NS in beweging, Security als business enabler september 2008

Transcriptie

1 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie

2 .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie, klaar voor de toekomst.

3 Agenda De uitdaging De ICT-security transitie Werkthema s NS-context

4 De behoefte aan informatie Goede informatievoorziening is onontbeerlijk voor Goede bedrijfsvoering Effectiviteit en efficiëntie Voorwaarde is: gemakkelijke, veilige en directe toegang tot informatie en applicaties voor de medewerkers

5 Zoals het was en soms nog is

6 Zoals het moet zijn

7 NS IT-uitdagingen Balanceren tussen IT-risico en performance Lekken van Informatie Kosten overwegingen Veranderend risicolandschap IT Risk IT Performance Time to Market Wet- en Regelgevingen Omgevingsrisico s 24 x 7 Business Grotere transactie volumes

8 Roadmap: van ad hoc ICT beveiliging naar klant-georienteerd risicomanagement Aanpak Risicogedreven Auditgedreven Industrie Banken NS gewenst 22 Informatie beveiliging Informatie risico management NS huidig 33 Verzekeraars 11 Verleden 22 Heden Fasering in evolutie Gefocussed op risico s in informatie technologie Agenda wordt gevormd door technologische ontwikkelingen en incidenten. Verbreding met invoegen van classificatie (BIV) en de waarborging van informatie Incidentgedreven 11 IT beveiliging Technologische risico s Technologische en informatie risico s Technologische en informatiegerelateerde bedrijfsrisico s 33 Gewenst Reactie gedreven gebaseerd op audit functies. Informatie en technologische risico s geïntegreerd in een risico management model: Information Assurance Scope

9 Roadmap; doorgroei via stabiele plateaus Plateauplanning Plateaus bestaan uit samenhangende, complete services Ieder plateau levert een nieuwe stabiele situatie op een duurzaam hoger niveau op Plateaus bestaan uit; Management Mensen Processen Techniek En een gedefinieerde prestatie

10 Principes van het nieuwe security concept Security is onderdeel van risk management Security baseren op bedrijfsrisico s Security is niet absoluut maar juist contextgevoelig Security is weerbaarheid, overlevingskracht (survivability) Security is defensie in meerdere lagen (defense in depth) Security is integratie risicomanagement, fysieke beveiliging, informatie en ICT beveiliging Aanpassen en evolueren

11 Het nieuwe concept: Het beveiligingsproces Bedrijfsproces risk assessment Standards : Goud / Zilver / Brons Awareness Time based security Assets B.I.V. Dreigingen Belang proces + risico s bepalen de benodigde beveiligingsinspanning Risico weging + IT beveiliging + Fysieke beveiliging & Security Operating Center Waardering Bescherming Bewaking

12 Waardering: Bedrijfrisico s extern extern Kwestbaarhede van het object Bedreigingen van het object Op basis van deze drieeenheid bepaalt de eigenaar de classificatie. De classificatie bepaalt de beveiligingsinspanning. Door periodieke toepassing van de PDCA cyclus: (plan, do, check, act) wordt adapt en evolve bereikt. Object waarde Classificatie (beveiligingsinspanning) Integratie informatie-beveiliging, intern ict-beveiliging en fysieke-beveiliging

13 De security-kubus... Beveiligings maatregel preventief detectief repressief correctief techniek naleving procedure organisatie vertrouwelijkheidintegriteit beschikbaarheid Beveiligings service fysiek Beveiligings mechanisme

14 Thema Toegang: Verantwoorde toegang Users Customers Identity Management Applicaties ERP E-BIZ Partners/Suppliers Employees CRM Legacy

15 Thema Toegang: Verantwoorde toegang Access management Weten wie welke informatie nodig heeft!

16 Thema Applicatiebeveiliging control Requirements Inception Design Review Elaboration Security Review & Testing Requirements Review Design Review Klant domein Construction Code Review Applicatie Factory ICT Domein Security Review & Testing Acceptance Transition Requirements Review & Security Testing Security Review & Testing Program Management & administration Industrial design & building of software RUP Phase Beveiligings activiteit

17 Bewaking: Time based security D A P R Protectie (P) - de bankkluis Detectie (D) - het alarm systeem Reactie (R) - de politie Aanval (A) - de aanval

18 Alles wat van waarde is, is het bewaken waard Dashboarding Reporting Compliance Team Status Policy Compliancy State changes Status Management State-based Proactief Periodiek Vulnerability state Vulnerability Management State changes Event & Incident Management Event-based Reactief Realtime IT- Department Tickets ITIL Tickets feedback De organisatie van het monitoren SOC / Incident Response Team

19 Rolverdeling in beveiligingsaangelegenheden; scheiding van verantwoordelijkheden NS wetgever Trusted advisors Partners uitvoering Trusted Third Party controle

20 NS context Vervoert dagelijks meer dan 1 miljoen reizigers Circa 4500 treinritten per dag Circa 375 stations Groei is groter dan verwacht (laatste jaren 5% per jaar) medewerkers in totaal werkplekken door hele land 120 medewerkers bij IM&T Vijf hoofddoelstellingen (1) Op tijd rijden (2) Informatie verstrekken en service verlenen (3) Bijdragen aan de sociale veiligheid (4) Voldoende vervoerscapaciteit creëren (5) Zorgen voor schone treinen en stations

21 NS Context ICT is cruciaal voor het functioneren van de NS Ambitie: Een evenwichtig stelsel van informatie-, ICT en fysiekebeveiliging middelen en maatregelen gebaseerd op bedrijfsrisico s, op maat voor de klanten van IM&T, t.b.v. Security assurance Aantoonbare grip op security met indicatoren gerelateerd aan de doelstellingen van de bedrijfsonderdelen Zinvolle informatie over het stelsel van maatregelen voor de stakeholders

22 Slot