Security (in) architectuur ISC2 chapter Netherlands Donderdag 21 november 2013 Ing Renato Kuiper, CISSP, CISA, TOGAF, CSF Logo Klant
Focus op: Security, risicomanagement, IAM, Cloud en architectuur Vanuit VKA: Enterprise Security architect bij NS 2013 CSA: Cloud Security Alliance NL: research 2013 CSA: Cyber Security Academy: programmagroep 2000 Diverse PvIB rollen en publicaties 2010 Management consultant/ Architect VKA Renato Kuiper 1986 - Docent HTS, systeem programmeur, security specialist 2
Agenda Wat is een security architectuur? Positionering security in architectuur Inhoud, voorbeelden, voorbeelden en nog eens voorbeelden Security patronen Wie stelt welke vragen? Gebruik architectuur Diversen 3
Wat is een security architectuur? 4
Wat zijn de klantvragen Help, Ik moet beveiligen! Ik mis overzicht, inzicht en samenhang, heb geen mensen, weet niet waar te beginnen??? Ik moet compliant zijn (maar het kost zo veel extra). Ik geef veel geld uit maar weet niet waaraan, en of het nu zin heeft. Ik weet niet of ik wel veilig ben? Security zie ik als kostenpost, hoe krijg ik de business mee? Oplossing Security (in) architectuur.?? 5
Architectuur is net als een kip, iedereen ziet het anders! 6
Wat is een (security) architectuur (1)? Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangendemodellen en principes efficiënt en flexibel richting geeft aan de invullingvan het informatiebeveiligingsbeleid van een organisatie. 7
Wat is een (security) architectuur (2)? Een (security) architectuur reduceerteen complex probleem tot te bevatten modellen, principes en deelproblemen, veelal aan de hand van de bekende wat, waar, wanneer, hoe, waarmee en door wie vragen. De modellen en principes geven aan waar je welk type maatregelen neemt, wanneer de principes van toepassing zijn en hoe ze samenhangen met andere principes. 8
Security (in) architectuur, geeft Samenhang en inzicht Inzicht in de business requirements en de assets van de organisatie en samenhang met de de maatregelen om die te borgen en beschermen. Transparantie en evenwicht Zichtbaar relevante security eisen en uitgangspunten voor alle assets binnen de organisatie, doel van algemene en specifieke maatregelen is duidelijk en inzichtelijk. Totaalbeeld en eenduidigheid Een duidelijk en consistent totaalontwerp, de samenhang van de maatregelen is duidelijk, er zijn geen onbegrijpelijke uitzonderingen of extra maatregelen. 9
Verschillende soorten architecturen verwarring??? Referentiearchitectuur:modelarchitectuur voor een toepassingsdomein: Bijvoorbeeld NORA, MARIJ etc. Domeinarchitectuur:architectuur voor een specifiek domein binnen de organisatie (bijvoorbeeld business unit). Project Start Architectuur(PSA-conform DYA): architectuur stuurelement voor een op te starten project. Huidige (IST/ Current State) architectuur: beschrijving van de huidige situatie. Gewenste (SOLL/ Future State) architectuur: te realiseren architectuur; kan einddoel beschrijven. Tussen (MIGRATIE/ Target State) architectuur: een platform in de doorontwikkeling naar de SOLL architectuur.. 10
Architectuur: TOGAF, DYA. 11
Architectuur modellen TOGAF: OpenGroup (WorldWide): www.opengroup.org Ref: Guide to Security Architecture in TOGAF ADM, November, 2005, TOGAF and SABSA Integration, Oktober 2011 DYA : Sogeti (Nederland): www.sogeti.nl SABSA (SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE) www.sabsa.org OSA (Open Security Architecture) www.opensecurityarchitecture.org NORA :Nederlandse Overheids Referentie Architectuur : patronen (http://www.pvib.nl/kenniscentrum&collectionid=17669463) PvIB: Security Patronen: www.pvib.nl(zoek op patronen) 12
Positionering Security architectuur 13
Architectuur views Bedrijfsarchitectuur Informatiearchitectuur Technische architectuur Security architectuur Security staat los van de rest van de architecturen! 14
Architectuur views Bedrijfsarchitectuur Informatiearchitectuur Technische architectuur Security architectuur Security als (integraal)onderdeel van de architecturen! 15
Voorbeeld van positionering LEEG GELATEN 16
Inhoud voorbeelden van 17
Inhoud security architectuur 18
In detail 19
Wet en Regelgeving LEEG GELATEN 20
Dreigingsbeeld Nederland NCSC (2012) 21
Dreigingsbeeld en ambitieniveau ORGANISATIE SPECIFIEK LEEG GELATEN Bepaling door CISO en CV Goedkeuring door RvB 22
Dreigingen en actoren 23
Van IB normen naar IB functies 24
Security services (1) 25
Security services (2) 26
Security Services (3) Ga je het zelf beheren, doet een ICT dienstverlener het voor je of beleg je het in een SOC (Security Operations Center), of doe je een mix, of weet je het gewoon nog niet! 27
ISO 27002 normen /security services 28
Security services in de OSI stack 29
Security standaarden en protocollen 30
Security services en cloud 31
Security services (zelf of extern SOC?) 32
Security patronen 33
Security patronen Patronen Standaard oplossing voor een bekend beschreven probleem. Inhoud patroon: Naam Patroon Aspect Context Probleem Afwegingen Voorbeeld Gerelateerde patronen Normen 34
IB functiemodel 35
Het NORA model 36
Projectie van IB functies op de keten 37
Voorbeeld patronen 38
Modellen (Elektronische handtekening) 39
Zoneringsmodel /security domeinen LEEG GELATEN 40
Wie stelt welke vragen? 41
Architectuurlagen en beveiligingvragen Businesslaag Stakeholders??? Informatiemanagement Vragen, knelpunten, dilemma's, onmogelijkheden voor voor Security Applicatiearchitect Informatielaag Applicatieontwerper Infrastructurele laag Applicatiebouwer Strategische dialoog over dreigingen en kwetsbaarheden Infrastructuur 42
Gebruik architectuur? 43
Gebruik van architecturen Bij realisatie van projecten/ programma s. Referentie architectuur is uitgangspunt. Project realiseert slecht een deel van het totaal. Projectsturing door: PID: Project Initiation Document : PROCES. PSA: Project Start Architectuur: INHOUD. PSA wordt vormgegeven vanuit (meerdere) referentiearchitecturen als die los van elkaar staan of vanuit slechts één referentiearchitectuur. 44
Diversen 45
Security views en objecten in TOGAF ADM H. Evaluatie en bijsturing, onderhoud A. Input uit beleid B. Risicoanalyse en Businesseisen G. Governance, auditkader C. Classificatie gegevens, eisen op functioneel niveau maatregelen in applicaties F. Veranderplan D. Dreigingsanalyse, technische maatregelen E. Marktaanbod Samenloop projecten, 46
VKA Aanpak Security Architectuur Kaders Vertaling Business eisen Naar architectuur concepten Ontwerp Architectuur Realisatie Afbakening Business doelstellingen Vaststellen principes Roadmap Doelstellingen Risico management Vertalen naar richtlijnen Keuze techniek Planning Organisatie context Interactie met andere architecturen Tonen van samenhang in modellen Implementatie Voor de business, Informatie en techniek laag Prelim A B c D E F G H 47
TOGAF en SABSA Bron: Opengroup okt 2011: TOGAF and SABSA Integration 48
Vragen Er is altijd te weinig tijd om alles uit te leggen. Er is nooit tijd en geld om iets goed te doen, maar er is altijd tijd en geld om iets opnieuw te doen. 49