& Continuity @ KPN Multi layer event IJmuiden, 30 november 2010 Johan Bakker MSc CISSP Chief Information Officer KPN Corporate Agenda & Continuity @ KPN Assurance 1 1 Hierarchical
& Continuity @ KPN De missie Het managen van risico s t.a.v. bedrijfsmiddelen: Mensen Tastbare bedrijfsmiddelen Niet tastbare bedrijfsmiddelen 2 & Continuity @ KPN De focus 3 2 Hierarchical
& Continuity @ KPN De context Algemeen Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker Zakelijke markt Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) & Continuity management zijn niet langer een USP (*), maar een uitgangspunt Consumenten markt Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens Leverketens Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers Economische situatie Leidt tot verhoogde risico s t.a.v. prestaties en continuïteit leveranciers Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point 4 & Continuity @ KPN De uitdaging Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten geleverd door ~35.000 medewerkers vanuit 14 landen draaiend op > 2000 systemen, platformen en netwerken met ruim 125 jaar (telefonie) historie in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk vanuit de Raad van Bestuur is randvoorwaardelijk! 5 3 Hierarchical
Agenda & Continuity @ KPN Assurance 6 KPN Business Control Framework (BCF) 7 4 Hierarchical
& Continuity zijn onderdeel KPN Corporate Governance KPN & Continuity Charter Onderdeel van het Business Control Framework RvB portefeuillehouder (Baptiest Coopmans) Vormt de basis voor de KPN Corporate Policy KPN Corporate Policy framework Door de RvB geaccordeerd Bestaat uit: Corporate policy Governance & Compliance model Verklaring toepassingsgebied 8 KPN Group BCF & Continuity charter <snip> Therefore, units shall: In line with the Corporate Policy, implement and maintain: a mandatory minimum set of security measures (the Baseline); Implementeer de KPN Baseline a security management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security Richt & safety, een fraud and business continuity. Risk management proces in Determine and implement their own additional security policies, when required by: specific (operational) risks within their domain; Manage business contracts and agreements with customers, partners and/or suppliers; risico s applicable legal and/or regulatory requirements. </snip> In line with the Corporate Policy, determine and report compliance and noncompliance to this policy to Chief Information Officer (CISO). Demonstreer Compliance (GRIP) 9 5 Hierarchical
KPN Corporate Policy Omvat ondermeer & Continuity (organisatie en processen) Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) & Continuïteit Awareness Veiligheid van medewerkers (ARBO, BHV) Betrouwbaarheid en integriteit van medewerkers Justitieel Aftappen en gegevensverstrekking Telecom Fraude en abuse Incidentmanagement 10 Agenda & Continuity @ KPN Assurance 11 6 Hierarchical
KPN Corporate KPN Group Raad van Bestuur KPN (CSO) (Integriteit & analyse) Policy, Governance & Compliance (CISO) Operations (incidenten & consultancy) Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse Bestaat uit 54 medewerkers Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen 12 KPN Nederland KPN Group Raad van Bestuur ( RvB ) KPN NL Raad van Bestuur ( NL Board ) Tactische eenheid (Segment) Segment MT s en Corporate Center Steering Committee GRIP board Operationele eenheid Proces, dienst of product eigenaren Tactical Managers Operational Managers Tactical Board Operational Board KPN & BCM Manager KPN CERT 13 7 Hierarchical
Agenda & Continuity @ KPN Assurance 14 - Strategisch Business Financieel Governance SSC Compliance & strategische risico s GRIP Board Compliance Structurele verbeteringen Compliance & tactische risico s Segment Business processen & diensten Materieel Niet-materieel Audit (QA) TSM Implementatie & bijstelling RM SSC = Steering committee RM = Risk Manager QA = Quality Assurance TSM = Tactisch Manager GRIP = Governance & Compliance, Risk & In control processes 15 8 Hierarchical
Tactisch en operationeel Strategisch SSC, & CISO BCM GRIP Compliance en risico rapportage Tactisch TSM MT RM Tactisch eenheden (Segment) TSM MT RM MT MT MT MT Operationele eenheden (Reporting Unit) MT MT MT MT Operationeel OSM OSM OSM OSM OSM OSM OSM OSM Drie niveau s van security management Business eisen & Service Level rapportage (Keten management) SSC = Steering committee RM = Risk Manager TSM = Tactisch manager CFO = Chief Financial Officer CISO = Chief Information Officier OSM = Operational manager 16 Agenda & Continuity @ KPN Assurance 17 9 Hierarchical
Assurance Control Framework Internal compliance (Strategische) risico s worden gemitigeerd middels control objectives Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) Een deel van deze ISO controls zijn Baseline en dus verplicht De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control GRC+ controls Risks, customers requirement, incidents, law and regulations & BCM Control objectives (17) CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 mgmnt Control 4 Etc. ISO 27001 annex A (133 potential and BCM controls) 73 baseline controls 60 risk based controls 18 Assurance Beheersdoelen CO-01 CO-02 Control Framework SM / BCM BELEID 1 KLANTEN DIENST 10 AANBIEDINGEN DIENSTEN 17 OPERATIËN CO-03 CO-04 CO-05 CO-06 CO-07 CO-08 CO-09 CO-10 CO-11 CO-12 management (PDCA) Beheer van informatie(middelen) Toegangsverlening (fysiek & logisch) Risicomanagement Testen van maatregelen Monitoren van verbeteringen Vernieuwingsproces Dienstaanbiedingen Interne en externe overeenkomsten van leveranciers 3 SM / BCM BESTURING VERBETER 8 MANAGEMENT 6 RISICO MANAGEMENT MAATREGELEN TESTEN VAN 7 MAATREGELEN 15 CONTINUÏTEITS PLANNEN 14 TOEGANG EIGENAREN 5 4 BEDRIJFSMIDDELEN 13 16 AWARENESS HR PROCES PERSONEEL CO-13 CO-14 CO-15 CO-16 CO-17 Bewustzijn Continuïteitsplanning van incidenten HR-proces in operatiën 2 SM / BCM ORGANISATIE INCIDENTEN 9 INNOVATIE 11 OVEREENKOMSTEN ASSURANCE 12 19 LEVERANCIERS 10 Hierarchical
Assurance Intern vs Extern BCF beleid Corporate policy : ISO 27001/27002 based Business Continuity: BS25999 based Assurance via quarterly DOR proces, GRC+ Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011 KPN Business Control Framew BCF Specific BCF & BU Overlap BU specific Integrated Control Framework Compliance demands Customer specific Market demands Customer demands Market demands Bepalen de basis van het compliance framework: ISO 9001 ISO 27001 (certification) ITIL security & BCM elements Assurance (SAS70 & TPM) Cobit VCA (Health) Customer demands Leiden tot addtionele eisen en assurance formaten: Specific customer scope assurance such as TPM & SAS70 Audit reports & certifications PCI, ISO 14000, NEN 7510, etc. Real-time monitoring, SOC/SIEM 20 Maatregelen Assurance middels ISO 27001 certificaten Certificaten met generieke scope Certificaat # Hosting Services 2098139 Application Services 2106391 Cybercenter Services ICS 008 Business Continuity Services 2098145 Local Area Network Services 2078860 Integrated & Outsourcing services 2126960 Operations Internationaal 2119991 Certificaten met specifieke scope Certificaat # Office Access & EVPN 2087166 KPN MTI SDU Transport ISC 017 Osiris (Support team tooling) 2018483 21 11 Hierarchical
Agenda & Continuity @ KPN 22 Transparantie en duidelijkheid Plot & Continuity op de meerjarige business strategie Schets belangen en risico s in de taal van de business Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden Haal security implementatieverantwoordelijkheid uit de financiële kolom Breng de business in haar rol t.a.v. policy implementatie en geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance Strategie Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) Plan iteratief binnen die strategie Wees wendbaar en flexibel Plan tijd voor correctieve actie (Demming s C&A-fasen) Integreer waar mogelijk met bestaande processen en structuren 23 12 Hierarchical
Agenda & Continuity @ KPN Maatregelen 24 25 13 Hierarchical