Security (in) architectuur

Transcriptie

1 de achtergrondfoto in oudige stappen! naar [Beeld] > [Model] > model] wijder de voorbeeldfoto t keyboard ) door op Reelding te klikken en delete] te drukken. Security (in) architectuur op [Invoegen] > eelding] > [Uit bestand] ies de foto die je wilt ruiken voor de entaxe door op oegen] te drukken. Bizzdesign seminar: security architectuur in de financiële sector 20 Maart 2015 op de door jouw voegde areelding met echterknop en klik op gorde] > [Naar ergrond] Xoneer de foto met je es toetsen, zodat deze d achter de ampersand t te staan ING. RENATO KUIPER, CISSP, CISA, CSF, TOGAF Risk Management, Architectuur, IAM, Cloud, ICS/SCADA 2013 CSA NL: Cloud Security Alliance/ board member 2013 Cyber Security Academy, programmagroep/ gastdocent 2012 Enterprise Security architect bij NS 2011 Haagse Hoge School: gastdocent security architectuur en cloud 2010 Management consultant/ Architect VKA HTS, PGEM, RAET, CMG, HP 30 jaar ICT kennis, 20 jaar security, 15 jaar architectuur e- mail: Renato.kuiper@vka.nl (c) 2015 Verdonck, Klooster &Associates ICT dient de mens Het team van VKA bestaat uit meer dan honderd adviseurs, programmamanagers en associates. VKA combineert technische kennis met organisatorische ervaring IT STRATEGIE & ARCHITECTUUR PROGRAMMAMANAGEMENT & COMMUNICATIE IT OPTIMALISATIE & PROCESINNOVATIE SOURCING & REGIE CYBERSECURITY & CONTINUÏTEIT (c) 2015 Verdonck, Klooster &Associates 1

2 PresentaQe op basis van ervaringen bij o.a.: Wat is een security architectuur? Architectuur is net als een kip, iedereen ziet het anders! 2

3 Wat is een (security) architectuur (1)? Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangende modellen en principes efficiënt en flexibel richqng geeu aan de invulling van het informaxebeveiligingsbeleid van een organisaxe. (c) Bron: 2015 Verdonck, PvIB ( Klooster &Associates Wat is een (security) architectuur (2)? Een (security) architectuur reduceert een complex probleem tot te bevawen modellen, principes en deelproblemen, veelal aan de hand van de bekende wat, waar, wanneer, hoe, waarmee en door wie vragen. De modellen en principes geven aan waar je welk type maatregelen neemt, wanneer de principes van toepassing zijn en hoe ze samenhangen met andere principes. (c) Bron: 2015 Verdonck, PvIB Klooster &Associates Wat is een (security) architectuur (3)? (c) Bron: 2015 Verdonck, PvIB Klooster &Associates Samenhang en inzicht Inzicht in de business requirements en de assets van de organisaxe en samenhang met de de maatregelen om die te borgen en beschermen. TransparanQe en evenwicht Zichtbaar relevante security eisen en uitgangspunten voor alle assets binnen de organisaxe, doel van algemene en specifieke maatregelen is duidelijk en inzichtelijk. Totaalbeeld en eenduidigheid Een duidelijk en consistent totaalontwerp, de samenhang van de maatregelen is duidelijk, er zijn geen onbegrijpelijke uitzonderingen of extra maatregelen. 3

4 Architectuur: TOGAF, DYA. TOGAF: OpenGroup (WorldWide): Ref: Guide to Security Architecture in TOGAF ADM, November, 2005, TOGAF and SABSA Integra?on, Oktober DYA : SogeX (Nederland): SABSA (SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE) OSA (Open Security Architecture) NORA :Nederlandse Overheids ReferenXe Architectuur PvIB: Security Patronen: (zoek op patronen) à PRESENTATIE JAAP VAN DER VEEN PosiQonering Security architectuur PrakQsch voorbeeld van posiqonering 4

5 Threats? Cyber threats (1) is een Word Economic Problem! Bron: WEF Cyber threats (2)- Maturity in aanpak (c) Bron: 2015 Verdonck, WEF Klooster &Associates 5

6 Cyber threats (3) Nieuwe ontwikkelingen ENISA threat landscape Bron: ENISA Ontwikkeling van een security architectuur Proces ontwikkelen van security in architectuur Determine ambixon level Assign security ResponsibiliXes Determine relevant security controls Determine security services (technical and operaxons) Het lijkt een waterval methode maar is het in de prak7jk niet! Security implementaxon guides Security roadmap 6

7 Proces ontwikkelen van security in architectuur Determine ambixon level Assign security ResponsibiliXes Determine relevant security controls Vaak vergeten stappen: AmbiXon (business problem!) Governance (hoe gaan we het besturen?) Roadmap (hoe gaan we het realiseren?) Determine security services (technical and operaxons) Security implementaxon guides Security roadmap Inhoud voorbeelden van Security architectuur RelaXe met ander beleid en aspectgebieden: - Privacy - HRM - Fysiek - BCM 7

8 Security architectuur RelaXe met ander beleid en aspectgebieden: - Privacy - HRM - Fysiek - BCM MOET BUSINESS GEDREVEN ZIJN IN TERMEN VAN RISICO s en RISICO MANAGEMENT!!! In detail OrganisaXe (security) en verantwoordelijkheden. Privacy Business ConXnuity Management. Wet en Regelgeving 8

9 Dreigingsbeeld Nederland NCSC (2014) Bron: NCSC (c) 2015 Verdonck, Klooster &Associates Voorbeeld: Dreigingsbeeld en ambiqeniveau GOEDKEURING OP C- LEVEL (c) 2015 Verdonck, Klooster &Associates Dreigingen en actoren (c) 2015 Verdonck, Klooster &Associates 9

10 Voorbeeld: Security principes op de business laag Support the business Integrate information security into essential business activities Derive value from information security, helping to meet business requirements Meet statutory obligations, stakeholder expectations and avoid civil or criminal penalties Support business requirements and manage information risks Analyze and assess emerging information security threats Reduce costs, improve efficiency and enhance effectiveness Defend the business Treat risks in a consistent and effective manner Prevent classified information (eg confidential or sensitive) being disclosed to unauthorized individuals Prioritize scarce information security resources by protecting those business applications where a security incident would have the greatest business impact Build quality, cost-effective systems upon which business people can rely (eg that are consistently robust, accurate and reliable) Promote responsible security behaviour Perform information security-related activities in a reliable, responsible and effective manner Provide a positive security influence on the behavior of end users, reduce the likelihood of security incidents occurring, and limit their potential business impact. Source: ISF, ISACA and ISC2 Voorbeeld security principes generiek Uitgangspunt moet zijn: Security by design (business driven) Privacy by design BCM by design Wat opvalt: Security is nog vaak rule based in plaats van principle based!! Strijd tussen CISO/ IRM en Enterprise architect Teveel BIV gerelateerd!!! Uitgangspunten InformaQebeveiliging Ondersteun de organisaqe Verdedig de organisaqe Verantwoord gedrag Gelaagde efficiënte beveiliging Hoofdprincipes Privacy Hoofdprincipes InformaQebeveiliging Vertrouwelijkheid Integriteit Beschikbaarheid HP- IB- 01 HP- IB- 02 HP- IB- 03 Hoofdprincipes Business ConQnuity Management (BCM) Logische toegangsbeveiliging Zonering en filtering Logging en Monitoring ConXnuïteit InformaXebeveiligingseisen ApplicaXon Controls Systeem integriteit Onweerlegbaarheid van transacxes InformaXebeveiligingsmaatregelen IdenXficaXe Zonering FuncXe en AuthenXcaXe Filtering Processcheiding AutorisaXe Versleuteling Invoercontrole Sleutelbeheer Uitvoercontrole Controle van gegevensverwerking Integriteit van gegevensverwerking Hardening Mobile code Beperking systeemhulpmiddelen Integriteitscontrole Wederzijdse authenxcaxe Logging Monitoring Herstel van verwerkingen RedundanXe Voorkomen disconxnuïteit 10

11 Van IB normen naar IB funcqes ISO normen /security services Security services en cloud Security verdeling bij cloud diensten : IaaS, PaaS en SaaS moet goed afgestemd worden Kijk naar de CSA CCM Cloud Security Alliance : Cloud Control Matrix 11

12 Models for zones/ security domains Bij mobiel ga je al snel naar een vier 7er service architectuur ipv klassieke 3 7er. Van klassieke security naar verhoogde weerbaarheid? NIST Cyber Security Framework (1) Bron: NIST 12

13 Roadmaps: sturing op realisaqe Roadmap op security funcqes Roadmap op maturity 13

14 Roadmap op ambiqe Roadmap op kosten Maatregelenset Incident Response Investering Projecturen Onderhoud FTE 1, Monitoring Investering Projecturen Onderhoud FTE IAM Investering Projecturen Onderhoud FTE 0, Basis Security Processen Investering Projecturen Onderhoud FTE 0,5 0, Infrastructuur Investering Projecturen Onderhoud FTE 0, Totalen Investering Projecturen Onderhoud FTE 4 7, Uurtarief 110 Parameters FTE tarief Onderhoud 18% Food for thoughts (1) Security architecturen en security in architectuur is nog geen gemeengoed in de sectoren. à Misschien is de financiële sector wel het verste ontwikkeld. Als security architect moet je nog teveel met het beleid bemoeien. à Is vaak niet concreet voldoende om te architecturen. Veel vertalingen zijn nodig om de actoren, moxvaxe en middelen te kunnen voorzien van juiste normen/ doelstellingen en doorvertaling naar concrete services. à Zijn nog geen standaarden voor beschikbaar, dus maatwerk per organisaxe! Scheiding taakgebied (security)architect en CISO/IRM (InformaXon Risk Management) moet nog scherper worden. à Ieder moet zijn rol kunnen pakken. 14

15 Food for thoughts (2) De Business is leading. à Bekijk risico s in temen van kansen en bedreigingen, enablement in plaats van prevenxon. De aandacht moet echt verschuiven van infrastructurele naar applicaxe en data beveiliging. à Aanvallen verschuiven hoger in de stack! InformaXebeveiliging, privacy en business conxnuity. à Versterken elkaar en zijn deels overlappend. Ga ervanuit dat je ooit gehacked wordt. à Wees er klaar voor. In 2005 riepen we de security architect bestaat over 5 jaar niet meer! à Het tegendeel is inmiddels bewezen. QuesQons There is never time enough to explain it all.. There is never time and money enough to do the right thing, there is always time and money for doing it again.. E- mail: Renato.kuiper@vka.nl 15