Architecten-debat 21 juni 2006 PI GvIB Themamiddag Renato Kuiper Principal Consultant Information Security 1
De spreker Principal Consultant Information Security Hoofdredacteur Informatiebeveiliging 15 jaar ervaring in Informatiebeveiliging, waarvan 7 jaar in security architecturen. 2
Debat ronde 1: het wie en wat Macro-cyclus Informatiebeveiliging Wat is een security architectuur? Visie op security architectuur Positionering van security architectuur Proces om te komen tot De rol van de security architect Heb je een security architect nodig, wat doet deze dan? Heeft de security architect toekomst Wat kom je tegen als security architect Kennis en vaardigheden security architect Security functies in de organisatie 3
Macro-cyclus informatiebeveiliging 8. Evalueren 1. Beleid vaststellen 2. Kader bepalen 7. Controleren Bewustwording 3. Analyseren 6. Uitvoeren Security Architectuur 4. Selecteren 5. Implementeren 4
Wat is een security architectuur (1)? A defined set of security mechanisms and supporting standards with provide a coherent range of security capabilities to users and system developers- ISF The Forum s standard of Good Practice A framework that describes all aspects of the environment that relate to security, along with a set of principles to guide the design- GartnerGroup The high-level identification, specification and deployment of a set of interdependent and co-operating security relevant elements (IT services and components of IT services). These elements are collectively responsible for enforcing the system security policy in the system domain- The Open Group Source: ISF 5
Wat is een security architectuur (2)? The consistent overall set of security measures on a software, hardware and network level that fulfil the requirements on information security for the business, compliant to law and policies Forum Member definition An integrated framework of security controls, working together, to ensure the security of information, computers and network assets- Forum member definition Source: ISF 6
Wat is een security architectuur (3)? Key elements: Provides coherent and consistent mechanisms Defines standards to be followed in implementing security mechanisms Gives a structure to the way security mechanisms are implemented Establishes the interfaces through which users and applications invoke security mechanisms Defines the interrelationships between different security mechanisms Source: ISF 7
Wat is een security architectuur (4)? Source: ISF 8
Visie op Security architectuur In een Securityarchitectuur wordt aangegeven: De aansluiting bij de strategische doelstellingen Relatie met andere architecturen (Business, Informatie en ICT) De samenhang tussen de verschillende beveiligingsfuncties De te gebruiken standaarden en interfaces en de manier waarop deze geïmplementeerd dienen te worden Beschrijving van de huidige situatie (IST) Bepalen van de gewenste situatie (SOLL) Langs welke weg de gewenste eindsituatie bereikt wordt (GAP analyse en Transitieschema) Het is een hulpmiddel en geen doel op zich 9
Positionering security architectuur -1 Positionering security architectuur: Los met een aparte view Onderdeel van de enterprise architectuur Onderdeel van de Infra architectuur Vraag of aanbieders architectuur Business Architectuur Relatie tussen Beveiligingsarchitectuur Informatie architectuur Relatie tussen Bijvoorbeeld: Platformarchitectuur Applicatie architectuur ICT architectuur Relatie tussen Relatie tussen Bijvoorbeeld: Netwerkarchitectuur Bijvoorbeeld: Beheerarchitectuur 10
Positionering security architectuur -2 Positionering security architectuur: Bijvoorbeeld: Platformarchitectuur Business Architectuur Beveiligingsarchitectuur Als View in de enterprise architectuur? Informatie architectuur Applicatie architectuur ICT architectuur Bijvoorbeeld: Beheerarchitectuur Bijvoorbeeld: Netwerkarchitectuur 11
De rol van de security architect Information security (Informatiebeveiliging) is: Een samenhangend stelsel van afgewogen activiteiten, methoden en middelen gericht op het beschermen van informatiesystemen tegen aantasting van een gewenst niveau van betrouwbaarheid (betrouwbaarheidsaspecten BIV- Beschikbaarheid, Integriteit en Exclusiviteit) 12
Wat is een security architect? Is het een architect met specialisatie security? of een security specialist met een helikopterview? 13
Heb je een security architect nodig? Om samenhang (en inzicht) te krijgen tussen de security controls die noodzakelijk zijn. Om richting te bepalen wat waneer moet gebeuren (inzicht). Security moet effectief en efficiënt ingezet kunnen worden. Om collega Business, Informatie, applicatie en ICT architecturen te ondersteunen bij gebrek aan hun security kennis. Om projecten te ondersteunen (startarchitecturen etc). 14
Wat doet de security architect? Ontwikkelen van de security architectuur Coaching van ander architecten Projecten ondersteunen met startarchitecturen Management inzicht geven in de huidige en gewenste beveiliging Helpen bij planning van activiteiten Kosten baten afwegingen Communicatie van security in de organisatie INZICHT INZICHT INZICHT 15
Wat kom je tegen als security architect? Keuze en scope architectuur Model: welk model?? Scope: Vanuit business tot aan ICT of alleen ICT vaak alleen vanuit ICT. Als aanbieders (baseline -PUSH) of afnemersarchitectuur (PULL). Vaak aanbieders maar steeds vaker vraag Betrouwbaarheidsaspecten: Integriteit-> meestal Overheid, Banken, Industrie Exclusiviteit meestal Overheid en Banken, Industrie minder! Beschikbaarheid soms, doorgaans in de Industrie. 16
Kennis en vaardigheden security architect Goed inzicht in security, in de breedste zin des woords Overzicht in of Business, Informatie, Applicatie of ICT wordt bepaald door de positie en scope. Goede communicatieve vaardigheden.... En volgens mij nog veel meer wat we niet kunnen definiëren. 17
Security functies in de organisatie Centraal bestuur staf Manager IB Bedrijfseenheid ICT-eenheid Functionaris IB Architect IB staf staf Security Manager uitvoering Systeem Ontwikkeling Security Architect Security speciaist Bron: GvIB en PI: functies in de Informatiebeveiliging (concept) Beheer & Exploitatie Security Officer Security speciaist 18
Heeft de security architect toekomst? Security is nog steeds onderbelicht in architecturen en wel op alle niveaus. De gemiddelde architect heeft weinig kennis van security. Security zal een onderdeel moeten uitmaken van de kennis en kunde van architecten. De security architect verdwijnt als security gemeengoed in denken en doen van architecten wordt. MAAR DAT DUURT NOG WEL EVEN!!! 19
Debat ronde 2: de werkwijze Proces om te komen tot SDLC SDLC NIST SDLC Gartner 20
Proces om te komen tot.. Knelpunten Life cycle management IST Aanwezige beveiliging PUSH GAP analyse Transitieschema Projecten Markt Eisen/ wensen SOLL PULL Views 21
SOLL - Business vraag (PULL) 22
SDLC: Software Development Life Cycle NIST: Initiation Phase Acquisition / Development Phase Implementation Phase Operations/ Maintenance Phase Disposition Phase Bron: NIST SP 800-64 23
SDLC: Software Development Life Cycle Bron: NIST SP 800-64 24
SDLC: Software Development Life Cycle Bron: NIST SP 800-64 25
SDLC: Software Development Life Cycle Bron: NIST SP 800-64 26
Gartner Bron: Gartner G001357517 10 feb 2006 27
Er is altijd te weinig tijd om alles uit te leggen. Er is nooit tijd en geld om iets goed te doen, maar er is altijd tijd en geld om iets opnieuw te doen. VRAGEN Renato.kuiper@logicacmg.com 28