Security (in) architectuur

Transcriptie

1 Security (in) architectuur ISC2 chapter Netherlands Donderdag 21 november 2013 Ing Renato Kuiper, CISSP, CISA, TOGAF, CSF Logo Klant

2 Focus op: Security, risicomanagement, IAM, Cloud en architectuur Vanuit VKA: Enterprise Security architect bij NS 2013 CSA: Cloud Security Alliance NL: research 2013 CSA: Cyber Security Academy: programmagroep 2000 Diverse PvIB rollen en publicaties 2010 Management consultant/ Architect VKA Renato Kuiper Docent HTS, systeem programmeur, security specialist 2

3 Agenda Wat is een security architectuur? Positionering security in architectuur Inhoud, voorbeelden, voorbeelden en nog eens voorbeelden Security patronen Wie stelt welke vragen? Gebruik architectuur Diversen 3

4 Wat is een security architectuur? 4

5 Wat zijn de klantvragen Help, Ik moet beveiligen! Ik mis overzicht, inzicht en samenhang, heb geen mensen, weet niet waar te beginnen??? Ik moet compliant zijn (maar het kost zo veel extra). Ik geef veel geld uit maar weet niet waaraan, en of het nu zin heeft. Ik weet niet of ik wel veilig ben? Security zie ik als kostenpost, hoe krijg ik de business mee? Oplossing Security (in) architectuur.?? 5

6 Architectuur is net als een kip, iedereen ziet het anders! 6

7 Wat is een (security) architectuur (1)? Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangendemodellen en principes efficiënt en flexibel richting geeft aan de invullingvan het informatiebeveiligingsbeleid van een organisatie. 7

8 Wat is een (security) architectuur (2)? Een (security) architectuur reduceerteen complex probleem tot te bevatten modellen, principes en deelproblemen, veelal aan de hand van de bekende wat, waar, wanneer, hoe, waarmee en door wie vragen. De modellen en principes geven aan waar je welk type maatregelen neemt, wanneer de principes van toepassing zijn en hoe ze samenhangen met andere principes. 8

9 Security (in) architectuur, geeft Samenhang en inzicht Inzicht in de business requirements en de assets van de organisatie en samenhang met de de maatregelen om die te borgen en beschermen. Transparantie en evenwicht Zichtbaar relevante security eisen en uitgangspunten voor alle assets binnen de organisatie, doel van algemene en specifieke maatregelen is duidelijk en inzichtelijk. Totaalbeeld en eenduidigheid Een duidelijk en consistent totaalontwerp, de samenhang van de maatregelen is duidelijk, er zijn geen onbegrijpelijke uitzonderingen of extra maatregelen. 9

10 Verschillende soorten architecturen verwarring??? Referentiearchitectuur:modelarchitectuur voor een toepassingsdomein: Bijvoorbeeld NORA, MARIJ etc. Domeinarchitectuur:architectuur voor een specifiek domein binnen de organisatie (bijvoorbeeld business unit). Project Start Architectuur(PSA-conform DYA): architectuur stuurelement voor een op te starten project. Huidige (IST/ Current State) architectuur: beschrijving van de huidige situatie. Gewenste (SOLL/ Future State) architectuur: te realiseren architectuur; kan einddoel beschrijven. Tussen (MIGRATIE/ Target State) architectuur: een platform in de doorontwikkeling naar de SOLL architectuur.. 10

11 Architectuur: TOGAF, DYA. 11

12 Architectuur modellen TOGAF: OpenGroup (WorldWide): Ref: Guide to Security Architecture in TOGAF ADM, November, 2005, TOGAF and SABSA Integration, Oktober 2011 DYA : Sogeti (Nederland): SABSA (SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE) OSA (Open Security Architecture) NORA :Nederlandse Overheids Referentie Architectuur : patronen ( PvIB: Security Patronen: op patronen) 12

