1 / 29

Security & Continuity @ KPN

Security & Continuity @ KPN. ISACA Briefing Breukelen, september 2010. Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security. Agenda. Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen.

callia
Download Presentation

Security & Continuity @ KPN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Security & Continuity @ KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security OfficerKPN Corporate Security

  2. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  3. Security & Continuity @ KPN De missie… Het managen van risico’s t.a.v. bedrijfsmiddelen: • Mensen • Tastbare bedrijfsmiddelen • Niet tastbare bedrijfsmiddelen ISACA Briefing - Security & Continuity @ KPN

  4. Security & Continuity @ KPN De focus… ISACA Briefing - Security & Continuity @ KPN

  5. Security & Continuity @ KPN De context… • Algemeen • Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf • Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker • Zakelijke markt • Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) • Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt • Consumenten markt • Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services • Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens • Leverketens • Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen • Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers • Economische situatie • Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers • Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point ISACA Briefing - Security & Continuity @ KPN

  6. Security & Continuity @ KPN De uitdaging… • Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten • geleverd door ~35.000 medewerkers • vanuit 14 landen • draaiend op > 2000 systemen, platformen en netwerken • met ruim 125 jaar (telefonie) historie • in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk… Besturing vanuit de Raad van Bestuur is randvoorwaardelijk! ISACA Briefing - Security & Continuity @ KPN

  7. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  8. KPN Business Control Framework (BCF) Beleid ISACA Briefing - Security & Continuity @ KPN

  9. Security & Continuity zijn onderdeel KPN Corporate Governance Beleid • KPN Security & Continuity Charter • Onderdeel van het Business Control Framework • RvB portefeuillehouder (Baptiest Coopmans) • Vormt de basis voor de KPN Corporate Security Policy • KPN Corporate Security Policy framework • Door de RvB geaccordeerd • Bestaat uit: • Corporate Security policy • Governance & Compliance model • Verklaring toepassingsgebied ISACA Briefing - Security & Continuity @ KPN

  10. KPN Group BCF Security & Continuity charter Beleid <snip> • Therefore, units shall: • In line with the Corporate Security Policy,implement and maintain: • a mandatory minimum set of security measures (theSecurity Baseline); • asecurity management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security & safety, fraud and business continuity. • Determine and implement their own additional security policies, when required by: • specific (operational) risks within their domain; • contracts and agreements with customers, partners and/or suppliers; • applicable legal and/or regulatory requirements. • In line with the Corporate Security Policy, determine and report compliance and non-compliance to this policy to Chief Information Security Officer (CISO). </snip> Implementeer de KPN Baseline Richt een Security Risk management proces in Manage business Security risico’s Demonstreer Compliance (GRIP) ISACA Briefing - Security & Continuity @ KPN

  11. KPN Corporate Security Policy Beleid • Omvat ondermeer… • Security & Continuity Management (organisatie en processen) • Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) • Security & Continuïteit Awareness • Veiligheid van medewerkers (ARBO, BHV) • Betrouwbaarheid en integriteit van medewerkers • Justitieel Aftappen en gegevensverstrekking • Telecom Fraude en abuse • Incidentmanagement ISACA Briefing - Security & Continuity @ KPN

  12. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  13. Organisatie KPN Corporate Security KPN Group – Raad van Bestuur KPN Security (CSO) (Integriteit & analyse) Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy) Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse • Bestaat uit 54 medewerkers • Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen ISACA Briefing - Security & Continuity @ KPN

  14. KPN Group Organisatie KPN Group – Raad van Bestuur KPN Security GRIP (Governance, Risk & In-control processes) KPN NL Getronics KPN GB KPN CERT E-Plus iBasis • Allen voldoen aan de Corporate Security policy • Diversiteit in besturing en rapportage ISACA Briefing - Security & Continuity @ KPN

  15. Organisatie KPN Nederland KPN Group – Raad van Bestuur (‘RvB’) KPN NL – Raad van Bestuur (‘NL Board’) GRIP board Tactische eenheid (Segment) Segment MT’s en Corporate Center Security Steering Committee KPN Security & BCM Manager Tactical Security Board KPN CERT Operationele eenheidProces, dienst of product eigenaren Tactical Security Managers Operational SecurityBoard Operational Security Managers ISACA Briefing - Security & Continuity @ KPN

  16. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  17. Besturing Security Management - Strategisch Business Financieel Governance Compliance Compliance & strategische risico’s SSC GRIP Board Compliance & tactische risico’s Structurele verbeteringen Audit (QA) Materieel Niet-materieel Segment Management Business processen & diensten TSM RM Implementatie & bijstelling SSC = Security Steering committee TSM = Tactisch Security Manager RM = Risk Manager GRIP = Governance & Compliance, Risk & QA = Quality Assurance In control processes ISACA Briefing - Security & Continuity @ KPN

