Operationele eenheid Proces, dienst of product eigenaren Tactical Security Managers KPN CERT Operational Security Board Operational Security Managers ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Security Management - Strategisch Besturing Security Management - Strategisch Business Financieel Governance Compliance & strategische risico’s Compliance SSC GRIP Board Structurele verbeteringen Compliance & tactische risico’s Segment Management Business processen & diensten Materieel Niet-materieel Audit (QA) TSM RM Implementatie & bijstelling SSC = Security Steering committee TSM = Tactisch Security Manager RM = Risk Manager GRIP = Governance & Compliance, Risk & QA = Quality Assurance In control processes ISACA Briefing - Security & Continuity @ KPN September 2010

Security Management – Tactisch en operationeel Besturing Security Management – Tactisch en operationeel SSC GRIP CISO BCM Compliance en risico rapportage Beleid, Organisatie & Besturing Strategisch TSM MT RM Tactisch eenheden (Segment) TSM MT RM Tactisch Operationele eenheden (Reporting Unit) Operationeel OSM OSM OSM OSM OSM OSM OSM OSM Drie niveau’s van security management Business eisen & Service Level rapportage (Keten management) SSC = Security Steering committee CFO = Chief Financial Officer RM = Risk Manager CISO = Chief Information Security Officier TSM = Tactisch Security manager OSM = Operational Security manager ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Baseline (73 controls) Maatregelen KPN Baseline Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”) De KPN Baseline is een selectie van 73 van deze maatregelen (54%) De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen: Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving Ter indicatie, de Security controlset van een vijftal KPN diensten: EVPN (53 controls) OfficeAccess (54 controls) Cybercenters (45 controls) Managed LAN (46 controls) WO OPS INT (38 controls) Risk based ISO27001 - 133 controls CSP KPN Baseline (73 controls) Baseline ISACA Briefing - Security & Continuity @ KPN September 2010

Security Control Framework Maatregelen Security Control Framework KLANTEN 10 DIENST AANBIEDINGEN Beheersdoelen CO-01 Beleid CO-02 Organisatie CO-03 Security management (PDCA) CO-04 Beheer van informatie(middelen) CO-05 Toegangsverlening (fysiek & logisch) CO-06 Risicomanagement CO-07 Testen van maatregelen CO-08 Monitoren van verbeteringen CO-09 Vernieuwingsproces CO-10 Dienstaanbiedingen CO-11 Interne en externe overeenkomsten CO-12 Management van leveranciers CO-13 Bewustzijn CO-14 Continuïteitsplanning CO-15 Management van incidenten CO-16 HR-proces CO-17 Security in operatiën SM / BCM BELEID DIENSTEN 1 17 OPERATIËN 6 CONTINUÏTEITS PLANNEN RISICO MANAGEMENT 14 3 SM / BCM BESTURING TOEGANG EIGENAREN MAATREGELEN 5 4 8 VERBETER MANAGEMENT 7 BEDRIJFSMIDDELEN TESTEN VAN MAATREGELEN 13 16 AWARENESS 15 HR PROCES PERSONEEL INCIDENTEN 2 9 SM / BCM ORGANISATIE INNOVATIE 11 OVEREENKOMSTEN ASSURANCE 12 ISACA Briefing - Security & Continuity @ KPN LEVERANCIERS September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Security Control Framework – Internal compliance Assurance Security Control Framework – Internal compliance (Strategische) Security risico’s worden gemitigeerd middels control objectives Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) Een deel van deze ISO controls zijn “Baseline” en dus verplicht De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control GRC+ controls CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc…. Risks, customers requirement, incidents, law and regulations Security & BCM Control objectives (17) ISO 27001 annex A (133 potential Security and BCM controls) 73 baseline controls 60 risk based controls ISACA Briefing - Security & Continuity @ KPN September 2010

Assurance Intern vs Extern BCF beleid Corporate Security policy Security: ISO 27001/27002 based Business Continuity: BS25999 based Assurance via quarterly DOR proces, GRC+ Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011 Market demands Bepalen de basis van het compliance framework: ISO 9001 ISO 27001 (certification) ITIL security & BCM elements Assurance (SAS70 & TPM) Cobit VCA (Health) Customer demands Leiden tot addtionele eisen en assurance formaten: Specific customer scope assurance such as TPM & SAS70 Audit reports & certifications PCI, ISO 14000, NEN 7510, etc. Real-time monitoring, SOC/SIEM KPN Business Control Framew Integrated Control Framework Compliance demands BCF Specific BCF & BU Overlap BU specific Market demands Customer specific Customer demands ISACA Briefing - Security & Continuity @ KPN September 2010

Assurance middels ISO 27001 certificaten Maatregelen Assurance middels ISO 27001 certificaten Certificaten met generieke scope Certificaat # Hosting Services 2098139 Application Services 2106391 Cybercenter Services ICS 008 Business Continuity Services 2098145 Local Area Network Services 2078860 Integrated & Outsourcing services 2126960 Operations Internationaal 2119991 Certificaten met specifieke scope Certificaat # Office Access & EVPN 2087166 KPN MTI SDU Transport ISC 017 Osiris (Support team tooling) 2018483 ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Lessons learned Transparantie en duidelijkheid Verantwoordelijkheden Plot Security & Continuity op de meerjarige business strategie Schets belangen en risico’s in de “taal van de business” Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden Haal security implementatieverantwoordelijkheid uit de financiële kolom Breng de “business” in haar rol t.a.v. policy implementatie en geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance Strategie Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) Plan iteratief binnen die strategie Wees wendbaar en flexibel Plan tijd voor correctieve actie (Demming’s C&A-fasen) Integreer waar mogelijk met bestaande processen en structuren ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Vragen… ? ISACA Briefing - Security & Continuity @ KPN September 2010