Maturity van security architectuur

Transcriptie

1 Renato Kuiper Principal Consultant LogicaCMG LogicaCMG All rights reserved

2 Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur Informatiebeveiliging Docent Master of Risk Control & Information Security i.o. 20 jaar ervaring in informatiebeveiliging 9 jaar ervaring in security architecturen 2

3 Agenda Wat is maturity? Maturity bij Informatiebeveiliging Maturity bij Security architecturen Observaties Vragen 3

4 Wat is maturity? Maturity may refer to: Sexual maturity Maturity, a geological term describing hydrocarbon generation Maturity, a financial term indicating the end of payments of principal or interest Maturity, a software engineering term indicating to which extent it is planned how to do things when developing, testing, documenting, maintaining software etc. See also software development process Maturity (psychological), a term used in psychology to indicate that a person responds to the circumstances or environment in an appropriate manner, often this implies a response that is reasoned or learned rather than impulsive 4

5 Security 3.0 (Gartner) Security 1.0: mainframe tijdperk vooral keep the bad guys out! -> security is ad hoc Security 2.0: Internet tijdperk get the good guys in! security is aangebouwd Security 3.0: Blijf de tegenstander voor security integraal onderdeel van processen, ontwerp en onder architectuur security is ingebouwd 5

6 Aandacht voor security 6

7 Maturity van Informatiebeveiliging Security Architectuur 7

8 Security System Engineering-Capability Maturity Model SSE-CMM - ISO standaard (ISO/IEC 21827:2002) 8

9 Maturity bij Security architecturen Wat bepaalt volwassenheid: De inhoud van de architectuur? Het proces van totstandkoming? Het programma van architectuur en IB denken? 9

10 Security architectuur - Inhoud De inhoud van de architectuur? Definitie, scope, afbakening Keuze model Gebruik principes Pull, push, losstaand, onderdeel van enterprise architectuur Positionering en relatie met andere architecturen Views op security 10

11 Wat is een security architectuur (1)? Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangende modellen en principes efficiënt en flexibel richting geeft aan de invulling van het informatiebeveiligingsbeleid van een organisatie 11

12 Wat is een security architectuur (2)? 12

13 Security architectuur - inhoud Positionering Architecturen: View op security Business Informatie Applicatie Infrastructuur Security Aanbod vraag Security Losse security architectuur 13

14 Security architectuur - inhoud 4 lagen in de architectuur: Business (context) laag Conceptuele laag Logische laag Fysieke laag 14

15 Security architectuur - proces Knelpunten Life cycle management IST Aanwezige beveiliging PUSH GAP analyse Transitieschema Projecten Markt Eisen/ wensen SOLL PULL Views 15

16 Security architectuur - programma Architectuur scope en autoriteit Stakeholder participatie en commitment Ontwikkel proces van architecturen Business context in de architectuur Architectuur inhoud SOLL, IST, Migratie Architecturen Samenstelling architectuur team Impact van de architectuur Volwassenheid security in organisatie Architectuur, governance en risicomanagement samenhang 16

17 Maturity bij Security architecturen (1) Inhoud: van alleen technische beveiliging tot architectuur lagen indeling Proces: van SOLL naar de volledige breedte Programma: van losstaande activiteit tot integratie in de Enterprise architectuur Van vrijblijvendheid tot verplichte kost 17

18 Maturity bij Security architecturen (2) Model zoals SSE- CMM??? PROCES Ontwikkelproces van architecturen Architectuurteam Business context Impact van de architectuur Samenhang governance en risicomanagement INHOUD Stakeholder participatie en commitment SOLL, IST, GAP, MIGRATIE Volwassenheid IB in organsiatie Architectuurlagen Techniek business Scope en autoriteit PROGRAMMA 18

19 Maturity bij Security architecturen (3) Model zoals SSE- CMM??? NOG LANG NIET -J PROCES Ontwikkelproces van architecturen Architectuurteam Stakeholder participatie en commitment SOLL, IST, GAP, MIGRATIE 5 Business context 0 Volwassenheid IB in organsiatie Impact van de architectuur Samenhang governance en risicomanagement Architectuurlagen Techniek business Scope en autoriteit INHOUD PROGRAMMA 19

20 Succesfactoren (1) De doelstellingen van een organisatie moeten duidelijk zijn De organisatie moet een heldere governance structuur hebben met duidelijk belegde verantwoordelijkheden De organisatie moet een security beleid hebben waarin de uitgangspunten voor informatiebeveiliging helder zijn vastgelegd Classificatie van informatie is een essentieel element om security eisen te kunnen differentiëren per classificatiegroep Bron: Expertbrief 20

21 Succesfactoren (2) Basisprincipes vanuit andere architecturen, zoals een algemene ICT architectuur, kunnen mede bepalen welke risico s relevant zijn De kwaliteit van een security architectuur kan beoordeeld worden aan de aspecten: Totaal overzicht bieden Evenwichtig zijn Transparant zijn Samenhang helder aangeven Er zijn nog geen harde indeling criteria zoals bij SSE-CMM, dus JBF Bron: Expertbrief 21

22 Observaties waar staat de markt Observatie Security architecturen in de markt: 60% Vooral technisch gericht> logische laag binnen ICT afdelingen (push) 35 % Vanuit de business -> (pull) 5 % Security view in Enterprise architectuur Dus nog een lange weg te gaan, of niet.???? 22

23 Vragen Er is nooit tijd om iets goeds te doen, maar er is altijd tijd om het opnieuw te doen. LogicaCMG All rights reserved

24 Security maturity model (2) Domain Dimension Base Practices Er zijn 129 Base Practices georganiseerd in 22 gebieden 11 gebieden bevatten 61 Base Practices die security engineering afdekken: PA01 Administer Security Controls PA02 Assess Impact PA03 Assess Security Risk PA04 Assess Threat PA05 Assess Vulnerability PA06 Build Assurance Argument PA07 Coordinate Security PA08 Monitor Security Posture PA09 Provide Security Input PA10 Specify Security Needs PA11 Verify and Validate Security 24

25 Security maturity model (3) 11 gebieden bevatten 68 Base Practices afkomstig van Systems Engineering en Software CMM project- en organisatie gerelateerde zaken: PA12 Ensure Quality PA13 Manage Configuration PA14 Manage Project Risk PA15 Monitor and Control Technical Effort PA16 Plan Technical Effort PA17 Define Organization's Systems Engineering Process PA18 Improve Organization's Systems Engineering Process PA19 Manage Product Line Evolution PA20 Manage Systems Engineering Support Environment PA21 Provide Ongoing Skills and Knowledge PA22 Coordinate with Suppliers 25

26 Security maturity model (4) Capability Dimension Generic Practices Level 1. Performed Informally 1.1 Base Practices Are Performed Level 2. Planned and Tracked 2.1 Planning Performance 2.2 Disciplined Performance 2.3 Verifying Performance 2.4 Tracking Performance Level 3. Well-Defined 3.1 Defining a Standard Process 3.2 Perform the Defined Process 3.3 Coordinate the Process 26

27 Security maturity model (5) Capability Dimension Generic Practices Level 4. Quantitatively Controlled 4.1 Establishing Measurable Quality Goals 4.2 Objectively Managing Performance Level 5. Continuously Improving 5.1 Improving Organizational Capability 5.2 Improving Process Effectiveness 27

28 Security maturity model (6) 28