Veilig samenwerken met de supply-chain

Transcriptie

1 Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V.

2 TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur aan de gestelde eisen voldoet We toetsen daarnaast verschillende deelnemende bedrijven in de luchtvaartsector of zij met het uitgeven van digitale identiteiten aan de eisen voldoen KPMG Advisory: Betrokkenheid TSCP en veilig samenwerken Veilig samenwerken We zijn nauw betrokken bij eherkenning, DigiD en de opvolger van DigiD Onze adviseurs en certificerende auditoren zijn in een onafhankelijke rol betrokken bij nagenoeg alle certificatiedienstverleners

3 Randvoorwaarden Veilig elektronisch zakendoen 2

4 Veilig elektronisch zaken doen Toenemende veranderende, internet enabled dienstverlening Online transacties Third party access Waarde van informatie Toenemende aandacht voor beveiliging Hacking & cracking Data & identity theft Online fraude Virussen Veranderende wetgeving en (industrie) regelgeving Electronische handtekening Intellectual property protection / digital rights management Data protectie / privacy 3

5 Toename van beveiligingsincidenten roept om maatregelen! 4

6 Randvoorwaarden veilig elektronisch zakendoen Vertrouwelijkheid (confidentiality) Zekerheid dat alleen de ontvanger het verzonden bericht kan lezen Integriteit (integrity) Zekerheid dat het bericht tijdens verzending niet is gemodificeerd Authenticiteit (authenticity) Zekerheid dat de verzender/of ontvanger degene is die hij beweert te zijn Onweerlegbaarheid (non-repudiation) De verzender kan achteraf de verzending niet ontkennen (nonrepudiation of sender) 5

7 Hoe geven we hier invulling aan? We hebben een digitale sleutelbos: een aparte sleutel voor verschillende toepassingen verschillende betrouwbaarheidsniveaus Note: Use of Authentication Mechanisms Source: KPMG/Everett, 2009 European Identity and Access Management Survey 6

8 Gebruik van digitale certificaten Hoeksteen van betrouwbaar Identity & Access Management Rationele reden: één beveiligingsmechanisme / technologie voor meerdere security services op basis van Public Key Infrastructures Security Services ter voorkoming van diefstal Confidentiality- Encryptie Authentication & Access Control - Certificaten Security Services ter voorkoming van fraude Authentication - e.g. Certificaten Non-Repudiation (onweerlegbaarheid) - Digital handtekening Met einddoel: weg met digitale sleutelbos! 7

9 Wat zien we op de horizon? Push door bestaande en nieuwe (ketenintegratie)initiatieven Bewezen succes bestaande concepten Outsourcing van identity management leidt tot kritieke massa Ketenintegratie-initiatieven maken gebruik van bestaande concepten Technology-push: met nadruk op hoog gebruiksgemak Hogere eisen ten aanzien van gebruiksgemak: Apple-effect Verbetering integratie van certificaten in besturingssystemen, browsers en applicaties 8

10 Bestaande en nieuwe initiatieven veroorzaken Push Ketenintegratie 9

11 Bestaande en nieuwe initiatieven veroorzaken Push Voorbeelden (naast TSCP) 10

12 Bestaande en nieuwe initiatieven veroorzaken Push Hergebruik van authenticatiemiddel (DigiD, Certificaat) door bedrijven eherkenning als voorbeeld van faciliteren administratieve lastenverlichting 11

13 Veilig samenwerken met behulp van een Digitale Identiteit Stappenplan op hoofdlijnen 12

14 Veilig samenwerken met behulp van een digitale identiteit Beveiligde infrastructuur CertiPath CertiPath vormt het startpunt /oorsprong ( Root ) voor de creatie van digitale identiteiten ( certificaten ) CertiPath dient als brugfunctie ( Bridge ) tussen TSCP en andere (soortgelijke) domeinen Uitgeven van TSCP- digitale identiteiten door deelnemers TSCP deelnemers (certificaatdienstverleners) die toetreden tot CertiPath om binnen TSCP certificaten uit te geven moeten aantoonbaar aan de eisen voldoen Gebruik digitale identiteiten. Wat kun je ermee? Secure voor uitwisselen (bedrijfs)vertrouwelijke stukken Elektronische handtekening uit naam van uw onderneming Electronisch contracteren Elektronisch factureren

15 Veilig samenwerken met behulp van een digitale identiteit Met uw digitale identiteit identificeert u zich in een elektronische omgeving Een digitale identiteit als identificatiemiddel heeft een bepaald betrouwbaarheidsniveau. Dat niveau is gebaseerd op het type middel, de beveiligingskenmerken van het middel en de waarborgen die de uitgever heeft getroffen. Voorbeeld: Gebruikersnaam/wachtwoord (wat je weet) Token van de bank met bankpas en wachtwoord (wat je weet en hebt) Token (smartcard) met digitaal certificaat (wat je weet en hebt)

16 Veilig samenwerken met behulp van een digitale identiteit Met behulp van uw digitale identiteit kunt u zich toegang verschaffen tot (e-business)omgevingen (e-supply-chain), transacties of berichten ondertekenen en berichten versleutelen

17 Invoer binnen uw organisatie? Een stappenplan op hoofdlijnen Management en Organisatie Impactanalyse Aanpassingen doorvoeren Processen en diensten Beknopte analyse proces Procesherontwerp Proces aanpassen IT-infrastructuur en beveiliging Selectie leverancier van digitale identiteiten (certificatiedienstverlener) die beantwoordt aan de gestelde eisen Uitrol en implementatie Personeel en Cultuur Training, opleiding

18 Praktische aandachtspunten (voor een eerste plateau) Contractuele eisen, bevoegdheden / procuratie / delegatie Vastleggingen / archivering Snelheid / efficiency Beschikbaarheid Vertrouwelijkheid Continuiteit Infrastructuur Digitale Identiteiten Training, opleiding

19 Contactgegevens Patrick Paling Senior manager KPMG Advisory N.V. Tel: paling.patrick@kpmg.nl

20 2011 KPMG Advisory N.V., the Dutch member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International Cooperative ("KPMG International").