GASTVRIJ EN ALERT

Transcriptie

1 AANPAK MET VISIE GASTVRIJ EN ALERT

2 AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5 minuten 2 TOEKOMST MET VISIE

3 Even voorstellen 3 TOEKOMST MET VISIE

4 EVEN VOORSTELLEN Hans Alfons 62 jaar Gezin: In september 40 jaar getrouwd Vader van 2 dochters (met aanhang) Opa van kleindochter en zoon Hobby's: Kinderboerderij (30 jaar) Gemeentepolitiek (14 jaar) Informatiebeveiliging ( 7 jaar) 4 TOEKOMST MET VISIE

5 EVEN VOORSTELLEN Ministerie van Defensie ( t/m ) vanaf 1995 informatiebeveiliging: Expertise Centrum Koninklijke Landmacht. - Projectleider(1200 systemen / 100 kazernes / 300 eenheden) Staf Legerkorps Projectleider Informatiebeveiliging - Operationele eenheden, Joegoslavië, Irak en Afghanistan Hoofd Bureau Informatiebeveiliging Koninklijke Landmacht -CISO rol PENSIOEN 5 TOEKOMST MET VISIE

6 EVEN VOORSTELLEN; WAARDERINGEN 2005 Winnaar Risk Analyse Award e Plaats Joop Bautz Award 2009 Lid in de orde van Oranje Nassau 6 TOEKOMST MET VISIE

7 EVEN VOORSTELLEN: MIJN 1 E MOTTO IS 7 TOEKOMST MET VISIE

8 EVEN VOORSTELLEN: MIJN 2 E MOTTO IS 8 TOEKOMST MET VISIE

9 EVEN VOORSTELLEN: MIJN 3 E MOTTO IS 9 TOEKOMST MET VISIE bandbreedte

10 Risicoanalyse of Best Practice 10 TOEKOMST MET VISIE

11 RISICOANALYSE OF BEST PRACTICE Mijn opdracht bij de Koninklijke Landmacht (1998): 1. Voer een risicoanalyse uit per systeem, op iedere kazerne en bij iedere eenheid (operationeel). 2. Implementeer de maatregelen. 3. Laat deze maatregelen auditen. 11 TOEKOMST MET VISIE

12 RISICOANALYSE OF BEST PRACTICE fl inwoners van jaar + 1,5 jaar, 24 uur per dag werk 12 TOEKOMST MET VISIE

13 RISICOANALYSE OF BEST PRACTICE ISO WAT 1. Identificatie en authenticatie Wachtwoordlengte Wachtwoorden moeten zo lang zijn dat ze moeilijk kunnen worden geraden of afgeleid uit de versleutelde vorm. Wachtwoorden moeten zo lang zijn dat het moeilijk is om ze te ontcijferen. HOE 1.1 Wachtwoorden moeten uit minstens 6 tekens bestaan. LAAG 1.2 Wachtwoorden moeten uit minstens 8 alfanumerieke tekens bestaan, met minstens één letter en één cijfer. 1.3 Wachtwoorden moeten uit minstens 10 alfanumerieke tekens bestaan, met minstens één letter en één cijfer. MIDDEN HOOG 13 TOEKOMST MET VISIE

14 RISICOANALYSE OF BEST PRACTICE Module uit KL risicoanalyse en implementatie systeem 14 TOEKOMST MET VISIE

15 RISICOANALYSE OF BEST PRACTICE Per maatregel het Hoe ingevuld (keuze is de vindplaats) 15 TOEKOMST MET VISIE

16 RISICOANALYSE OF BEST PRACTICE Conclusie Voor ieder van de 27 BIV classificaties is een risicoanalyse uitgevoerd en het resultaat is dat de maatregelenset (ISO 27002) nagenoeg gelijk zijn. Het verschil wordt gemaakt in de implementatiewijze: Hoe zwaarder het niveau, hoe zwaarder de maatregel. Risico analyses zijn tijdrovend en best practices onmiddellijk uitvoerbaar. 16 TOEKOMST MET VISIE

17 RISICOANALYSE OF BEST PRACTICE Aanbeveling: Maak gebruik van een best practice (ISO 27002) het hoe Voeg hier aan toe (in beleidsdocumenten) het wat Laat de instellingen gezamenlijk een basisniveau op hoe niveau uitwerken 17 TOEKOMST MET VISIE

18 BEST PRACTICE OP DE VU Voorbeeld OTAP beleid: 18 TOEKOMST MET VISIE

19 Informatiebeveiliging op de VU 19 TOEKOMST MET VISIE

20 INFORMATIEBEVEILIGING OP DE Geschiedenis 6 bedrijven of personen (6 tot 12 maanden werkzaam op de VU) Resultaten Plan van aanpak Strategisch- en informatiebeveiligingsbeleid 20 TOEKOMST MET VISIE

21 INFORMATIEBEVEILIGING OP DE Mijn visie Is gelijk aan de voorgangers. ISO en ISO ISMS op basis van PDCA cyclus Bewustwording medewerkers en studenten Toegevoegd: Benaderen als een cultuur veranderingstraject Waar wil je heen stip op de horizon 21 TOEKOMST MET VISIE

22 INFORMATIEBEVEILIGING OP DE Cultuurverandering 1. Het beïnvloeden van anderen begint bij jezelf. 2. De verandering moet leuker zijn dan de huidige situatie 1. Informatiebeveiligingsorganisatie georganiseerd 2. IT beveiligen (ik schrijf procedures.) 1. Informatiebeveiligingsorganisatie georganiseerd en IT beveiligd 2. Instelling beveiligen ( Wij leveren beveiligde diensten.) 22 TOEKOMST MET VISIE

23 INFORMATIEBEVEILIGING OP DE 2018 CMM CMM CMM3 23 TOEKOMST MET VISIE

24 INFORMATIEBEVEILIGING OP DE Gekozen werkwijze - op basis van jaarplan en meer jaren begroting - oplossen managementletter aanbevelingen - Privacy (SOC richtsnoer, PO juridisch deel) - Advies en ondersteuning - Kennis delen en halen - Vu breed uitvoeren (SURF) audit - CISO, - Directeuren diensten of bedrijfsvoering bij faculteiten, - IT operatien, functioneel beheer en projecten, - Fysieke beveiliging 24 TOEKOMST MET VISIE

25 INFORMATIEBEVEILIGING OP DE Wat hebben we bereikt - Integrale beveiligingsaanpak - Security Operations Center (5 fte n) - proactief CERT - virtueel CERT - CISO verantwoordelijk (directeur IT/CIO) - ISO coördinator (uitvoerende werkzaamheden CISO) - Geen systeem of change operationeel zonder toestemming CISO - Verantwoordelijkheid daar waar hij thuis hoort. - Besluitvormingsproces documenten risicoacceptatie ingericht - Budget M 1,5 per jaar 25 TOEKOMST MET VISIE

26 INFORMATIEBEVEILIGING OP DE 26 TOEKOMST MET VISIE

27 INFORMATIEBEVEILIGING OP DE Besluitvormingsproces i.p.v. stuurgroep informatiebeveiliging ISO voorstel AD voorstel adviseert ter besluitvorming CISO advies ICT ICT Board business VB informeert informeert adviseert adviseert CvB informeert BOVU informeert onderdelen 27 TOEKOMST MET VISIE

28 De Surfaudit 28 TOEKOMST MET VISIE

29 DE SURFAUDIT 29 TOEKOMST MET VISIE

30 DE SURFAUDIT 30 TOEKOMST MET VISIE

31 DE SURFAUDIT Vragen / maatregelensets CvB / CISO (29 vragen) Directeuren Diensten (45 vragen) Directeuren BV Faculteiten (38 vragen) Afdelingsmanager IT (56 vragen) Systemen (51 vragen) Projecten / onderzoeken (afhankelijk object) 31 TOEKOMST MET VISIE

32 DE SURFAUDIT MET EIGEN SYSTEEM 32 TOEKOMST MET VISIE

33 VU AANPAK MET EIGEN SYSTEEM incidenten beheer impact dreigingen HO RISICO S incident Q rapp status: - risico s - dreigingen SURF- set Volwassenheidsniveaus eigen maatregelsets CBP richtsnoer externe auditor cloudmaatregelen CSA VU ISO man rapporten audit rapporten verbeterplannen benchmarken grafieken overzichten systemen dataclassificatie PIA beveiligingsplan 33 TOEKOMST MET VISIE