  18. MT MT MT MT MT MT MT MT MT MT Besturing Security Management – Tactisch en operationeel SSC GRIP CISO BCM Compliance en risico rapportage Beleid, Organisatie & Besturing Strategisch Tactisch eenheden (Segment) TSM RM TSM RM Tactisch Operationele eenheden (Reporting Unit) Operationeel OSM OSM OSM OSM OSM OSM OSM OSM Drie niveau’s van security management Business eisen & Service Level rapportage (Keten management) SSC = Security Steering committee CFO = Chief Financial Officer RM = Risk Manager CISO = Chief Information Security Officier TSM = Tactisch Security manager OSM = Operational Security manager ISACA Briefing - Security & Continuity @ KPN

  19. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  20. Maatregelen KPN Baseline • Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen • Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”) • De KPN Baseline is een selectie van 73 van deze maatregelen (54%) • De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen • Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen: • Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving • Ter indicatie, de Security controlset van een vijftal KPN diensten: OfficeAccess (54 controls) EVPN (53 controls) Managed LAN (46 controls) Cybercenters (45 controls) Risk based WO OPS INT (38 controls) ISO27001 - 133 controls CSP KPN Baseline (73 controls) Baseline ISACA Briefing - Security & Continuity @ KPN

  21. Maatregelen Security Control Framework KLANTEN 10 DIENST AANBIEDINGEN SM / BCM BELEID DIENSTEN 1 17 OPERATIËN CONTINUÏTEITS PLANNEN 6 RISICO MANAGEMENT 14 3 SM / BCM BESTURING EIGENAREN TOEGANG 5 MAATREGELEN 4 8 VERBETER MANAGEMENT BEDRIJFSMIDDELEN 7 TESTEN VAN MAATREGELEN 13 16 AWARENESS HR PROCES PERSONEEL 15 INCIDENTEN 9 2 INNOVATIE SM / BCM ORGANISATIE 11 OVEREENKOMSTEN ASSURANCE 12 LEVERANCIERS ISACA Briefing - Security & Continuity @ KPN

  22. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  23. Security Control Framework – Internal compliance Assurance • (Strategische)Security risico’s worden gemitigeerd middels control objectives • Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) • Een deel van deze ISO controls zijn “Baseline” en dus verplicht • De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) • Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control GRC+ controls CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc…. Risks, customers requirement, incidents,law and regulations Security & BCM Control objectives (17) ISO 27001 annex A (133 potential Security and BCM controls) 60 risk based controls 73 baseline controls ISACA Briefing - Security & Continuity @ KPN

  24. Assurance Intern vs Extern BCF beleid Corporate Security policy • Security: ISO 27001/27002 based • Business Continuity: BS25999 based • Assurance via quarterly DOR proces, GRC+ • Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance • Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011 Market demands Bepalen de basis van het compliance framework: • ISO 9001 • ISO 27001 (certification) • ITIL security & BCM elements • Assurance (SAS70 & TPM) • Cobit • VCA (Health) Customer demands Leiden tot addtionele eisen en assurance formaten: • Specific customer scope assurance such as TPM & SAS70 • Audit reports & certifications • PCI, ISO 14000, NEN 7510, etc. • Real-time monitoring, SOC/SIEM Integrated Control Framework KPN Business Control Framew Compliance demands BCF Specific BCF & BU Overlap BU specific Market demands Customer specific Customer demands ISACA Briefing - Security & Continuity @ KPN

  25. Maatregelen Assurance middels ISO 27001 certificaten • Certificaten met generieke scope Certificaat # • Hosting Services 2098139 • Application Services 2106391 • Cybercenter Services ICS 008 • Business Continuity Services 2098145 • Local Area Network Services 2078860 • Integrated & Outsourcing services 2126960 • Operations Internationaal 2119991 • Certificaten met specifieke scope Certificaat # • Office Access & EVPN 2087166 • KPN MTI SDU Transport ISC 017 • Osiris (Support team tooling) 2018483 ISACA Briefing - Security & Continuity @ KPN

  26. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  27. Lessons learned Transparantie en duidelijkheid • Plot Security & Continuity op de meerjarige business strategie • Schets belangen en risico’s in de “taal van de business” • Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden • Haal security implementatieverantwoordelijkheid uit de financiële kolom • Breng de “business” in haar rol t.a.v. policy implementatie en • geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance Strategie • Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) • Plan iteratief binnen die strategie • Wees wendbaar en flexibel • Plan tijd voor correctieve actie (Demming’s C&A-fasen) • Integreer waar mogelijk met bestaande processen en structuren ISACA Briefing - Security & Continuity @ KPN

  28. Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN

  29. Vragen… ? ISACA Briefing - Security & Continuity @ KPN

More Related