13 Positionering Security architectuur 13

14 Architectuur views Bedrijfsarchitectuur Informatiearchitectuur Technische architectuur Security architectuur Security staat los van de rest van de architecturen! 14

15 Architectuur views Bedrijfsarchitectuur Informatiearchitectuur Technische architectuur Security architectuur Security als (integraal)onderdeel van de architecturen! 15

16 Voorbeeld van positionering LEEG GELATEN 16

17 Inhoud voorbeelden van 17

18 Inhoud security architectuur 18

19 In detail 19

20 Wet en Regelgeving LEEG GELATEN 20

21 Dreigingsbeeld Nederland NCSC (2012) 21

22 Dreigingsbeeld en ambitieniveau ORGANISATIE SPECIFIEK LEEG GELATEN Bepaling door CISO en CV Goedkeuring door RvB 22

23 Dreigingen en actoren 23

24 Van IB normen naar IB functies 24

25 Security services (1) 25

26 Security services (2) 26

27 Security Services (3) Ga je het zelf beheren, doet een ICT dienstverlener het voor je of beleg je het in een SOC (Security Operations Center), of doe je een mix, of weet je het gewoon nog niet! 27

28 ISO normen /security services 28

29 Security services in de OSI stack 29

30 Security standaarden en protocollen 30

31 Security services en cloud 31

32 Security services (zelf of extern SOC?) 32

33 Security patronen 33

34 Security patronen Patronen Standaard oplossing voor een bekend beschreven probleem. Inhoud patroon: Naam Patroon Aspect Context Probleem Afwegingen Voorbeeld Gerelateerde patronen Normen 34

35 IB functiemodel 35

36 Het NORA model 36

37 Projectie van IB functies op de keten 37

38 Voorbeeld patronen 38

39 Modellen (Elektronische handtekening) 39

40 Zoneringsmodel /security domeinen LEEG GELATEN 40

41 Wie stelt welke vragen? 41

42 Architectuurlagen en beveiligingvragen Businesslaag Stakeholders??? Informatiemanagement Vragen, knelpunten, dilemma's, onmogelijkheden voor voor Security Applicatiearchitect Informatielaag Applicatieontwerper Infrastructurele laag Applicatiebouwer Strategische dialoog over dreigingen en kwetsbaarheden Infrastructuur 42

43 Gebruik architectuur? 43

44 Gebruik van architecturen Bij realisatie van projecten/ programma s. Referentie architectuur is uitgangspunt. Project realiseert slecht een deel van het totaal. Projectsturing door: PID: Project Initiation Document : PROCES. PSA: Project Start Architectuur: INHOUD. PSA wordt vormgegeven vanuit (meerdere) referentiearchitecturen als die los van elkaar staan of vanuit slechts één referentiearchitectuur. 44

45 Diversen 45

46 Security views en objecten in TOGAF ADM H. Evaluatie en bijsturing, onderhoud A. Input uit beleid B. Risicoanalyse en Businesseisen G. Governance, auditkader C. Classificatie gegevens, eisen op functioneel niveau maatregelen in applicaties F. Veranderplan D. Dreigingsanalyse, technische maatregelen E. Marktaanbod Samenloop projecten, 46

47 VKA Aanpak Security Architectuur Kaders Vertaling Business eisen Naar architectuur concepten Ontwerp Architectuur Realisatie Afbakening Business doelstellingen Vaststellen principes Roadmap Doelstellingen Risico management Vertalen naar richtlijnen Keuze techniek Planning Organisatie context Interactie met andere architecturen Tonen van samenhang in modellen Implementatie Voor de business, Informatie en techniek laag Prelim A B c D E F G H 47

48 TOGAF en SABSA Bron: Opengroup okt 2011: TOGAF and SABSA Integration 48

49 Vragen Er is altijd te weinig tijd om alles uit te leggen. Er is nooit tijd en geld om iets goed te doen, maar er is altijd tijd en geld om iets opnieuw te doen. 49