Visie, trends en andere zorgen over information security & risk management NGI Jan 2009 Trends: ontwikkelingen in risico s Visie: doelen voor de beroepsgroep De praktijk als toetssteen en kristallen bal Dr. ir. Paul Overbeek RE Paul.Overbeek @ Ois-NL.EU 06-53786475 Agenda Wie bent U en wie ben ik Trends Toekomst van onze beroepsgroep Even voorstellen Identiteit Wie bent U? Informatie- infrastructuur IB & RM vandaag IB&RM in 2012
Paspoort Identiteit Rijbewijs 12 Identitycards 3 telefoons 6 personeels-ids 10 clubkaarten Digid SoFi 06-53786475 3883582 P044921 6 pin-codes Wachtwoorden 15 zakelijke 40 prive en internet Identiteit: - 1 persoon - 40 rollen Identiteit: wie is wie wanneer Identiteit = hoe iemand wordt (h)erkend door de ander basis voor erkenning rechten/plichten Waar is informatie toegankelijk? Thuis (bijvoorbeeld windows) Op het web (Hyves, Google) Onderweg (Microsoft, Google) Via devices zoals Blackberry, smartphone, game-box, mp3-speler, digitale camera Via applicaties op het web Bij de data service provider in India of Polen (afhankelijk van de koers van de Euro) Alle informatie is straks tegelijkertijd overal toegankelijk: er is geen eigen- informatieinfrastructuur meer Een voorbeeld: de desktop Toekomst en impact op effectieve beveiligingsmogelijkheden De moderne informatie-infrastructuur is: - Niet van u of uw klant maar van velen - Niet statisch Integratie online-offline Weg met de webbrowser, webapplicaties rechtstreeks op de desktop Integratie devices met infrastructuur... Toegang tot alle informatie via willekeurige kanalen
Synthese Karakteristieken van de moderne informatieinfrastructuur De ICT-infrastructuur is grotendeels niet van U of Uw klant, Netwerk Platforms Generieke Applicaties De ICT-infrastructuur is dynamisch Wisselende sourcing, partners en ketens Maar ook Beperkingen aan fysieke beveiliging Standaardisatie over partners en ketens nodig (vergelijk Borg ) Waar kan of moet de informatiebeveiliger / risico manager toegevoegde waarde bieden? Laten we s kijken naar een paar cases Agenda Wie bent U en wie ben ik Trends Duivelskwadrant Vraagzijde: Mens & Maatschappij Organisatie & Processen Aanbodzijde Applicaties, ICT en andere techniek Processen er om heen: ontwikkeling, beheer Matching Risico-management,, assurance, compliance Wat betekent dat voor de beroepsgroep Speerpunten 2009 en visie
Keek op de week 1/3 Weekoverzicht van 19 januari 2009 t/m 25 januari 2009 Persoonlijke inlogcode voor elektronisch patiëntendossier Twammers nieuwe generatie spammers Boze IT'er delete 10.000 ambtenaren Hackers plunderen weer database Monsterboard Tweederde banken gebruikt geen encryptie 11.000 euro beloning voor aanhouding DDoS-aanvallers Schneier: Wetgeving dataverlies helpt niet Celstraf voor hacker elektronisch patiëntendossier Microsoft verwijdert digitale bankrover van 250.000 PC's Advies aan overheid: Veiligheid gaat voor privacy Obama onthult plan voor beveiliging cyberspace Conficker besmet 6% van alle Windows computers Belgische hackers wilden 245 miljoen euro van bank stelen WiFi-verf beschermt netwerk tegen hackers 65% managers deelt encryptiesleutel Trojaans paard plundert rekening Nokia gebruikers Werknemer vaccinatiecentrum misbruikt patiëntgegevens Kraken wachtwoord 10 karakters duurt 3000 jaar Hackers stelen miljoenen creditcardgegevens bij betalingsverwerker Dinsdag, 16:03 Banken aangespoord tot meer openheid over fraude Conficker botnet wacht op bevel van meesterbrein Russische hackers maken internetbankieren onveilig Elektronisch patiëntendossier onhaalbaar in 2009 Dinsdag, 10:21 "Wachtwoorden opschrijven is wel verstandig" Maandag, 17:19 GOVCERT biedt Microsoft antivirustool aan Gratis virusscanner voor Nokia telefoons China verbiedt gebruik van nickname HDTV beveiligingscamera's scherper en slimmer Nigeriaanse internetoplichters maken overuren
Hoezo, de organisatie Ketens Maatschappij Ketens Infrastructuur Personeel MAPGOOD de organisatie is steeds minder afgebakend Ad Hoc samenwerkingsverbanden Maatsc happij Infrastructuur Personeel MAPGOOD Partners zijn tevens concurrent We werken en leven in een organische samenwerkingsverbanden EPD Mamaloe: Techniek EMD ECD Petra de Clown EKD Leerlingvolgsysteem 24-jan: Scholen knoeien met leerlingdossier Klukluk: vreemdelingenregister Ontsluiting burgerregistraties EPD als voorbeeld: - Verwijzingensysteem - Eigenaarschap / zeggenschap - Beheers Autorisaties/structuur neemt lokale zeggenschap weg - Nagedacht over authenticatie en logging maar - Func.specs verschuiven: inzage door burger - Mijn zorg: wat zijn de lange termijn effecten: - Nieuwe functionele wensen ( pot met goud ) - Goedkopere architectuur mogelijk door meer centralisatie (en zonder ophaalbruggen) - Als iemand kon zeggen: dit zijn de functionele specificaties en we zullen er NOOIT meer wat aan veranderen
Schep nou geen verwarring: Begin 2008: Elektronische dossiers makkelijk te hacken Midden 2008 Klink: geen zorgen over veiligheid EPD Q3 2008: Ziekenhuizen blijken laks met patiëntengegevens en het systeem is mogelijk te hacken. Hacker van EPD wordt streng gestraft Q1 2009 Misbruik EPD: schrappen BIG-register Q1 2009 Regering wil hoge straffen tegen misbruik EPD Communicatiedrama bedreigt invoering EPD Plannen Obama "Op dit moment worden innovaties op het gebied van software, engineering, Aandacht farmacie en andere voor gebieden de met beveiliging een alarmerende snelheid van cyberspace. via het internet van Amerikaanse bedrijven gestolen Nationale cyberadviseur" rapporteert aan Obama wil "ontraceerbare internet betalingssystemen" sluiten Geld voor volgende generatie veilige meer tools en training geven om computercriminelen te vervolgen computers, netwerken en hardware om de infrastructuur standaarden voor het beveiligen mee te van persoonsgegevens beveiligen. en het waarschuwen in het geval van datalekkage Nieuwe standaarden voor cyber security Voorkoming digitale bedrijfsspionage. zo stelt de kersverse regering. Privacy -discussie komt weer op T-Mobile MD Steps Down After Data Theft Scandal Advies aan overheid: Veiligheid gaat voor -T-Mobile Voorheen: Germany's Managing focus Director, op Philipp Humm privacy has resigned from the job, in the face of a data theft 19 jan scandal Opkomend: which has hit the company bedrijven in the past nemen month. zelf Ministers Hirsch Ballin (Justitie) en Ter Horst Last month, T-Mobile Germany admitted to losing the verantwoordelijkheid (Binnenlandse Zaken) kregen gisteren het personal data belonging to its 17 million customers. The advies dat de privacy van de burger theft, which had only just been revealed occurred back in ondergeschikt is aan diens veiligheid. De early De 2006, echte and involved vragen telephone worden numbers, dates maar of conclusie volgt uit het rapport "Gewoon Doen, birth, addresses and email addresses. In a statement, ten dele the company gesteld: beschermen van veiligheid en persoonlijke said that irrespective of the levenssfeer" van de commissie Veiligheid en legal assessment, Philipp Humm as the former Managing Director Veiligheid assumes responsibility gaat persoonlijke for voor the data Privacy? levenssfeer incidents and 16 december 2008 their handling at T-Mobile Deutschland. Zeggenschap Staat en hoort autonomie niet achter de The Managing Director will also consolidate the data voordeur privacy, security and legal affairs functions in his or her department using the resources of Deutsche Telekom Meisje van Nulde DNA profielen
New frontiers for Risk Management Examples of risk management in practice Building & construction 19 Examples of risk management in practice: Krediet crisis Financial institutions 20 Examples of risk management in practice Crime prevention 21
Risk management is management and not mathematics Perception of risks vary per day Transforming from risk management to risk & opportunity management 22 Towards a demand/supply relationship in Risk management Business Risk Management Process Business Risk Management Process Business Risk Management Process Control objectives controls Internal or external Service Provider Reporting con SLA Additional services Risk management process Service Provider Control objectives controls Common risk management Risk management process Service Provider Business leading ISP leading Common best 23 Professionalisering computercriminaliteit In Amerika is een professioneel opererende bende internetcriminelen opgerold die mogelijk al tien jaar lang via internet gehackte creditcards goederen kocht. De uit zo'n 40 personen bestaande bende, gebruikte vervalste rijbewijzen en creditcards om voor zeker 100 miljoen dollar per jaar aan goederen te kopen, die dan weer via het internet werden verkocht. Dankzij Chinese hackers die de databases van grote winkelketens hackten, wist de bende aan de creditcardgegevens te komen. Niet alleen de creditcardgegevens, ook ontvingen de bendeleden elke maand uit China 3000 Opportunisten, boefjes en echte criminelen zijn overal lege creditcards, waarmee verwoed werd gewinkeld. Trend: De aangeschafte Internet wordt goederen steeds werden meer aangeboden een afspiegeling op de van de gewone website Eastrades.com. maatschappij. Internet, midden in de samenleving. Logisch natuurlijk, maar ons beeld (perceptie dus) is nog steeds: Internet, het nieuwe paradijs. Helaas, de appel is al lang gegeten en de slang is los. We hebben nog geen idee van de lengte van de slang, of wat Pandora s Internetdoos nog voor ons in petto heeft.
