ICT Outsourcing & Beveiliging

Transcriptie

1 ICT Outsourcing & Beveiliging Mr.W. H.M. Hafkamp abobank Nederland /Platform Informatiebeveiliging G VIB 18 december 2001 Jaarbeurs Utrecht

2 Agenda Toelichting abobank / PI Outsourcing proces De SLA-studies: praktijkwijzer Drielagenmodel Het (model)contract Objecten van uitbesteding Beveiligingsmatrix Stellingen

3 Even voorstellen... Wim Hafkamp: Senior adviseur informatiebeveiliging abobank Nederland Betalingsverkeer

4 abobank Groep Coöperatieve abobanken (439) Aangesloten Banken Bedrijf abobank Nederland Concernstaven abobank International Interpolis International Private Banking & Trust De Lage Landen International obeco Groep abofacet Schretlen & Co Gilde Investment Management Overige Deelnemingen

5 Platform Informatiebeveiliging Vereniging van: security managers (CSA) EDP-auditors (OTB) +/- 50 organisaties zijn lid Doel: beveiligingsnormen / studies themasessies

6 Outsourcing decision model IT Function of strategic importance? YES More than one capable vendor? NO Will outsourcing lead to loss of control? YES Can there be switched from vendor? NO Can vendor be sufficiently evaluated in advance? NO Can vendor realise economies of scale? NO Consider outsourcing Forget outsourcing

7 Het outsourcing proces Stap 1:Initiatie Haalbaarheidsonderzoek FI/FP Leverancierselectie Prijs/prestatie Contract Stap 2:Installatie Infrastructuur Organisatie Migratie Stap 3: Uitvoering Service (level) management SECUITY?!

8 PI-SLA studies Beveiliging in klant-leveranciersrelatie Studie 1: normen en bedreigingen Studie 2: contractuele aspecten Hulpmiddel voor SLA / contract betrokkenen

9 Uitgangspunten Eindverantwoordelijkheid kan niet worden uitbesteed Bestaande beveiligingsniveau wordt niet aangetast Aansluiting bij ITIL-methodologie Basis voor normen / maatregelen: relevante bedreigingen

10 Visie op uitbesteding Uitbesteding overeenkomst Tactisch niveau Operationeel niveau Strategisch niveau Service Level Agreement Dossier Afspraken en Procedures Provider Klant

11 Drielagenm o del:essentialia Maak contract tijd/conjunctuur-ongevoelig beveiligingsdetails in SLA anticipeer op toekomstige wetgeving gebruik bijlagen voor afspraken over: concrete dienstverlening prestatie-indicatoren uitgangspunten / randvoorwaarden definitie-omschrijving

12 Overeenkomst/contract 6:217 Bw (...) door aanbod en aanvaarding Mondelinge afspraken zijn bindend Wil & gewekte verwachting equest for proposal (pre-contractuele fase!)

13 Pre-contractuele fase: rechtspraaksteekproef Leverancier - Informatieverstrekking - Deskundige bij uitstek - Waarschuwingsplicht - Scholing (bijstandsplicht) Klant - Ondernemingsinfo - Vergewissingsplicht - Bedingen van tests

14 M o delcontract 14 artikelen: 1. Definities 2. Onderwerp 3. Prijzen en tarieven 4. Acceptatieprocedures 5. Overleg en rapportagestructuur 6. Controlerecht 7. Inzet derden

15 M o delcontract 8. Geheimhouding en beveiliging 9. Wijziging services 10. Garanties 11. Licentie en Intellectuele eigendom 12. Aansprakelijkheid 13. Duur van de overeenkomst 14. Geschillen

16 M o delcontract Aldus overeengekomen ( ): Opdrachtgever en leverancier Datum en Plaats

17 Objecten van uitbesteding Netwerk Werkplek ekencentrum Systeemontwikkeling BESCHIKBAAHEID INTEGITEIT VETOUWELIJKHEID

18 Beveiligingsmatrix Input voor SLA Ontstaan vanuit risicogedachte menselijk falen systeemtechnisch falen infrastructureel falen organisatorisch falen koppeling met Code voor Informatiebeveiliging

19 Gedeelte uitmatrix CITEIA VOO BEVEILIGING: - Beschikbaarheid (B) - Integriteit (I) - Vertrouwelijkheid (V) Nummer B I V Overig MOGELIJKE MAATEGEL(EN): BEDEIGING: Link naar Code voor Informatie beveiliging 2000 M MENSELIJK FALEN M1 X Verduidelijken werkzaamheden Onoplettendheid 4.1.3, 5.1, 6.1.1, B Collegiale/Interne controle 6.1.2, 6.2, 6.3, 7.2, M2 X Opleiden Ondeskundigheid 6.2, 8.1.1, B M3 X Duidelijke werkinstructies Helpdesk informatie Onvoldoende ondersteuning 6.2, 8.1.1, B M4 X X Toegangsbeveiliging Controle op geoorloofdheid van programma s egistratie en evaluatie gebruik Ongeoorloofd gebruik van systemen en programma s 4.2, 5.2, 7.2.1, 7.2.5, 7.2.6, 7.3, 8.1.4, 8.1.5, 8.7.5, 9 S M5 X Classificatie van gegevens egistratie en evaluatie gebruik Toegangsbeveiliging Clean Desk/screen policy Ongeoorloofd gebruik van gegevens en output 5.2, 7.2.5, 7.2.6, 7.3, 8.1.4, 8.1.5, 8.6, 8.7, 9, , 12.1 Klant IM Levera ncier

20 DIEFSTAL

21 BAND

22 AFLUISTEEN

23 Stap 1: selectie bedreigingen Selecteer op basis van object of B-I-V kwaliteitseis de relevante bedreigingen (Voorbeeld ekencentrum) EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM

24 Stap 2: adresseer maatregelen Maak de maatregelen genoemd bij de bedreigingen concreet en voeg toe aan SLA EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM

25 Stap 3: verantwoordelijken Koppel verantwoordelijke functionarissen (K/L) aan maatregelen in kader van naleving en communicatie EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM

26 Stelling 1 Beveiligingsnormen zijn lastig te concretiseren Aspecten als Integriteit en Vertrouwelijkheid zijn in een klant-leverancier vaak niet te kwantificeren. De PI-studies helpen bij het opstellen van een SLA en het adresseren van adequate beveiligingsmaatregelen.

27 Stelling 2 Certificering van IT-beveiliging niet dé oplossing Enkel certificering van leverancier is niet verstandig. Leverancier bepaalt dan immers niveau en kwaliteit van de geïmplementeerde maatregelen. Beveiligingsnormen dienen vooraf in een uitbestedingsovereenkomst / SLA vast te liggen!

28

29 Vragen /opmerkingen? Jullie mogen alles van mij weten, behalve mijn.