ICT Outsourcing & Beveiliging Mr.W. H.M. Hafkamp abobank Nederland /Platform Informatiebeveiliging G VIB 18 december 2001 Jaarbeurs Utrecht
Agenda Toelichting abobank / PI Outsourcing proces De SLA-studies: praktijkwijzer Drielagenmodel Het (model)contract Objecten van uitbesteding Beveiligingsmatrix Stellingen
Even voorstellen... Wim Hafkamp: Senior adviseur informatiebeveiliging abobank Nederland Betalingsverkeer
abobank Groep Coöperatieve abobanken (439) Aangesloten Banken Bedrijf abobank Nederland Concernstaven abobank International Interpolis International Private Banking & Trust De Lage Landen International obeco Groep abofacet Schretlen & Co Gilde Investment Management Overige Deelnemingen
Platform Informatiebeveiliging Vereniging van: security managers (CSA) EDP-auditors (OTB) +/- 50 organisaties zijn lid Doel: beveiligingsnormen / studies themasessies
Outsourcing decision model IT Function of strategic importance? YES More than one capable vendor? NO Will outsourcing lead to loss of control? YES Can there be switched from vendor? NO Can vendor be sufficiently evaluated in advance? NO Can vendor realise economies of scale? NO Consider outsourcing Forget outsourcing
Het outsourcing proces Stap 1:Initiatie Haalbaarheidsonderzoek FI/FP Leverancierselectie Prijs/prestatie Contract Stap 2:Installatie Infrastructuur Organisatie Migratie Stap 3: Uitvoering Service (level) management SECUITY?!
PI-SLA studies Beveiliging in klant-leveranciersrelatie Studie 1: normen en bedreigingen Studie 2: contractuele aspecten Hulpmiddel voor SLA / contract betrokkenen
Uitgangspunten Eindverantwoordelijkheid kan niet worden uitbesteed Bestaande beveiligingsniveau wordt niet aangetast Aansluiting bij ITIL-methodologie Basis voor normen / maatregelen: relevante bedreigingen
Visie op uitbesteding Uitbesteding overeenkomst Tactisch niveau Operationeel niveau Strategisch niveau Service Level Agreement Dossier Afspraken en Procedures Provider Klant
Drielagenm o del:essentialia Maak contract tijd/conjunctuur-ongevoelig beveiligingsdetails in SLA anticipeer op toekomstige wetgeving gebruik bijlagen voor afspraken over: concrete dienstverlening prestatie-indicatoren uitgangspunten / randvoorwaarden definitie-omschrijving
Overeenkomst/contract 6:217 Bw (...) door aanbod en aanvaarding Mondelinge afspraken zijn bindend Wil & gewekte verwachting equest for proposal (pre-contractuele fase!)
Pre-contractuele fase: rechtspraaksteekproef Leverancier - Informatieverstrekking - Deskundige bij uitstek - Waarschuwingsplicht - Scholing (bijstandsplicht) Klant - Ondernemingsinfo - Vergewissingsplicht - Bedingen van tests
M o delcontract 14 artikelen: 1. Definities 2. Onderwerp 3. Prijzen en tarieven 4. Acceptatieprocedures 5. Overleg en rapportagestructuur 6. Controlerecht 7. Inzet derden
M o delcontract 8. Geheimhouding en beveiliging 9. Wijziging services 10. Garanties 11. Licentie en Intellectuele eigendom 12. Aansprakelijkheid 13. Duur van de overeenkomst 14. Geschillen
M o delcontract Aldus overeengekomen ( ): Opdrachtgever en leverancier Datum en Plaats
Objecten van uitbesteding Netwerk Werkplek ekencentrum Systeemontwikkeling BESCHIKBAAHEID INTEGITEIT VETOUWELIJKHEID
Beveiligingsmatrix Input voor SLA Ontstaan vanuit risicogedachte menselijk falen systeemtechnisch falen infrastructureel falen organisatorisch falen koppeling met Code voor Informatiebeveiliging
Gedeelte uitmatrix CITEIA VOO BEVEILIGING: - Beschikbaarheid (B) - Integriteit (I) - Vertrouwelijkheid (V) Nummer B I V Overig MOGELIJKE MAATEGEL(EN): BEDEIGING: Link naar Code voor Informatie beveiliging 2000 M MENSELIJK FALEN M1 X Verduidelijken werkzaamheden Onoplettendheid 4.1.3, 5.1, 6.1.1, B Collegiale/Interne controle 6.1.2, 6.2, 6.3, 7.2, 7.3.1 M2 X Opleiden Ondeskundigheid 6.2, 8.1.1, 11.1.5 B M3 X Duidelijke werkinstructies Helpdesk informatie Onvoldoende ondersteuning 6.2, 8.1.1, 8.1.3 B M4 X X Toegangsbeveiliging Controle op geoorloofdheid van programma s egistratie en evaluatie gebruik Ongeoorloofd gebruik van systemen en programma s 4.2, 5.2, 7.2.1, 7.2.5, 7.2.6, 7.3, 8.1.4, 8.1.5, 8.7.5, 9 S M5 X Classificatie van gegevens egistratie en evaluatie gebruik Toegangsbeveiliging Clean Desk/screen policy Ongeoorloofd gebruik van gegevens en output 5.2, 7.2.5, 7.2.6, 7.3, 8.1.4, 8.1.5, 8.6, 8.7, 9, 10.4.2, 12.1 Klant IM Levera ncier
DIEFSTAL
BAND
AFLUISTEEN
Stap 1: selectie bedreigingen Selecteer op basis van object of B-I-V kwaliteitseis de relevante bedreigingen (Voorbeeld ekencentrum) EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM
Stap 2: adresseer maatregelen Maak de maatregelen genoemd bij de bedreigingen concreet en voeg toe aan SLA EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM
Stap 3: verantwoordelijken Koppel verantwoordelijke functionarissen (K/L) aan maatregelen in kader van naleving en communicatie EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM
Stelling 1 Beveiligingsnormen zijn lastig te concretiseren Aspecten als Integriteit en Vertrouwelijkheid zijn in een klant-leverancier vaak niet te kwantificeren. De PI-studies helpen bij het opstellen van een SLA en het adresseren van adequate beveiligingsmaatregelen.
Stelling 2 Certificering van IT-beveiliging niet dé oplossing Enkel certificering van leverancier is niet verstandig. Leverancier bepaalt dan immers niveau en kwaliteit van de geïmplementeerde maatregelen. Beveiligingsnormen dienen vooraf in een uitbestedingsovereenkomst / SLA vast te liggen!
Vragen /opmerkingen? Jullie mogen alles van mij weten, behalve mijn. W.H.M.HAFKAMP@N.ABOBANK.NL