Hacking ex werkgever In de normale situaties van 2008 Een netwerk engineer die zijn voormalige werkgever hackte is veroordeeld tot een gevangenisstraf van 10 maanden, eerder moest hij al een schadevergoeding betalen. De 44-jarige Harold B. werkte voor MTC, maar besloot een eigen beveiligingsbedrijf op te richten. Net voor hij bij MTC vertrok maakte hij een administrator account aan waarmee hij toegang tot het netwerk behield. Hierdoor kon hij alle e-mails van het bedrijf lezen en toegang tot klantgegevens krijgen. Ook bekende hij hacking software op de systemen van MTC te hebben geïnstalleerd. Trend: Identities..en authenticatie, access, authorisatie..en logging, monitoring Harold Brooks Informatiebeveiliging op de politieke agenda "Ik kan u beloven dat het de komende jaren beter wordt." Tunnelvisie software ontwikkelaars Trend: informatiebeveiliging, risicomanagement, compliance, techniek Jan en Kees privacy de op Jager de politieke agenda Nog een trend: kennis en ervaring dun gezaaid op de plekken waar dat nodig is Camiel Eurlings Trend: IT is everywhere Geen trend maar van alle tijden: OTAP blijft moeilijk Keten-afhankelijkheid in vitale infrastructuur Stroomstoring Florida was menselijke blunder De stroomstoringen in Florida zijn veroorzaakt door één medewerker. Dat heeft het elektriciteitsbedrijf Florida Power&Light bekendgemaakt. Elektriciteitspanne Zuid-Florida treft 4,4 miljoen mensen Het zuiden van Florida is vandaag getroffen door een gigantische elektriciteitspanne, veroorzaakt doordat vijf reactoren van de kerncentrale van Turkey Point in het zuidoosten van de deelstaat het Een monteur veroorzaakte in een onderstation ten zuiden van Miami een hadden begeven. storing bij de inspectie Trend: van aandacht een voor vitale infrastructuren haperende schakelaar. Het automatische beveiligingssysteem Veerkracht schakelde en de-vitalisering De stroompanne trof 4,4 miljoen vervolgens een kerncentrale en een kolencentrale uit. Ook twee andere mensen en zorgde voor chaotische centrales ondervonden hinder van de taferelen op de weg doordat alle In storing. het zuiden (novum/adv) van de Amerikaanse staat Florida verkeerssignalisatie is was uitgevallen. dinsdag op veel plaatsen de stroom uitgevallen Volgens nadat de nieuwszender CNN trof het elektriciteitsbedrijf een kerncentrale wegens de een panne grote delen van de regio storing had uitgeschakeld. Daardoor ontstond van tijdelijk Daytona Beach tot Palm Beach, een tekort aan stroom, waar ongeveer drie miljoen ten noorden van Miami. (belga/bdr) mensen last van hadden.
Sponsors voor Information Risk & Security Management: IT is facilitair, de macht verschuift CEO CFO CIO Customer-driven Making Information and IT investment decisions Deciding where IR&SM can add most value Knowing the risks It It s s an enabler Balancing cost and risk Central versus local investment decision Managing risk and compliance Able to judge IT-enabled projects against other projects It It s s value for money < 2000: CEO and CFO: IR & SM is in the IT-domain; CIO: ok < 2005: CEO and CFO: IR & SM is in the CFO domain; CIO: hmmm Can influence the business strategy Enables us to prioritise demands Able to secure assets It It s s central to business strategy Organisatie & management Risicomanagement & Informatiebeveiliging is lijnverantwoordelijkheid Information risk & security manager Beleidsvormend Faciliterend, ondersteunend Monitoren, controleren Rapporteert direct aan Lid van of dotted-line met: Corporate compliance of (algemeen) risk management board Techniek: IT security manager Binnen IT-organisatie Invulling in de lijn Veelal beperkt eigenaarschap Afhankelijkheden in de keten wordt niet of nauwelijks echt gemanaged Service providers, ketenpartners Veelal niet in beeld Informatiebeveiliging, risk management en processen Bedrijfsprocessen en IB&RM Moeizame relatie, kost tijd, kost geld, negatieve beeldvorming Succesfactoren: duidelijk meetcriteria vooraf opstellen Echt ondersteunen: je moet het brengen Echte hulpmiddelen (die heel simpel en goedkoop moeten zijn Opnemen in targets en vinger aan de pols houden (audits) Probleem vandaag: overeind houden huidige beheersing Soms gedelegeerd binnen proces Lokale Information Security Manager, Operational Security Manager Bij beperkt mandaat ook beperkte impact Afzonderlijke security audits IB&RM in IT-beheer Professionalisering zet door Link met de business risks moet sterker worden ITIL v3 Information Risk Management IB&RM proces ITIL v3 Echt risico management Risk management tussen partners, of SP/Klant, in de keten
IB&RM en mensen Menselijke factor is dominant Maar we kunnen er steeds minder van op aan Valkuil: Eenzijdige aandacht voor technische aspecten Inconsistentie over omgevingen en toepassingen (b.v. omgaan met passwords) Losse security awareness projecten Nodig, maar effect is vaak niet meetbaar Succes factor: cultuur en betrokkenheid IB&RM en mens Organisatie Er is straks geen vaste ruggegraat meer Processen belangrijker dan individuele professionaliteit We managen processen, geen losse personen Goed organisatie en procesborging nog belangrijker Professionals Netwerken van personen Beter opgeleid Mobiel The world is the playing game IB&RM en ICT-infrastructuur Integratiecyclus Geen security Security los verkrijgbaar (add on) Security als optie bij product (bolt on) Security geïntegreerd in product (build in) Infrastructuur is complex en dynamisch Integratiecyclus in verschillende fasen en op verschillende niveaus eigenaarschap niet beheerst Traditionele situatie Informatiebeveiliging is bolted on
IB&RM en ICT Onderkant van de ICT-infrastructuur standaardiseert Netwerk, Housing, Hosting Enkele standaard applications Beveiliging is bezig daar te integreren Standaard normenkaders, hardening, etc Standaard normen/werkwijze tussen klanten/sps nodig Bovenkant: nog veel wildgroei Secure design en architectuurvisie gewenst Link met business risks moet worden gemaakt Samenvatting practices Management COSO, risicomanagement, ERM Processen SOX, EuroSOX(?!), toetsing/audit; certificering, governance naar 3 rd parties Mensen ik heb al genoeg gezeur aan mijn hoofd ICT-beheer Code voor Informatiebeveiliging/ITIL Security Management, Prince II SPRINT/IRAM, FIRM COBIT ICT-Infrastructuur: divers beeld Mobiel, backups, internet, biometrie, Windows XP, USB-sticks Producten in verschillende maturity levels maar zijn wel van elkaar afhankelijk Business & IT-allignment is key Agenda Wie bent U en wie ben ik Trends Wat betekent dat voor de beroepsgroep, voor U dus Speerpunten 2009 en visie
Speerpunten 2009 Risk & Opportunity management Oplijnen met business risks Controls redden Kijk naar de toekomst Huidige crisis bedreigt het control framework Kort gaat voor lang: Tactisch en strategisch niveau sneuvelen eerst Maak zelf een plan om efficientie te verhogen Simplificatie compliance / toezicht Professionalisering Visie: op weg naar verdere professionalisering De drie speerpunten van Paul 1. Kwaliteit van de professional moet transparant zijn Erkenning opleidingsniveau Praktijkervaring Persoonlijke integriteit, ook van de organisatie Professionele houding Permanente educatie Leren van fouten 2. Leren van fouten Cultuurverandering tav delen van (bijna) fouten Van incident tot leermoment Iedere fout is al een keer gemaakt Wegnemen laksheid ten aanzien van leren van ervaringen elders Persoonlijke verantwoordelijkheid Aanspreekbaar
Onafhankelijk toezicht 3. Inspectie bij ICT / Informatie ongevallen Van Vollenhoven Doet aanbevelingen met uitstralen effect voor de hele sector Conclusie 1/2 DOELEN De sector moet zich serieuzer nemen Om erger te voorkomen. Beveiliging is allang geen bijproduct meer Zorgvuldiger werken Lifecycle denken: tussentijdse verantwoording en evaluaties Echte acceptatie Durven leren van elkaar Best & bad practice sharing Learning from incidents Kaf en koren Zelfreinigend vermogen van de sector versterken Conclusie 2/2 HOE Mechanismen voor structurele verbetering Governance / oversight / gildestructuur Hier ligt een verantwoordelijkheid voor de beroepsverenigingen
Samenvattend