Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management
  3. Humanresourcemanagement

Security Steering Committee

advertisement 
Security & Continuity @ KPN
ISACA Briefing
Breukelen, september 2010
Johan Bakker MSc CISSP
Chief Information Security Officer
KPN Corporate Security
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Assurance
•
Lessons learned
•
Vragen
1
ISACA Briefing - Security & Continuity @ KPN
September 2010
Security & Continuity @ KPN
De missie…
Het managen van risico’s t.a.v. bedrijfsmiddelen:
– Mensen
– Tastbare bedrijfsmiddelen
– Niet tastbare bedrijfsmiddelen
2
ISACA Briefing - Security & Continuity @ KPN
September 2010
Security & Continuity @ KPN
De focus…
3
ISACA Briefing - Security & Continuity @ KPN
September 2010
Security & Continuity @ KPN
De context…
•
Algemeen
–
–
•
Zakelijke markt
–
–
•
Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services
Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens
Leverketens
–
–
•
Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM)
Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt
Consumenten markt
–
–
•
Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf
Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker
Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen
Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers
Economische situatie
–
–
Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers
Vraagt intern om extra nadruk op kostenefficiëntie
* USP = Unique selling point
4
ISACA Briefing - Security & Continuity @ KPN
September 2010
Security & Continuity @ KPN
De uitdaging…
•
Het beveiligen van de informatie van 38 miljoen klanten en het
borgen van de continuïteit van honderden producten en diensten
– geleverd door ~35.000 medewerkers
– vanuit 14 landen
– draaiend op > 2000 systemen, platformen en netwerken
– met ruim 125 jaar (telefonie) historie
•
in een dynamische omgeving van mergers, outsourcings, technische
innovatie, nieuwe wetgeving en economische druk…
Besturing vanuit de Raad van Bestuur is randvoorwaardelijk!
5
ISACA Briefing - Security & Continuity @ KPN
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Assurance
•
Lessons learned
•
Vragen
6
ISACA Briefing - Security & Continuity @ KPN
September 2010
Beleid
KPN Business Control Framework (BCF)
7
ISACA Briefing - Security & Continuity @ KPN
September 2010
Beleid
Security & Continuity zijn onderdeel KPN Corporate Governance
•
KPN Security & Continuity Charter
– Onderdeel van het Business Control Framework
– RvB portefeuillehouder (Baptiest Coopmans)
– Vormt de basis voor de KPN Corporate Security Policy
•
KPN Corporate Security Policy framework
– Door de RvB geaccordeerd
– Bestaat uit:
8
•
Corporate Security policy
•
Governance & Compliance model
•
Verklaring toepassingsgebied
ISACA Briefing - Security & Continuity @ KPN
September 2010
Beleid
KPN Group BCF Security & Continuity charter
<snip>
•
Therefore, units shall:
–
Implementeer de
KPN Baseline
In line with the Corporate Security Policy, implement and maintain:
•
a mandatory minimum set of security measures (the Security Baseline);
•
a security management framework consisting of a risk-based plan/do/check/act process
eenfraud
Security
concerning information security, physical security, personal securityRicht
& safety,
and
Risk management
business continuity.
proces in
–
–
Determine and implement their own additional security policies, when required by:
•
specific (operational) risks within their domain;
•
contracts and agreements with customers, partners and/or suppliers;
•
applicable legal and/or regulatory requirements.
In line with the Corporate Security Policy, determine and report compliance and noncompliance to this policy to Chief Information Security Officer (CISO). Demonstreer
</snip>
9
Manage business
Security risico’s
Compliance (GRIP)
ISACA Briefing - Security & Continuity @ KPN
September 2010
Beleid
KPN Corporate Security Policy
• Omvat ondermeer…
10
–
Security & Continuity Management (organisatie en processen)
–
Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen)
–
Security & Continuïteit Awareness
–
Veiligheid van medewerkers (ARBO, BHV)
–
Betrouwbaarheid en integriteit van medewerkers
–
Justitieel Aftappen en gegevensverstrekking
–
Telecom Fraude en abuse
–
Incidentmanagement
ISACA Briefing - Security & Continuity @ KPN
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Assurance
•
Lessons learned
•
Vragen
11
ISACA Briefing - Security & Continuity @ KPN
September 2010
Organisatie
KPN Corporate Security
KPN Group – Raad van Bestuur
KPN
Security
(CSO)
(Integriteit &
analyse)
Security Policy, Governance & Compliance (CISO)
Security Operations (incidenten & consultancy)
Communicatie & Awareness
Justitieel aftappen & Monitoren
Telecom Fraude & Abuse
• Bestaat uit 54 medewerkers
• Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen
12
ISACA Briefing - Security & Continuity @ KPN
September 2010
Organisatie
KPN Group
KPN Group – Raad van Bestuur
KPN NL
GRIP
Getronics
KPN GB
E-Plus
KPN
Security
(Governance
, Risk & Incontrol
processes)
KPN
CERT
iBasis
• Allen voldoen aan de Corporate Security policy
• Diversiteit in besturing en rapportage
13
ISACA Briefing - Security & Continuity @ KPN
September 2010
Organisatie
KPN Nederland
KPN Group – Raad van Bestuur (‘RvB’)
KPN NL – Raad van Bestuur (‘NL Board’)
Tactische eenheid (Segment)
Segment MT’s en Corporate Center
Operationele eenheid
Tactical Security
Managers
Proces, dienst of
product eigenaren
Operational Security
Managers
14
ISACA Briefing - Security & Continuity @ KPN
Security
Steering
Committee
Tactical
Security
Board
Operational
Security
Board
GRIP
board
KPN
Security
&
BCM
Manager
KPN
CERT
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Assurance
•
Lessons learned
•
Vragen
15
ISACA Briefing - Security & Continuity @ KPN
September 2010
Besturing
Security Management - Strategisch
Business
Financieel
Compliance &
strategische risico’s
Governance
Compliance
GRIP
Board
SSC
Compliance
& tactische risico’s
Structurele
verbeteringen
Materieel
Segment Management
Business processen & diensten
TSM
Niet-materieel
Audit
(QA)
RM
Implementatie &
bijstelling
SSC = Security Steering committee
RM = Risk Manager
QA = Quality Assurance
16
ISACA Briefing - Security & Continuity @ KPN
TSM = Tactisch Security Manager
GRIP = Governance & Compliance, Risk &
In control processes
September 2010
Besturing
Security Management – Tactisch en operationeel
GRIP
SSC
CISO
Beleid,
Organisatie &
Besturing
BCM
Compliance en
risico
rapportage
Strategisch
MT
Tactisch
RM
TSM
MT
MT
MT
MT
Tactisch eenheden
(Segment)
Operationele eenheden
MT
RM
TSM
MT
MT
MT
MT
(Reporting Unit)
Operationeel
OSM OSM OSM OSM
Drie niveau’s van
security management
OSM OSM OSM OSM
Business eisen & Service Level rapportage
(Keten management)
SSC = Security Steering committee
RM = Risk Manager
TSM = Tactisch Security manager
17
ISACA Briefing - Security & Continuity @ KPN
CFO = Chief Financial Officer
CISO = Chief Information Security Officier
OSM = Operational Security manager
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Assurance
•
Lessons learned
•
Vragen
18
ISACA Briefing - Security & Continuity @ KPN
September 2010
Maatregelen
KPN Baseline
•
Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen
•
Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”)
•
De KPN Baseline is een selectie van 73 van deze maatregelen (54%)
•
De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen
•
Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen:
–
•
ISO27001
- 133
controls
Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving
Ter indicatie, de Security controlset van een vijftal KPN diensten:
WO OPS INT
(38 controls)
EVPN
(53 controls)
Cybercenters
(45 controls)
OfficeAccess
(54 controls)
Risk based
CSP
KPN Baseline (73 controls)
19
Managed LAN
(46 controls)
ISACA Briefing - Security & Continuity @ KPN
Baseline
September 2010
Maatregelen
Security Control Framework
KLANTEN
DIENST 10
AANBIEDINGEN
Beheersdoelen
SM / BCM
BELEID
CO-01
Beleid
CO-02
Organisatie
CO-03
Security management (PDCA)
CO-04
Beheer van informatie(middelen)
CO-05
Toegangsverlening (fysiek & logisch)
CO-06
Risicomanagement
CO-07
Testen van maatregelen
CO-08
Monitoren van verbeteringen
CO-09
Vernieuwingsproces
CO-10
Dienstaanbiedingen
Interne en externe overeenkomsten
CO-12
Management van leveranciers
CO-13
Bewustzijn
CO-14
Continuïteitsplanning
17
OPERATIËN
CONTINUÏTEITS
PLANNEN 14
6
RISICO
MANAGEMENT
3
SM / BCM
BESTURING
CO-11
DIENSTEN
1
VERBETER
MANAGEMENT
8
TOEGANG
MAATREGELEN
TESTEN VAN
MAATREGELEN
7
EIGENAREN
5
4
BEDRIJFSMIDDELEN
13
16
15
HR PROCES
AWARENESS
PERSONEEL
INCIDENTEN
2
CO-15
Management van incidenten
CO-16
HR-proces
CO-17
Security in operatiën
SM / BCM
ORGANISATIE
9
INNOVATIE
OVEREENKOMSTEN
ASSURANCE
11
12
20
ISACA Briefing - Security & Continuity @ KPN
LEVERANCIERS
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Assurance
•
Lessons learned
•
Vragen
21
ISACA Briefing - Security & Continuity @ KPN
September 2010
Assurance
Security Control Framework – Internal compliance
• (Strategische) Security risico’s worden gemitigeerd middels control objectives
• Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig)
• Een deel van deze ISO controls zijn “Baseline” en dus verplicht
• De relatie tussen control objectives en baseline controls is gedefinieerd (x-list)
• Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control
GRC+ controls
Risks,
customers
requirement,
incidents,
law and
regulations
CO-1 Policy
Control 1
CO-2 Organisation
Control 2
Control 3
CO-3 Security mgmnt
Control 4
Etc….
Security &
BCM
Control
objectives
(17)
ISO 27001 annex A (133 potential Security and BCM controls)
73 baseline controls
22
ISACA Briefing - Security & Continuity @ KPN
60 risk based controls
September 2010
Assurance
Intern vs Extern
• Het Integrated Control Framework (ICF) beoogt
synergie tussen interne- en externe assurance
BCF beleid
Corporate Security policy
– Security: ISO 27001/27002 based
– Business Continuity: BS25999 based
• Assurance via quarterly DOR proces, GRC+
BCF
Specific
BCF & BU
Overlap
23
Market demands
Bepalen de basis van het compliance framework:
Integrated
Control
Framework
KPN
Business
Control
Framew
• Pilot is uitgerold bij GTN, doorontwikkeling in
2010-2011
–
–
–
–
–
–
Compliance
demands
ISO 9001
ISO 27001 (certification)
ITIL security & BCM elements
Assurance (SAS70 & TPM)
Cobit
VCA (Health)
Customer demands
Leiden tot addtionele eisen en assurance formaten:
BU
specific
Customer
specific
Market
demands
─
Customer
demands
─
─
─
ISACA Briefing - Security & Continuity @ KPN
Specific customer scope assurance such as
TPM & SAS70
Audit reports & certifications
PCI, ISO 14000, NEN 7510, etc.
Real-time monitoring, SOC/SIEM
September 2010
Maatregelen
Assurance middels ISO 27001 certificaten
–
–
24
Certificaten met generieke scope
Certificaat #
•
Hosting Services
2098139
•
Application Services
2106391
•
Cybercenter Services
ICS 008
•
Business Continuity Services
2098145
•
Local Area Network Services
2078860
•
Integrated & Outsourcing services
2126960
•
Operations Internationaal
2119991
Certificaten met specifieke scope
Certificaat #
•
Office Access & EVPN
2087166
•
KPN MTI SDU Transport
ISC 017
•
Osiris (Support team tooling)
2018483
ISACA Briefing - Security & Continuity @ KPN
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Lessons learned
•
Vragen
25
ISACA Briefing - Security & Continuity @ KPN
September 2010
Lessons learned
Transparantie en duidelijkheid
•
Plot Security & Continuity op de meerjarige business strategie
•
Schets belangen en risico’s in de “taal van de business”
•
Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit
Verantwoordelijkheden
•
Haal security implementatieverantwoordelijkheid uit de financiële kolom
–
Breng de “business” in haar rol t.a.v. policy implementatie en
–
geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance
Strategie
•
Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan)
•
Plan iteratief binnen die strategie
•
26
–
Wees wendbaar en flexibel
–
Plan tijd voor correctieve actie (Demming’s C&A-fasen)
Integreer waar mogelijk met bestaande processen en structuren
ISACA Briefing - Security & Continuity @ KPN
September 2010
Agenda
•
Security & Continuity @ KPN
•
Beleid
•
Organisatie
•
Besturing
•
Maatregelen
•
Lessons learned
•
Vragen
27
ISACA Briefing - Security & Continuity @ KPN
September 2010
Vragen…
28
ISACA Briefing - Security & Continuity @ KPN
September 2010
Related documents
SENIOR FIREWALL- CONSULTANT
SENIOR FIREWALL- CONSULTANT
200906150000000015_041p AFM melding van transacties in KPN
200906150000000015_041p AFM melding van transacties in KPN
KPN verkoopt deel van zijn Duitse telecommunicatiemasten
KPN verkoopt deel van zijn Duitse telecommunicatiemasten
Concept voice over tbv test
Concept voice over tbv test
Information Ethics
Information Ethics
201212140000000011_039p KPN verkrijgt zeer waardevol
201212140000000011_039p KPN verkrijgt zeer waardevol
7 tips hoe te handelen na een hack
7 tips hoe te handelen na een hack
Duidelijk en transparantdefinitief
Duidelijk en transparantdefinitief
Dit is cyber security
Dit is cyber security
Hoe veilig is jouw bedrijfsnetwerk?
Hoe veilig is jouw bedrijfsnetwerk?
200704130000000003_026p KPN brengt financiële
200704130000000003_026p KPN brengt financiële
DHM Security Management, voorwaarden inzake copyright en
DHM Security Management, voorwaarden inzake copyright en
Customer excellence
Customer excellence
Download
advertisement