Nieuwe richtlijnen beveiliging webapplicaties NCSC

Transcriptie

1 Nieuwe richtlijnen beveiliging webapplicaties NCSC Jan Matto Praktijkervaringen en gevolgen voor ICT certificering. Van beren op de weg, naar knuffelberen Rotterdam, 12 juni

2 Introductie: Jan Matto Bij Mazars sinds 1981 Sinds 1998 partner Mazars Paardekooper Hoffman Mazars Management Consultants Informaticus en Register EDP auditor Projectleider SBR/XBRL --- MazarsOnline Andere nevenactiviteiten: Partime docent bij verscheidene opleidingsinstituten Projectgroep internationale ontwikkelingen IT en IT auditing van de NOREA Lid stuurgroep Voortgezette Educatie Register Accountants IT en Assurance Redactielid Handboek EDP-auditing Kluwer/NBA Lid projectgroep XBRL van de NBA Commissie Zeker Online Belastingdienst Commissie Zekere Afrekensystemen Belastingdienst Regelmatig spreker op congressen Publicaties op terrein van ICT en controle Reviewer richtlijn beveiliging webapplicaties Nationaal Cyber Security Centrum 2

3 Mazars Management Consultants Enkele recente opdrachten : Onderzoek veiligheid Electronische Nederlandse Identiteitskaart (enik), opdracht Ministerie BZK, Justitie en Veiligheid (PET en PbD) Ontwikkeling van framework en auditaanpak voor toepassing Wet op de Politiegegevens, opdracht van Politie Nederland Uitvoering van diverse audits (WPG) bij politieorganisaties / inlichtingendiensten ISAE3402 certificering voor IAAS, PAAS, SAAS- / WEB toepassingen Privacycertificeringen / audits : ASR, QIY, Ministerie van Verkeer en Waterstaat, Equens, Onderzoek voor Ministerie van Justitie & Veiligheid naar het No-Q systeem Diagnose falende IT systemen en falend IT beleid Review en advies bij National Cyber Security Centrum: richtlijn beveiliging webapplicaties Uitvoering pilots DigiD beveiligingsassessments (nalv Diginotar en Lektober) 3

4 IT Risico s en Compliance Mazars 4

5 5

6 IT Audit normenkaders Bron 6

7 CobiT framework 7

8 Measuring Progress CMM IT Governance I.S. Governance Assessment Maturity Model Applied: CobiT 3 Management Guidelines 5 GLI Governance Maturity Risk Management Non- Existent Initial Repeatable Defined Managed Optimized Legend for symbols used Legend for rankings used Starting Point 0 - Management processes are not applied at all 1 - Processes are ad hoc & disorganized 2 - Processes follow a regular pattern 1 Interim Target states 3 - Processes are documented and Organization s strategy for communicated improvement - where the 4 - Processes are monitored and organization wants to be measured Best practices are followed and automated 2 Year 1 Year 2 Year 3 Year 4 Year 5 Bron: Cobit

9 IT Governance / compliance normen (I) Sector Norm Instituut Beheers- aspect Alle sectoren European Privacy Seal EuroPrise Beveiliging Alle sectoren WBP en sectorale wetten informatieverwerking Overheid/ CBP Privacy Credit Card gegevensver werkingen Meldplicht verlies persoonsgegevens, PCI Overheid / PCI Beveiliging Zorg NEN 7510,1,2,3,4 NEN/NNI Beveiliging data Overheid NORA (Nederlandse Overheid Referentie Architectuur) ICTU Systeemarchitectuur Alle sectoren Cobit, ITIL, CMM, Diverse instituten Alle sectoren Privacy Audit Proof NIVRA & NOREA Beheersdoel stellingen IT Privacy 9

10 IT Governance / compliance normen (II) Sector Norm Instituut Beheers- aspect Overheid/ IT service providers Richtlijn beveiliging webapplicaties NCSC Beveiliging Online Boekhouden ZekerOnline Belasting Dienst / ECP-EPN Beveiliging Betrouwbaarheid POS leveranciers Zekere Afrekensystemen Belasting Dienst / ECP-EPN Beveiliging Betrouwbaarheid Hosting Providers Keurmerk Hosting Branche, (IO) DHPA Beveiliging Betrouwbaarheid 10

11 ICT systeemcrisis en toezichthouders College Bescherming Persoonsgegevens 11

12 ICT systeemcrisis Consumenten, klanten, communities, en media zijn ook toezichthouders 12

13 Bevindingen onderzoek Diginotar & Lektober (1) Verschillende onderzoeksrapporten opgesteld in opdracht van Minister Spies zijn inmiddels beschikbaar. Enkele conclusies: Te veel eenzijdige aandacht aan stelsels van interne beheersing / management processen Verwaarlozing van de IT werkelijkheid Technische kennis ontbreekt veelal Spreiding van IT verantwoordelijkheden door de keten Standaarden zijn te star ten opzichte van de dynamiek van de techniek De beveiliging van ICT vereist een dynamisch proces Eenmalige audits zijn onvoldoende Monitoring is noodzakelijk om op nieuwe risico s te kunnen anticiperen. 13

14 Bevindingen onderzoek Diginotar & Lektober (2) Samenvatting & conclusies certificering voor de verandering: Doel en doelgroep van certificering moet voldoende helder zijn Is toekomstgerichte certificering een houdbare situatie? Gangbare normen en standaarden kennen beperkingen Control frameworks vereisen voortdurend aanpassing aan context / verandering Integraal oordeel is gewenst over gehele keten, terwijl veelal sprake is van een gefragmenteerd oordeel verdeeld over ketenpartners / deel verantwoordelijke en systeemlagen. Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multi-disciplinaire benaderingen zijn nodig. Zonder de juiste tools gaat het niet 14

15 HighLights Richtlijnen Beveiliging Webapplicaties NCSC 15

16 HighLights Richtlijnen Beveiliging Webapplicaties NCSC Focus uitsluitend op veiligheid van client facing webapplicaties Start project in oktober 2011 Draft beschikbaar eind december 2011 Definitief 1 februari 2012 Eerste toepassing is op DigiD gebruikende organisaties Zijn generiek bedoeld voor alle webapplicaties 16

17 HighLights Richtlijnen Beveiliging Webapplicaties NCSC Scope bepaling: Raamwerk Beveiliging Webapplicaties Specifieke Maatregelen Generieke Maatregelen Alle lagen Beveiligingsintegratie Achterliggende systemen (Web)applicatie Vertrouwelijk- & onweerlegbaarheid Toegangsbeheer Identiteitbeheer Applicatiebeveiliging Platformbeveiliging Monitoring, Aufiting, Alerting, Informatiebeveiligingsbeleid Uit Scope Netwerkbeveiliging Client 17

18 HighLights Richtlijnen Beveiliging Webapplicaties NCSC Algemene beveiligingsrichtlijnen: B01= Informatiebeveiliging als proces B02 = Actief risicomanagement B03 = Documenteer maatregelen en onderhoud documentatie B04 = Actueel overzicht ICT componenten en services en de relaties daartussen B05 = Wijzigingenbeheer B06 = Hardening B07 = Actuele beveiligingspatches B08 = Penetratie tests B09 = Vulnerability assessments B010 = Policy compliance checks B011 = Backup en recovery proces B012 = Toegangsbeveiliging B013 = Verwijderen niet gebruikte websites B014 = Overeenkomsten met leveranciers 18

19 HighLights richtlijn Nationaal Cyber Security Centrum Enkele voorbeelden specifieke maatregelen: Adoptie van OWASP https://www.owasp.org/index.php/main_page Periodieke Penetratie testen Hardening Code reviews Invoervalidatie Error Handling Change management / release beleid Systeemontwikkelproces OWASP: Open Web Application Security Program 19

20 OWASP Top Ten (2010 Edition) 20

21 HighLights richtlijn Nationaal Cyber Security Centrum Uitstekende samenhang in document: Risico s en beheerdoelstellingen Te treffen maatregelen (behoorlijk concreet) Onderbouwing met een rationale Concreetheid en systeemgerichtheid is van een nieuw hoog niveau (Gericht op de ICT werkelijkheid) Krijgt al behoorlijk navolging: Adoptie door andere initiatieven Krijgt tot nu toe brede steun Wordt nu al gebruikt bij selectie en inkoopprocessen 21

22 Beperkingen Richtlijn Beveiliging Webapplicaties Alleen beveiliging webapplicaties! Gaat niet over beveiliging back office systemen Gaat niet over de rol van ICT Gaat niet over functionaliteit of architectuur Behoorlijke technische kennis is nodig Zonder tools gaat het niet Geen aandacht voor Soft Controls 22

23 Ervaringen DigiD-beveiligingsassessments De verantwoordelijke organisatie ontbreekt de kennis De verantwoordelijke organisatie heeft niet voldoende documentatie over inrichting systemen / weinig is geregeld Tot nu toe altijd sprake van uitbesteding Gemiddeld 3 webapplicaties per organisatie Gemiddeld 5 betrokken ICT leveranciers! Bepaling scope is eerste uitdaging Het betreft een ketenaudit! Realisatie vanuit de userorganisaties is lastig Actieve betrokkenheid ICT- leveranciers is noodzakelijk Als systeemcomponenten en systeemlagen zijn toebedeeld aan leveranciers is uitvoering goed te doen Inzet van tools maakt eea beter haalbaar 23

24 Ervaringen DigiD-beveiligingsassessments Scope bepaling: Audit objecten SaaS PaaS Architectuur User Organisatie (Web)applicatie Identity management system Netwerk Besturingssysteem Control framework IT Governance model IaaS Database Data Hardware Fysieke omgeving 24

25 Andere fricties toepassing richtlijn bij DigiD systemen Logius heeft de helft van de richtlijn als verplicht geschrapt voor de DigiD beveiligingsassessments(?!) Dit betreft met name de onderdelen gericht op de ICTwerkelijkheid (voorbeeld code reviews) Toch weer het gevaar van schijnzekerheid Relevantie van de audit (en de auditor) dreigt dan een discussie te worden Oproep aan ICT leveranciers is om het voortouw te nemen! 25

26 Overwegingen bij soorten certificering (1) Certificering toekomstgericht met een geldigheidsduur? Certificering alleen retrospectief? Certificering met uitspraak mate van zekerheid of niet? Alleen rapportage feitelijke bevindingen / afwijkingen van de norm TPM, ISAE 3000, 4400 (agreed upon procedures) Wel/ geen oordeel en mate assurance? Wel / geen management assertion? (ISAE3402 is met) Certificering van opzet en bestaan (ISAE3402 type I) Of ook de werking van maatregelen (ISAE3402 type II) Dominante focus op Management Proces? Dominante focus op IT werkelijkheid? 26

27 Overwegingen bij soorten certificering (2) Techniek is dynamisch (zo ook gerelateerde risico s / denk aan OWASP) Systemen zijn dynamisch ( ) Gebruik van systemen is dynamisch ( ) Kan volstaan worden met een jaarlijkse controle? Frequenter controle en continuous monitoring nodig? Alleen general controls? Of ook application controls / functionaliteiten? Wel management assertion? Verspreidingskring certificaat? Rapportage van auditor naar auditor? Opdrachtgeverschap (audittee, toezichthouder, user organisation, service organisation,.?) OWASP= Open Web Application Security Program 27

28 Overwegingen bij soorten IT Audits & certificering (I) A) Single Aspect Audits / Multi Aspect Audits Heldere norm Minder heldere norm Vergelijkbaarheid goed Vergelijkbaarheid minder goed B) Single Entity Audits / Multi Entity Audits Framework eenduidig Meervoudig (ketenverantwoordelijkheden) C) Single Responsibility / Multi Responsibility Frictie kan ontstaan indien elke ketenpartner een eigen deel audit laat uitvoeren met eigen normenkaders. Bewaking van geheel is dan een issue. (Blinde vlekken, onontdekte risico s etc.) Vooral Cloud Computing vraagt om een Multi-benadering 28

29 Omgevingsfactoren ICT Risicogebieden en kijkrichtingen Maatschappelijke Ontwikkelingen Technologische Ontwikkelingen Best Practices Juridische aspecten Veranderend gebruik van ICT ICTsysteem Laagdrempeligheid gebruik ICT Financiële monitoring RvB Interne Beheersing Omgevingsfactoren RvC Besturing Beleid Compliance Bedrijf Waarde creatie Wet- en regelgeving Toezichthouders & Auditors Normen & standaarden Markt Stakeholders Omgevingsfactoren SAAS, PAAS, IAAS, Omgevingsfactoren Mazars Management Consultants 29

30 De context bepaalt de norm Toenemende complexiteit Systeemtechnische overgangen in ICTarchitectuur Verschuivingen van dominante macht Houdbaarheidsduur neemt af Herbezinning besturingsmodel bedrijfsvoering en van ICT-funtie I. II. III. Processen IV. Commercieel/ PMC s Externe integratie CRM SOA Cloud Toename:: - automatiseringsgraad - afhankelijkheid ICT - noodzaak alignment business en ICT - aard en omvang risico s - complexiteit - differentiatie systemen - portfolio aan applicaties en interfaces Financieel Financieel pakket ERP / PSA Toenemende dynamiek 30

31 Audit en Certificering in The Cloud anno 2012: Bundeling van juiste kennis is essentieel voor een relevante en effectieve audit: Kennisgebieden: Audit, risico s en interne beheersing Juridische aspecten Systemen en techniek Beveiliging Organisatorische aspecten. Audit vereist multidisciplinaire aanpak Audit vereist samenwerkingsverbanden 31

32 32

33 Nieuwe richtlijnen beveiliging webapplicaties NCSC Dank voor uw aandacht! Jan Matto Twitter: Jan_Matto Mobiel: