Maturity van security architectuur



Vergelijkbare documenten
Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Security (in) architectuur

HET GAAT OM INFORMATIE

Opleiding PECB ISO 9001 Quality Manager.

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

ICT-Risico s bij Pensioenuitvo ering

Enterprisearchitectuur

Business Architectuur vanuit de Business

Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel

Seriously Seeking Security

Business as (un)usual

2 e webinar herziening ISO 14001

Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

Data en Applicatie Migratie naar de Cloud

Opleiding PECB IT Governance.

Aqua: agile verbeteren voor teams. TestNet Zomer Workshops 2017 Huib Schoots

Managen van digitale competenties (e-skills) 2017 Paul P.M. Willockx MSc. AGENDA

Business Rules: het scheiden van kennis en processen 17 september 2014

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

NAF Opzet Werkgroepen

EXIN WORKFORCE READINESS werkgever

Volwassen Informatiebeveiliging

GvIB 30 oktober 2003 Organisatie: Lex Dunn, Aaldert Hofman, Renato Kuiper

EXIN WORKFORCE READINESS professional

TAM. Control Model for Effective Testing

MVO Prestatieladder en Duurzame IT

Stichting NIOC en de NIOC kennisbank

TFS als perfecte tool voor Scrum

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Management 2.0. Maak je organisa2e proces- driven en je governance integraal!

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

ISA SP-99 Manufacturing and Control Systems Security

Offshore Outsourcing van Infrastructure Management

NEN 7510 & ziekenhuizen. Beer Franken, Piasau Hans van Hemert, Maasstad Ziekenhuis

Appendix A: List of variables with corresponding questionnaire items (in English) used in chapter 2

Best Practice Seminar 14 NOVEMBER 2013

Hoezo dé nieuwe ISO-normen?

Continuous testing in DevOps met Test Automation

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

How to build a Business Case for Capital Investments. Presentatie 8e Asset Management Control Seminar 28 en 29 oktober 2009

IT Service CMM en ASL Een vergelijking

Brigitte de Vries Staedion. Kwaliteitsbeheersing De uitdagingen voor een éénpitter

Optimalisatie. BMC klantendag 4 maart 2010

ISO CTG Europe

ISO 9001: Business in Control 2.0

Opleiding PECB IT Cyber Security Specialist.

NS in beweging, Security als business enabler september 2008

Enterprise Portfolio Management

Capturing Agile Requirements by Examples (CARE)

2010 Integrated reporting

ISO/IEC in een veranderende IT wereld

VALUE ENGINEERING: THE H E G A G ME! E

Pijlers van Beheer. Bram van der Vos

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei

Testverbetering met TMM bij Philips

"Baselines: eigenwijsheid of wijsheid?"

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Service management stuurt de verandering

CMM(I) en CMM-assessments. Henk Westerink LogicaCMG Noord-Nederland SEI Authorized CBA IPI Lead Assessor

Identity & Access Management & Cloud Computing

Bijdrage ASL en CMMI aan verbeteren applicatiediensten

Hoe start ik een test competence center of excellence? Thomas Veltman

Continuous Delivery. Sander Aernouts

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Snel naar ISO20000 met de ISM-methode

Meer Business mogelijk maken met Identity Management

ArchiMate voor kennismodellen van NORA en haar dochters. Marc Lankhorst 16 oktober 2013

BLIJVEND STRUCTUREEL TEKORT AAN DIGITAL EXPERTS!

BABOK meets BiSL. Marcel Schaar, IIBA Dutch Chapter Mark Smalley, ASL BiSL Foundation Jan de Vries, ASL BiSL Foundation. Kennissessie, 19 januari 2016

PLM & CAD Consultancy

25 Het CATS CM Maturity Model

E-learning maturity model. Hilde Van Laer

Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010

Resultaat gerichter Testen

RISICO MANAGEMENT, BASIS PRINCIPES

Bedrijfscontinuïteit met behulp van een BCMS

End-to-End testen: de laatste horde

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

IT Service CMM. White paper. Frank Niessink. Versie 1.0.2, 30 november Copyright 2001 Software Engineering Research Centre All rights reserved.

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

Inrichten Architecture Governance Equens

IT risk management voor Pensioenfondsen

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Risk & Requirements Based Testing

NAF Insight. Pieter Buitenhuis Danny Greefhorst Erik Proper

CLOUDSTRATEGIE. voor Stedin Netbeheer. v1.0 26/03/2019

PLANET AGILE. Projecten opleveren met het oog op toekomstige generaties: Hoe doe je dat met Agile? Manfred van Veghel 17E BPUG SEMINAR

Transcriptie:

Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved

Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur Informatiebeveiliging Docent Master of Risk Control & Information Security i.o. 20 jaar ervaring in informatiebeveiliging 9 jaar ervaring in security architecturen 2

Agenda Wat is maturity? Maturity bij Informatiebeveiliging Maturity bij Security architecturen Observaties Vragen 3

Wat is maturity? Maturity may refer to: Sexual maturity Maturity, a geological term describing hydrocarbon generation Maturity, a financial term indicating the end of payments of principal or interest Maturity, a software engineering term indicating to which extent it is planned how to do things when developing, testing, documenting, maintaining software etc. See also software development process Maturity (psychological), a term used in psychology to indicate that a person responds to the circumstances or environment in an appropriate manner, often this implies a response that is reasoned or learned rather than impulsive 4

Security 3.0 (Gartner) Security 1.0: mainframe tijdperk vooral keep the bad guys out! -> security is ad hoc Security 2.0: Internet tijdperk get the good guys in! security is aangebouwd Security 3.0: Blijf de tegenstander voor security integraal onderdeel van processen, ontwerp en onder architectuur security is ingebouwd 5

Aandacht voor security 6

Maturity van Informatiebeveiliging Security Architectuur 7

Security System Engineering-Capability Maturity Model SSE-CMM - ISO standaard (ISO/IEC 21827:2002) 8

Maturity bij Security architecturen Wat bepaalt volwassenheid: De inhoud van de architectuur? Het proces van totstandkoming? Het programma van architectuur en IB denken? 9

Security architectuur - Inhoud De inhoud van de architectuur? Definitie, scope, afbakening Keuze model Gebruik principes Pull, push, losstaand, onderdeel van enterprise architectuur Positionering en relatie met andere architecturen Views op security 10

Wat is een security architectuur (1)? Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangende modellen en principes efficiënt en flexibel richting geeft aan de invulling van het informatiebeveiligingsbeleid van een organisatie 11

Wat is een security architectuur (2)? 12

Security architectuur - inhoud Positionering Architecturen: View op security Business Informatie Applicatie Infrastructuur Security Aanbod vraag Security Losse security architectuur 13

Security architectuur - inhoud 4 lagen in de architectuur: Business (context) laag Conceptuele laag Logische laag Fysieke laag 14

Security architectuur - proces Knelpunten Life cycle management IST Aanwezige beveiliging PUSH GAP analyse Transitieschema Projecten Markt Eisen/ wensen SOLL PULL Views 15

Security architectuur - programma Architectuur scope en autoriteit Stakeholder participatie en commitment Ontwikkel proces van architecturen Business context in de architectuur Architectuur inhoud SOLL, IST, Migratie Architecturen Samenstelling architectuur team Impact van de architectuur Volwassenheid security in organisatie Architectuur, governance en risicomanagement samenhang 16

Maturity bij Security architecturen (1) Inhoud: van alleen technische beveiliging tot architectuur lagen indeling Proces: van SOLL naar de volledige breedte Programma: van losstaande activiteit tot integratie in de Enterprise architectuur Van vrijblijvendheid tot verplichte kost 17

Maturity bij Security architecturen (2) Model zoals SSE- CMM??? PROCES Ontwikkelproces van architecturen Architectuurteam Business context Impact van de architectuur Samenhang governance en risicomanagement INHOUD Stakeholder participatie en commitment SOLL, IST, GAP, MIGRATIE Volwassenheid IB in organsiatie Architectuurlagen Techniek business Scope en autoriteit PROGRAMMA 18

Maturity bij Security architecturen (3) Model zoals SSE- CMM??? NOG LANG NIET -J PROCES Ontwikkelproces van architecturen Architectuurteam Stakeholder participatie en commitment SOLL, IST, GAP, MIGRATIE 5 Business context 0 Volwassenheid IB in organsiatie Impact van de architectuur Samenhang governance en risicomanagement Architectuurlagen Techniek business Scope en autoriteit INHOUD PROGRAMMA 19

Succesfactoren (1) De doelstellingen van een organisatie moeten duidelijk zijn De organisatie moet een heldere governance structuur hebben met duidelijk belegde verantwoordelijkheden De organisatie moet een security beleid hebben waarin de uitgangspunten voor informatiebeveiliging helder zijn vastgelegd Classificatie van informatie is een essentieel element om security eisen te kunnen differentiëren per classificatiegroep Bron: Expertbrief 20

Succesfactoren (2) Basisprincipes vanuit andere architecturen, zoals een algemene ICT architectuur, kunnen mede bepalen welke risico s relevant zijn De kwaliteit van een security architectuur kan beoordeeld worden aan de aspecten: Totaal overzicht bieden Evenwichtig zijn Transparant zijn Samenhang helder aangeven Er zijn nog geen harde indeling criteria zoals bij SSE-CMM, dus JBF Bron: Expertbrief 21

Observaties waar staat de markt Observatie Security architecturen in de markt: 60% Vooral technisch gericht> logische laag binnen ICT afdelingen (push) 35 % Vanuit de business -> (pull) 5 % Security view in Enterprise architectuur Dus nog een lange weg te gaan, of niet.???? 22

Vragen Er is nooit tijd om iets goeds te doen, maar er is altijd tijd om het opnieuw te doen. LogicaCMG 2006. All rights reserved

Security maturity model (2) Domain Dimension Base Practices Er zijn 129 Base Practices georganiseerd in 22 gebieden 11 gebieden bevatten 61 Base Practices die security engineering afdekken: PA01 Administer Security Controls PA02 Assess Impact PA03 Assess Security Risk PA04 Assess Threat PA05 Assess Vulnerability PA06 Build Assurance Argument PA07 Coordinate Security PA08 Monitor Security Posture PA09 Provide Security Input PA10 Specify Security Needs PA11 Verify and Validate Security 24

Security maturity model (3) 11 gebieden bevatten 68 Base Practices afkomstig van Systems Engineering en Software CMM project- en organisatie gerelateerde zaken: PA12 Ensure Quality PA13 Manage Configuration PA14 Manage Project Risk PA15 Monitor and Control Technical Effort PA16 Plan Technical Effort PA17 Define Organization's Systems Engineering Process PA18 Improve Organization's Systems Engineering Process PA19 Manage Product Line Evolution PA20 Manage Systems Engineering Support Environment PA21 Provide Ongoing Skills and Knowledge PA22 Coordinate with Suppliers 25

Security maturity model (4) Capability Dimension Generic Practices Level 1. Performed Informally 1.1 Base Practices Are Performed Level 2. Planned and Tracked 2.1 Planning Performance 2.2 Disciplined Performance 2.3 Verifying Performance 2.4 Tracking Performance Level 3. Well-Defined 3.1 Defining a Standard Process 3.2 Perform the Defined Process 3.3 Coordinate the Process 26

Security maturity model (5) Capability Dimension Generic Practices Level 4. Quantitatively Controlled 4.1 Establishing Measurable Quality Goals 4.2 Objectively Managing Performance Level 5. Continuously Improving 5.1 Improving Organizational Capability 5.2 Improving Process Effectiveness 27

Security maturity model (6) 28

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback