Een praktische blik op beveiligingsarchitecturen Themamiddag PI & GvIB, 18 april 2007

Transcriptie

1 IT ADVISORY Een praktische blik op beveiligingsarchitecturen Themamiddag PI & GvIB, 18 april 2007 IT SECURITY SERVICES Ruben de Wolf KPMG IT Advisory

2 Onderwerpen Wat is een beveiligingsarchitectuur? IT architecturen All the good reasons Valkuilen Onderzoek maturity referentiearchitecturen Geen garantie voor succes Een praktische blik op security architecturen All the good reasons Valkuilen Lopend onderzoek security maturity Ten slotte 2

3 Wat is een beveiligingsarchitectuur eigenlijk? Door security specialisten, voor security specialisten? Beveiliging is één invalshoek van dè IT architectuur Één IT architectuur handhaven is al lastig genoeg 3

4 All the good reasons Waarom informatietechnologie onder architectuur brengen? Interoperatibiliteit: integratie met derden mogelijk maken Standaardisatie: uitbannen exotische IT oplossingen Consolidatie: economy of scale bereiken Stabiliteit verbeteren: alleen steunen op proven technology Kostenreductie: standaard oplossingen strak inkopen Decomplexing: eenmalige opslag, meermalig gebruik van data Beveiliging: veilig ontsluiten van gegevens via onveilige netwerken 4

5 Wanneer werkt een IT architectuur zeker niet? Niet te dragen Niet gedragen Niet begrepen 5

6 Valkuilen IT architecten zonder mandaat, cq. te veel mandaat IT architectuur geeft te veel ruimte tot interpretatie IT architectuur is onvoldoende gecommuniceerd De huidige IT infrastructuur biedt nog geen ondersteuning Geen oog voor de migratie naar de gewenste situatie zoals in de IT architectuur is vastgelegd, oftewel geen onderscheid tussen end-state en intermediate states van de IT architectuur Er worden vanuit korte termijn doelstellingen te veel ontheffingen afgegeven. Langere termijn doelstellingen worden niet behaald IT projecten die niet laten toetsen of dezelfde functionaliteit ook via gangbare standaarden gerealiseerd kan worden IT solution providers die geen positieve prikkels krijgen om de IT architectuur te volgen: u vraagt, wij draaien 6

7 Wanneer werkt een IT architectuur wel? Handzaam, concreet, toegankelijk, onderhoudbaar, bekend Als een bewezen business case beschikbaar is, bijvoorbeeld een heldere integratie- of besparingsdoelstelling Als architecten mandaat hebben om de architectuur te handhaven Als architecten vroegtijdig bij IT projecten betrokken zijn Een realistisch groeipad beschikbaar is Als CIO s, project sponsoren, programmamanagers, projectportfoliomanagers, projectleiders, e.d. worden afgerekend op het binnen budget en planning op leveren van architectuur-proof IT oplossingen (vastleggen als KPI s in prestatiecontracten) 7

8 Onderzoek effectiviteit Referentiearchitectuur (RA) Onderzoek onder top financials binnen bedrijfsleven en overheid Maturity levels gedefinieerd langs volgende invalshoeken Betrokkenheid management Alignment architectuur met bedrijfsstrategie Vastlegging referentiearchitectuur Toepassing referentiearchitectuur door ICT projecten Communicatie van de architectuur en -ontwikkelproces Evaluatie en beheer van de architectuur -ontwikkelproces Besturing van ICT ontwikkelingen met de RA als stuurinstrument 8

9 Maturity Model Referentiearchitecturen Niveau 1 Informeel Uitvoering Niveau 2 Gedocumenteerd Beleid Niveau 3 Toegepast (Beleid ^ Uitvoering) Niveau 4 Beheerd (Beleid ^ Uitvoering ^ Controle) Niveau 5 Beheerst (Externe invloeden ^ (Beleid ^ Uitvoering ^ Controle) ^ Bedrijfsdoelstellingen)) 9

10 Vraag 1: Betrokkenheid management en verantwoordelijke voor Referentie Architectuur (RA) Niveau Org1 Org2 Org3 Org4 Org5 Vraag 4a: Inrichting van de Referentiearchitectuur Niveau Org1 Org2 Org3 Org4 Org5 Vraag 5: Communicatie van RA en architectuurontwikkelproces Niveau Org1 Org2 Org3 Org4 Org5 Vraag 2: Alignment RA met bedrijfsstrategie en doelstellingen Niveau Org1 Org2 Org3 Org4 Org5 Vraag 4b: Mate van toepassing van de RA door ICT projecten Niveau Org1 Org2 Org3 Org4 Org5 Vraag 6: Evaluatie en beheer van de RA en het architectuurontwikkelproces Niveau Org1 Org2 Org3 Org4 Org5 Vraag 3: Vastlegging RA en architectuurontwikkelproces Niveau Org1 Org2 Org3 Org4 Org5 Vraag 4c: Wijze van toepassing van de RA door ICT projecten Niveau Org1 Org2 Org3 Org4 Org5 Vraag 7: Besturing van ICT ontwikkelingen met de RA als stuurinstrument Niveau Org1 Org2 Org3 Org4 Org5 10

11 Lessons learned Respondenten geven aan dat ze zich op verschillende volwassenheidsniveaus bevinden de IT architectuur op korte termijn door middle-management als kostenverhogend ervaren wordt. Projecten kiezen daarom voor goedkopere, suboptimale oplossingen om projectkosten te drukken een verplichte toetsing van IT ontwerpen via review boards en evaluatiecommissies effectief middel is voor handhaving de alignment van de IT architectuur doelstellingen met business doelstellingen geen sinecure is inzet van concernarchitecten in projecten een belangrijke factor is in het succes van de IT architectuur 11

12 Maturity is geen garantie voor succes De helft van de participanten van dit onderzoek zijn de afgelopen 6 maanden herhaaldelijk in de landelijke pers gekomen als gevolg ernstige verstoringen in de continuïteit van hun dienstverlening Wandelgangen geluiden: Fusies en sourcing initiatieven zetten IT architecten buiten spel de kennis, noodzakelijk voor snelle probleemanalyse en oplossing, die voorheen gebundeld was bij business en ICT architecten is nu verspreid over meerdere IT leveranciers het oplossen van IT problemen kost daarom (veel) meer tijd en wordt pijnlijk merkbaar voor de eindgebruikers Doorlooptijd IT projecten volgens het boekje neemt toe, daarom gaan IT projecten eigen standaarden zetten Wat denkt u? 12

13 Een praktische blik op beveiligingsarchitecturen 13

14 All the good reasons Doelstellingen van security architecturen Met betrouwbare dienstverlening vertrouwen wekken bij klanten en ketenpartners Voldoen aan wet en regelgeving (o.a. WBP, WCC II) en security richtlijnen toezichthouders Waarborgen continuïteit van de bedrijfsvoering 14

15 Bouwblokken security architectuur Veilig ontsluiten gegevens via onveilige netwerken Dienstverlening via bv. Internet, telecomnetwerken en hotspots Beheer op afstand door derden Beveiligde koppelvlakken met derde partijen Inbedding infrastructurele voorzieningen voor: Domeinscheiding Identity & Access Management Logging & monitoring Secure interfaces Continuiteit en uitwijk Beveiliging van beheer 15

16 16

17 Onze e-architectuur Interne netwerk 17

18 Onze e-architectuur Ketenpartners GBA BBR Intern Dienst Intern gezamenlijk Intern en extern gezamenlijk Intranet Client/server Client/server Intranet Intranet/extranet residentienet WAN WAN Internet Balie KA Werkplek beheer Mailserver Dienst File en Print servers Dienst gebruiker presentatielaag Applicatielaag Gegevenslaag Intern browser Medewerkers Webservers Dienst intranet Diverse Dienst proces Applicatie servers Dienst proces gegevens Clientsoftware Medewerkers Dienst proces gegevens Clientsoftware Medewerkers Financiële personele applicaties applicaties Financiële gegevens browser Medewerkers Mailserver intranet Call Cent. applicatie Personeel gegevens Call Center Webservers intranet CDS Medewerkers Webservers extranet KR NP CDS Klanten KR NNP browser Medewerkers Mobile servers Diverse Applicatie servers KR objecten browser burger Webservers extranet Document management KR adressen Proxy browser ondernemer Mailserver extranet Den Haag Info desk KR topografie browser ketenpartner geauthenticeerd Burger regie applicatie Digitale Documenten Kopie gegevensbank anoniem Webservers Internet Internet Applicatie (anoniem) Burger gegevens bank Communicatie servers Gegevenslaag In- en extern Applicatielaag presentatielaag Publiek domein Dienst DS Dienst legacy Dienst legacy Helpdesk Probleem beheer Wijzigingen beheer Configuratie beheer 18

19 Onze applicatie architectuur 19

20 Valkuilen Security managers zonder mandaat Beveiliging kost geld maar levert geen functionaliteit (drielagen architectuur vergt driedubbele investering) Standaard off-the-shelf producten blijken niet in de beveiligingsarchitectuur te passen, oftewel Strikt volgen van de beveiligingsarchitectuur heeft vrijwel altijd maatwerkoplossingen tot gevolg Beveiligingsarchitectuur is onvoldoende uitgewerkt, ontwikkelaars volgen de weg van de minste weerstand Externe ontwikkelaars krijgen geen positieve prikkels om de beveiligingsarchitectuur te volgen 20

21 Wanneer werkt een beveiligingsarchitectuur wel? Security manager heeft mandaat van senior management, ziet toe op naleving door projecten en exploitatie, grijpt in wanneer nodig Toegevoegde waarde wordt voordurend vastgesteld door het uitvoeren van security testen (acceptatievoorwaarde!) Er wordt gewerkt vanuit off-the-shelf oplossingen die zich bewezen hebben als stabiel en secure Naleven van beveiligingsarchitectuur worden vastgelegd in PIDs en contracten met interne en externe ontwikkelaars Standaardiseer niet alleen op IT oplossingen, maar ook op IT solution providers die zich op dit vlak bewezen hebben 21

22 Lopend onderzoek over Security Maturity 22

23 Lopend onderzoek over Security Maturity 23

24 Ten slotte Kleine tot middelgrote organisaties: Security officers en projectleiders moeten de implicaties van de IT architectuur kunnen overzien: KISS! Zet in op off-the-shelf oplossingen ipv maatwerk Grote organisaties IT landschap is alleen nog door ervaren IT architecten te overzien Betrek IT architecten daarom in vroeg stadium van IT projecten (bij totstand-koming van functionele requirements) Geef IT projecten en leveranciers op architectuur gerichte KPI s mee 24

25 Contactgegevens Ir. Ruben de Wolf RE KPMG IT Advisory tel +31 (20) fax +31 (20) The information contained in this presentation is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation KPMG EDP Auditors, a Dutch limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. 25