34 VU AANPAK - WENSEN SOC Benchmark HO - Surf - Privacy Directeuren Dreigingsbeeld HO Peeraudits Beheer normenkaders VU ISO Systeemeigenaren Interne auditdienst Externe auditor WEBBASED (pc en tablet) 34 TOEKOMST MET VISIE

35 VU AANPAK - WAAROM EIGEN SYSTEEM - geen product op de markt dat aan de wensen voldeed - werkwijze product volgen -- geen maatwerk - wijzigen door leverancier kosten veel tijd - geen mogelijkheid om eigen onderdelen te vergelijken - geen eigen maatregelsets kunnen maken - maatregelsets lastig aan te passen - soms functioneel beheer in buitenland - langdurige implementatie trajecten - niet uit te breiden met incidentbeheer - complex - duur 35 TOEKOMST MET VISIE

36 Toch een product. 36 TOEKOMST MET VISIE

37 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA 37 TOEKOMST MET VISIE

38 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA de maatregel 38 TOEKOMST MET VISIE

42 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA de maatregel c 42 TOEKOMST MET VISIE

44 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Audit c 44 TOEKOMST MET VISIE

45 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Audit 45 TOEKOMST MET VISIE

46 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Audit c 46 TOEKOMST MET VISIE

47 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA 47 TOEKOMST MET VISIE

48 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 1 e grafiek CMM per hoofdstuk TOEKOMST MET VISIE

49 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 2 e grafiek Benchmark instelling 49 TOEKOMST MET VISIE

50 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 3 e grafiek gemiddeld CMM per hoofdstuk 50 TOEKOMST MET VISIE

51 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 4 e grafiek gemiddeld CMM per jaar 5 Gemiddeld CMM per jaar 4,5 4 3,5 Gemiddeld CMM 3 2,5 2 1,5 1 0, Jaar 51 TOEKOMST MET VISIE

52 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA DE INSTELLINGEN 52 TOEKOMST MET VISIE

53 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 1 e grafiek dreigingsniveau 53 TOEKOMST MET VISIE

54 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 2 e grafiek gemiddeld CMM, per hoofdstuk, per jaar 54 TOEKOMST MET VISIE

55 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3 e grafiek dreigingen per CMM niveau 55 TOEKOMST MET VISIE

56 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3 e grafiek drill down 56 TOEKOMST MET VISIE

60 Laatste 5 minuten 60 TOEKOMST MET VISIE

61 VU AANPAK - WENSEN SOC Beheer normenkaders Directeuren Peeraudits Benchmark HO - Surf - Privacy VU ISO Systeemeigenaren Interne auditdienst Externe auditor Dreigingsbeeld HO WEBBASED (pc en tablet) 61 TOEKOMST MET VISIE

62 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Beheer normenkaders 62 TOEKOMST MET VISIE

63 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Benchmark structuur Smile voor informatiebeveiliging Smile koppelvlak Vrije Universiteit Amsterdam Eventuele andere Universiteiten SURF Database Peeraudits 63 TOEKOMST MET VISIE

64 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Benchmark settings Universiteiten geven zelf aan: - Of ze data willen oversturen - Welke data ze willen oversturen - Hoe ze data willen oversturen - Webservices (WDDX, JSON) - (XML) - Excel (CSV, XLS(X)) - SQL - 64 TOEKOMST MET VISIE

65 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Benchmark rapportages - Real-time - Diverse output formats: - PDF of Word documenten - s - CockPIT 65 TOEKOMST MET VISIE

66 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Benchmark CockPIT (Dreigingsbeeld) 66 TOEKOMST MET VISIE

72 VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Dialoogcafe Graag betrekken we jullie bij onze benchmark ideeën! - Het Nieuwe Auditen inzetten voor Informatiebeveiliging: - dinsdag 6 oktober Kijk op: 72 TOEKOMST MET VISIE

73 Vragen Hans Alfons TOEKOMST MET VISIE