Security (in) architectuur

Vergelijkbare documenten
Security (in) architectuur

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Presentatie NORA/MARIJ

Maturity van security architectuur

Beheerste transformatie met behulp van Enterprise Architectuur

Digitale Duurzaamheid & Enterprise Architectuur

Onderdelen module 3 (gesplitst in delen 1 en 2)

Project Start Architectuur (PSA)

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Business Scenario. Voorbeeld Archimate Risico Extensie. versie 0.1. Bert Dingemans

Lifecycle Management: opereren onder architectuur. Jan Willem van Veen

Hebt u ze op een rijtje?

Waarde toevoegen aan de bedrijfsvoering met behulp van IT architectuur Uitrusting & Inrichting. Charles M. Hendriks Digital-architect Schiphol Group

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

Introductie ArchiMate

Stakeholder behoeften beschrijven binnen Togaf 9

Kwaliteit van ICT vergt samenwerking

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

Functiebeschrijving Technische Architect

Opleiding MARIJ Module 7

OP WEG NAAR EEN VRE REFERENTIE-ARCHITECTUUR. Informatiebijeenkomst 3 juni 2019

Architectuur bij DNB. Voor NORA gebruikersraad. Martin van den Berg, Gert Eijkelboom, 13 maart 2018

Functiebeschrijving Enterprise Architect

Praktisch Implementeren van EA bij Gemeenten

NS in beweging, Security als business enabler september 2008

Je weet wat je wilt bereiken, maar wie & wat loop je tegen het lijf?

Vertrouwen in ketens. Jean-Paul Bakkers

Architectuurredeneermodel Afgewogen keuzes maken

Brochure SABSA A3 Module

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

DATAMODELLERING ARCHIMATE DATA & BEDRIJFSMODELLERING

Grip op Enterprise Architectuur met TOGAF TM, ArchiMate en Architect

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

NAF Opzet Werkgroepen

Meer Business mogelijk maken met Identity Management

Security architectuur: Nieuwe hype voor specialisten of nuttig communicatiemiddel?

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Digiveiligheid en kwalificaties. Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC)

Enterprisearchitectuur

Shared Service Center ICT Haaglanden. en de digitale snelweg van de Rijksoverheid. Astrid Zwiers Vestigingsmanager Directieteam SSC-ICT Haaglanden

De juiste informatie, op de juiste plek, op het juiste moment. Voor zorgverlener en patiënt.

TAM. Control Model for Effective Testing

Van Samenhang naar Verbinding

Applicatie outsourcing

DATAMODELLERING DATA FLOW DIAGRAM

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas

Functiebeschrijving Business Architect

ICT-architecturen samen aan de slag. Jan Hellings Hogeschool van Amsterdam Instituut voor informatica NIOC 2004

Cloud security. Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL. Copyright 2013 Cloud Security Alliance

Brochure SABSA A3 Module

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

GEMeentelijke Model Architectuur GEMMA 2

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Opleiding MARIJ Module 2

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Kickstart-aanpak. Een start maken met architectuur op basis van best practices.

Kwaliteitsmanagement: de verandering communiceren!

Shared Services in ontwikkeling binnen de Rijksoverheid

Kickstart Architectuur. Een start maken met architectuur op basis van best practices. Agile/ TOGAF/ ArchiMate

Authentication is the key

ISO/IEC in een veranderende IT wereld

NAF Insight: ArchiMate en domeintalen 1 November 2012

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei

Security en Risico's in de Ontwerpketen: Designing Secure Organizations

In a nutshell De inhoud van het curriculum Fase 1: Introductie Fase 2: Basiskennis Fase 3: Professionalisatie 8

HET GAAT OM INFORMATIE

11 oktober Heeft u voldoende in(zicht) op uw procesautomatisering en organisatie?

ARE methodiek Het ontwikkelen van Informatie Elementen

Sjabloon Project Start Architectuur (PSA), versie 0.1

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Hoe gebruiken professionele serviceproviders architectuur voor een optimale, toekomstvaste deal? Landelijk Architectuur Congres 2010 Martin van den

PProject Start Architectuur (PSA)

Referentie Architectuur Onderwijs. Samenwerkingsplatform Informatie Onderwijs Remco de Boer, Tonny Plas - Kennisnet

Testen onder architectuur in de cloud

Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

SAMEN OP REIS: BLIJVEND BORGEN VAN REGIONALE SAMENWERKING

Asset Lifecycle Informatie Management. Visie op Asset management

Ontwikkelen & Beheren van testomgevingen is ook een vak!

Gastcollege BPM. 19 december Research Centre for Innova0ons in Health Care

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Integrating the Healthcare Enterprise

Linked Data & Innovatie. Linked Data 21 april 2016 Marcel Kuil

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Enterprise Architectuur PDOK

Benny Prij. NAF Insight 6 juli 2009

AVG Verplichting? Of een kans?

DATAMODELLERING ARCHIMATE DATA- & APPLICATIEMODELLERING

Brochure SABSA Foundation

Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

VAARWEL ARCHITECTUUR DOCUMENT WELKOM ARCHITECTUUR REPOSITORY INZETTEN VAN ENTERPRISE ARCHITECT ALS ALTERNATIEF VOOR ARCHITECTUURDOCUMENTEN

Informatiebeveiliging voor gemeenten: een helder stappenplan

De Next Practice. Wilbert Teunissen Management Consultant Informatiemanagement

Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010

Functiebeschrijving Informatie Architect

Wij testen..maar....wat test jij?

Transcriptie:

Security (in) architectuur ISC2 chapter Netherlands Donderdag 21 november 2013 Ing Renato Kuiper, CISSP, CISA, TOGAF, CSF Logo Klant

Focus op: Security, risicomanagement, IAM, Cloud en architectuur Vanuit VKA: Enterprise Security architect bij NS 2013 CSA: Cloud Security Alliance NL: research 2013 CSA: Cyber Security Academy: programmagroep 2000 Diverse PvIB rollen en publicaties 2010 Management consultant/ Architect VKA Renato Kuiper 1986 - Docent HTS, systeem programmeur, security specialist 2

Agenda Wat is een security architectuur? Positionering security in architectuur Inhoud, voorbeelden, voorbeelden en nog eens voorbeelden Security patronen Wie stelt welke vragen? Gebruik architectuur Diversen 3

Wat is een security architectuur? 4

Wat zijn de klantvragen Help, Ik moet beveiligen! Ik mis overzicht, inzicht en samenhang, heb geen mensen, weet niet waar te beginnen??? Ik moet compliant zijn (maar het kost zo veel extra). Ik geef veel geld uit maar weet niet waaraan, en of het nu zin heeft. Ik weet niet of ik wel veilig ben? Security zie ik als kostenpost, hoe krijg ik de business mee? Oplossing Security (in) architectuur.?? 5

Architectuur is net als een kip, iedereen ziet het anders! 6

Wat is een (security) architectuur (1)? Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangendemodellen en principes efficiënt en flexibel richting geeft aan de invullingvan het informatiebeveiligingsbeleid van een organisatie. 7

Wat is een (security) architectuur (2)? Een (security) architectuur reduceerteen complex probleem tot te bevatten modellen, principes en deelproblemen, veelal aan de hand van de bekende wat, waar, wanneer, hoe, waarmee en door wie vragen. De modellen en principes geven aan waar je welk type maatregelen neemt, wanneer de principes van toepassing zijn en hoe ze samenhangen met andere principes. 8

Security (in) architectuur, geeft Samenhang en inzicht Inzicht in de business requirements en de assets van de organisatie en samenhang met de de maatregelen om die te borgen en beschermen. Transparantie en evenwicht Zichtbaar relevante security eisen en uitgangspunten voor alle assets binnen de organisatie, doel van algemene en specifieke maatregelen is duidelijk en inzichtelijk. Totaalbeeld en eenduidigheid Een duidelijk en consistent totaalontwerp, de samenhang van de maatregelen is duidelijk, er zijn geen onbegrijpelijke uitzonderingen of extra maatregelen. 9

Verschillende soorten architecturen verwarring??? Referentiearchitectuur:modelarchitectuur voor een toepassingsdomein: Bijvoorbeeld NORA, MARIJ etc. Domeinarchitectuur:architectuur voor een specifiek domein binnen de organisatie (bijvoorbeeld business unit). Project Start Architectuur(PSA-conform DYA): architectuur stuurelement voor een op te starten project. Huidige (IST/ Current State) architectuur: beschrijving van de huidige situatie. Gewenste (SOLL/ Future State) architectuur: te realiseren architectuur; kan einddoel beschrijven. Tussen (MIGRATIE/ Target State) architectuur: een platform in de doorontwikkeling naar de SOLL architectuur.. 10

Architectuur: TOGAF, DYA. 11

Architectuur modellen TOGAF: OpenGroup (WorldWide): www.opengroup.org Ref: Guide to Security Architecture in TOGAF ADM, November, 2005, TOGAF and SABSA Integration, Oktober 2011 DYA : Sogeti (Nederland): www.sogeti.nl SABSA (SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE) www.sabsa.org OSA (Open Security Architecture) www.opensecurityarchitecture.org NORA :Nederlandse Overheids Referentie Architectuur : patronen (http://www.pvib.nl/kenniscentrum&collectionid=17669463) PvIB: Security Patronen: www.pvib.nl(zoek op patronen) 12

Positionering Security architectuur 13

Architectuur views Bedrijfsarchitectuur Informatiearchitectuur Technische architectuur Security architectuur Security staat los van de rest van de architecturen! 14

Architectuur views Bedrijfsarchitectuur Informatiearchitectuur Technische architectuur Security architectuur Security als (integraal)onderdeel van de architecturen! 15

Voorbeeld van positionering LEEG GELATEN 16

Inhoud voorbeelden van 17

Inhoud security architectuur 18

In detail 19

Wet en Regelgeving LEEG GELATEN 20

Dreigingsbeeld Nederland NCSC (2012) 21

Dreigingsbeeld en ambitieniveau ORGANISATIE SPECIFIEK LEEG GELATEN Bepaling door CISO en CV Goedkeuring door RvB 22

Dreigingen en actoren 23

Van IB normen naar IB functies 24

Security services (1) 25

Security services (2) 26

Security Services (3) Ga je het zelf beheren, doet een ICT dienstverlener het voor je of beleg je het in een SOC (Security Operations Center), of doe je een mix, of weet je het gewoon nog niet! 27

ISO 27002 normen /security services 28

Security services in de OSI stack 29

Security standaarden en protocollen 30

Security services en cloud 31

Security services (zelf of extern SOC?) 32

Security patronen 33

Security patronen Patronen Standaard oplossing voor een bekend beschreven probleem. Inhoud patroon: Naam Patroon Aspect Context Probleem Afwegingen Voorbeeld Gerelateerde patronen Normen 34

IB functiemodel 35

Het NORA model 36

Projectie van IB functies op de keten 37

Voorbeeld patronen 38

Modellen (Elektronische handtekening) 39

Zoneringsmodel /security domeinen LEEG GELATEN 40

Wie stelt welke vragen? 41

Architectuurlagen en beveiligingvragen Businesslaag Stakeholders??? Informatiemanagement Vragen, knelpunten, dilemma's, onmogelijkheden voor voor Security Applicatiearchitect Informatielaag Applicatieontwerper Infrastructurele laag Applicatiebouwer Strategische dialoog over dreigingen en kwetsbaarheden Infrastructuur 42

Gebruik architectuur? 43

Gebruik van architecturen Bij realisatie van projecten/ programma s. Referentie architectuur is uitgangspunt. Project realiseert slecht een deel van het totaal. Projectsturing door: PID: Project Initiation Document : PROCES. PSA: Project Start Architectuur: INHOUD. PSA wordt vormgegeven vanuit (meerdere) referentiearchitecturen als die los van elkaar staan of vanuit slechts één referentiearchitectuur. 44

Diversen 45

Security views en objecten in TOGAF ADM H. Evaluatie en bijsturing, onderhoud A. Input uit beleid B. Risicoanalyse en Businesseisen G. Governance, auditkader C. Classificatie gegevens, eisen op functioneel niveau maatregelen in applicaties F. Veranderplan D. Dreigingsanalyse, technische maatregelen E. Marktaanbod Samenloop projecten, 46

VKA Aanpak Security Architectuur Kaders Vertaling Business eisen Naar architectuur concepten Ontwerp Architectuur Realisatie Afbakening Business doelstellingen Vaststellen principes Roadmap Doelstellingen Risico management Vertalen naar richtlijnen Keuze techniek Planning Organisatie context Interactie met andere architecturen Tonen van samenhang in modellen Implementatie Voor de business, Informatie en techniek laag Prelim A B c D E F G H 47

TOGAF en SABSA Bron: Opengroup okt 2011: TOGAF and SABSA Integration 48

Vragen Er is altijd te weinig tijd om alles uit te leggen. Er is nooit tijd en geld om iets goed te doen, maar er is altijd tijd en geld om iets opnieuw te doen. 49

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback