Security & Continuity @ KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De missie… Het managen van risico’s t.a.v. bedrijfsmiddelen: Mensen Tastbare bedrijfsmiddelen Niet tastbare bedrijfsmiddelen ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De focus… ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De context… Algemeen Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker Zakelijke markt Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt Consumenten markt Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens Leverketens Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers Economische situatie Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De uitdaging… Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten geleverd door ~35.000 medewerkers vanuit 14 landen draaiend op > 2000 systemen, platformen en netwerken met ruim 125 jaar (telefonie) historie in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk… Besturing vanuit de Raad van Bestuur is randvoorwaardelijk! ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Business Control Framework (BCF) Beleid KPN Business Control Framework (BCF) ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity zijn onderdeel KPN Corporate Governance Beleid Security & Continuity zijn onderdeel KPN Corporate Governance KPN Security & Continuity Charter Onderdeel van het Business Control Framework RvB portefeuillehouder (Baptiest Coopmans) Vormt de basis voor de KPN Corporate Security Policy KPN Corporate Security Policy framework Door de RvB geaccordeerd Bestaat uit: Corporate Security policy Governance & Compliance model Verklaring toepassingsgebied ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Group BCF Security & Continuity charter Beleid KPN Group BCF Security & Continuity charter <snip> Therefore, units shall: In line with the Corporate Security Policy, implement and maintain: a mandatory minimum set of security measures (the Security Baseline); a security management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security & safety, fraud and business continuity. Determine and implement their own additional security policies, when required by: specific (operational) risks within their domain; contracts and agreements with customers, partners and/or suppliers; applicable legal and/or regulatory requirements. In line with the Corporate Security Policy, determine and report compliance and non-compliance to this policy to Chief Information Security Officer (CISO). </snip> Implementeer de KPN Baseline Richt een Security Risk management proces in Manage business Security risico’s Demonstreer Compliance (GRIP) ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Corporate Security Policy Beleid KPN Corporate Security Policy Omvat ondermeer… Security & Continuity Management (organisatie en processen) Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) Security & Continuïteit Awareness Veiligheid van medewerkers (ARBO, BHV) Betrouwbaarheid en integriteit van medewerkers Justitieel Aftappen en gegevensverstrekking Telecom Fraude en abuse Incidentmanagement ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Corporate Security Organisatie KPN Corporate Security KPN Group – Raad van Bestuur KPN Security (CSO) (Integriteit & analyse) Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy) Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse Bestaat uit 54 medewerkers Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Group KPN Group – Raad van Bestuur KPN NL KPN Security GRIP (Governance, Risk & In-control processes) Getronics KPN GB KPN CERT E-Plus iBasis Allen voldoen aan de Corporate Security policy Diversiteit in besturing en rapportage ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Nederland KPN Group – Raad van Bestuur (‘RvB’) KPN NL – Raad van Bestuur (‘NL Board’) GRIP board Tactische eenheid (Segment) Segment MT’s en Corporate Center Security Steering Committee KPN Security & BCM Manager Tactical Security Board Operationele eenheid Proces, dienst of product eigenaren Tactical Security Managers KPN CERT Operational Security Board Operational Security Managers ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Security Management - Strategisch Besturing Security Management - Strategisch Business Financieel Governance Compliance & strategische risico’s Compliance SSC GRIP Board Structurele verbeteringen Compliance & tactische risico’s Segment Management Business processen & diensten Materieel Niet-materieel Audit (QA) TSM RM Implementatie & bijstelling SSC = Security Steering committee TSM = Tactisch Security Manager RM = Risk Manager GRIP = Governance & Compliance, Risk & QA = Quality Assurance In control processes ISACA Briefing - Security & Continuity @ KPN September 2010

Security Management – Tactisch en operationeel Besturing Security Management – Tactisch en operationeel SSC GRIP CISO BCM Compliance en risico rapportage Beleid, Organisatie & Besturing Strategisch TSM MT RM Tactisch eenheden (Segment) TSM MT RM Tactisch Operationele eenheden (Reporting Unit) Operationeel OSM OSM OSM OSM OSM OSM OSM OSM Drie niveau’s van security management Business eisen & Service Level rapportage (Keten management) SSC = Security Steering committee CFO = Chief Financial Officer RM = Risk Manager CISO = Chief Information Security Officier TSM = Tactisch Security manager OSM = Operational Security manager ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

KPN Baseline (73 controls) Maatregelen KPN Baseline Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”) De KPN Baseline is een selectie van 73 van deze maatregelen (54%) De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen: Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving Ter indicatie, de Security controlset van een vijftal KPN diensten: EVPN (53 controls) OfficeAccess (54 controls) Cybercenters (45 controls) Managed LAN (46 controls) WO OPS INT (38 controls) Risk based ISO27001 - 133 controls CSP KPN Baseline (73 controls) Baseline ISACA Briefing - Security & Continuity @ KPN September 2010

Security Control Framework Maatregelen Security Control Framework KLANTEN 10 DIENST AANBIEDINGEN Beheersdoelen CO-01 Beleid CO-02 Organisatie CO-03 Security management (PDCA) CO-04 Beheer van informatie(middelen) CO-05 Toegangsverlening (fysiek & logisch) CO-06 Risicomanagement CO-07 Testen van maatregelen CO-08 Monitoren van verbeteringen CO-09 Vernieuwingsproces CO-10 Dienstaanbiedingen CO-11 Interne en externe overeenkomsten CO-12 Management van leveranciers CO-13 Bewustzijn CO-14 Continuïteitsplanning CO-15 Management van incidenten CO-16 HR-proces CO-17 Security in operatiën SM / BCM BELEID DIENSTEN 1 17 OPERATIËN 6 CONTINUÏTEITS PLANNEN RISICO MANAGEMENT 14 3 SM / BCM BESTURING TOEGANG EIGENAREN MAATREGELEN 5 4 8 VERBETER MANAGEMENT 7 BEDRIJFSMIDDELEN TESTEN VAN MAATREGELEN 13 16 AWARENESS 15 HR PROCES PERSONEEL INCIDENTEN 2 9 SM / BCM ORGANISATIE INNOVATIE 11 OVEREENKOMSTEN ASSURANCE 12 ISACA Briefing - Security & Continuity @ KPN LEVERANCIERS September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Security Control Framework – Internal compliance Assurance Security Control Framework – Internal compliance (Strategische) Security risico’s worden gemitigeerd middels control objectives Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) Een deel van deze ISO controls zijn “Baseline” en dus verplicht De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control GRC+ controls CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc…. Risks, customers requirement, incidents, law and regulations Security & BCM Control objectives (17) ISO 27001 annex A (133 potential Security and BCM controls) 73 baseline controls 60 risk based controls ISACA Briefing - Security & Continuity @ KPN September 2010

Assurance Intern vs Extern BCF beleid Corporate Security policy Security: ISO 27001/27002 based Business Continuity: BS25999 based Assurance via quarterly DOR proces, GRC+ Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011 Market demands Bepalen de basis van het compliance framework: ISO 9001 ISO 27001 (certification) ITIL security & BCM elements Assurance (SAS70 & TPM) Cobit VCA (Health) Customer demands Leiden tot addtionele eisen en assurance formaten: Specific customer scope assurance such as TPM & SAS70 Audit reports & certifications PCI, ISO 14000, NEN 7510, etc. Real-time monitoring, SOC/SIEM KPN Business Control Framew Integrated Control Framework Compliance demands BCF Specific BCF & BU Overlap BU specific Market demands Customer specific Customer demands ISACA Briefing - Security & Continuity @ KPN September 2010

Assurance middels ISO 27001 certificaten Maatregelen Assurance middels ISO 27001 certificaten Certificaten met generieke scope Certificaat # Hosting Services 2098139 Application Services 2106391 Cybercenter Services ICS 008 Business Continuity Services 2098145 Local Area Network Services 2078860 Integrated & Outsourcing services 2126960 Operations Internationaal 2119991 Certificaten met specifieke scope Certificaat # Office Access & EVPN 2087166 KPN MTI SDU Transport ISC 017 Osiris (Support team tooling) 2018483 ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Lessons learned Transparantie en duidelijkheid Verantwoordelijkheden Plot Security & Continuity op de meerjarige business strategie Schets belangen en risico’s in de “taal van de business” Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden Haal security implementatieverantwoordelijkheid uit de financiële kolom Breng de “business” in haar rol t.a.v. policy implementatie en geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance Strategie Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) Plan iteratief binnen die strategie Wees wendbaar en flexibel Plan tijd voor correctieve actie (Demming’s C&A-fasen) Integreer waar mogelijk met bestaande processen en structuren ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen ISACA Briefing - Security & Continuity @ KPN September 2010

Vragen… ? ISACA Briefing - Security & Continuity @ KPN September 2010