290 likes | 525 Views
Security & Continuity @ KPN. ISACA Briefing Breukelen, september 2010. Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security. Agenda. Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen.
E N D
Security & Continuity @ KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security OfficerKPN Corporate Security
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Security & Continuity @ KPN De missie… Het managen van risico’s t.a.v. bedrijfsmiddelen: • Mensen • Tastbare bedrijfsmiddelen • Niet tastbare bedrijfsmiddelen ISACA Briefing - Security & Continuity @ KPN
Security & Continuity @ KPN De focus… ISACA Briefing - Security & Continuity @ KPN
Security & Continuity @ KPN De context… • Algemeen • Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf • Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker • Zakelijke markt • Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) • Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt • Consumenten markt • Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services • Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens • Leverketens • Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen • Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers • Economische situatie • Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers • Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point ISACA Briefing - Security & Continuity @ KPN
Security & Continuity @ KPN De uitdaging… • Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten • geleverd door ~35.000 medewerkers • vanuit 14 landen • draaiend op > 2000 systemen, platformen en netwerken • met ruim 125 jaar (telefonie) historie • in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk… Besturing vanuit de Raad van Bestuur is randvoorwaardelijk! ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
KPN Business Control Framework (BCF) Beleid ISACA Briefing - Security & Continuity @ KPN
Security & Continuity zijn onderdeel KPN Corporate Governance Beleid • KPN Security & Continuity Charter • Onderdeel van het Business Control Framework • RvB portefeuillehouder (Baptiest Coopmans) • Vormt de basis voor de KPN Corporate Security Policy • KPN Corporate Security Policy framework • Door de RvB geaccordeerd • Bestaat uit: • Corporate Security policy • Governance & Compliance model • Verklaring toepassingsgebied ISACA Briefing - Security & Continuity @ KPN
KPN Group BCF Security & Continuity charter Beleid <snip> • Therefore, units shall: • In line with the Corporate Security Policy,implement and maintain: • a mandatory minimum set of security measures (theSecurity Baseline); • asecurity management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security & safety, fraud and business continuity. • Determine and implement their own additional security policies, when required by: • specific (operational) risks within their domain; • contracts and agreements with customers, partners and/or suppliers; • applicable legal and/or regulatory requirements. • In line with the Corporate Security Policy, determine and report compliance and non-compliance to this policy to Chief Information Security Officer (CISO). </snip> Implementeer de KPN Baseline Richt een Security Risk management proces in Manage business Security risico’s Demonstreer Compliance (GRIP) ISACA Briefing - Security & Continuity @ KPN
KPN Corporate Security Policy Beleid • Omvat ondermeer… • Security & Continuity Management (organisatie en processen) • Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) • Security & Continuïteit Awareness • Veiligheid van medewerkers (ARBO, BHV) • Betrouwbaarheid en integriteit van medewerkers • Justitieel Aftappen en gegevensverstrekking • Telecom Fraude en abuse • Incidentmanagement ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Organisatie KPN Corporate Security KPN Group – Raad van Bestuur KPN Security (CSO) (Integriteit & analyse) Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy) Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse • Bestaat uit 54 medewerkers • Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen ISACA Briefing - Security & Continuity @ KPN
KPN Group Organisatie KPN Group – Raad van Bestuur KPN Security GRIP (Governance, Risk & In-control processes) KPN NL Getronics KPN GB KPN CERT E-Plus iBasis • Allen voldoen aan de Corporate Security policy • Diversiteit in besturing en rapportage ISACA Briefing - Security & Continuity @ KPN
Organisatie KPN Nederland KPN Group – Raad van Bestuur (‘RvB’) KPN NL – Raad van Bestuur (‘NL Board’) GRIP board Tactische eenheid (Segment) Segment MT’s en Corporate Center Security Steering Committee KPN Security & BCM Manager Tactical Security Board KPN CERT Operationele eenheidProces, dienst of product eigenaren Tactical Security Managers Operational SecurityBoard Operational Security Managers ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Besturing Security Management - Strategisch Business Financieel Governance Compliance Compliance & strategische risico’s SSC GRIP Board Compliance & tactische risico’s Structurele verbeteringen Audit (QA) Materieel Niet-materieel Segment Management Business processen & diensten TSM RM Implementatie & bijstelling SSC = Security Steering committee TSM = Tactisch Security Manager RM = Risk Manager GRIP = Governance & Compliance, Risk & QA = Quality Assurance In control processes ISACA Briefing - Security & Continuity @ KPN
MT MT MT MT MT MT MT MT MT MT Besturing Security Management – Tactisch en operationeel SSC GRIP CISO BCM Compliance en risico rapportage Beleid, Organisatie & Besturing Strategisch Tactisch eenheden (Segment) TSM RM TSM RM Tactisch Operationele eenheden (Reporting Unit) Operationeel OSM OSM OSM OSM OSM OSM OSM OSM Drie niveau’s van security management Business eisen & Service Level rapportage (Keten management) SSC = Security Steering committee CFO = Chief Financial Officer RM = Risk Manager CISO = Chief Information Security Officier TSM = Tactisch Security manager OSM = Operational Security manager ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Maatregelen KPN Baseline • Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen • Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”) • De KPN Baseline is een selectie van 73 van deze maatregelen (54%) • De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen • Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen: • Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving • Ter indicatie, de Security controlset van een vijftal KPN diensten: OfficeAccess (54 controls) EVPN (53 controls) Managed LAN (46 controls) Cybercenters (45 controls) Risk based WO OPS INT (38 controls) ISO27001 - 133 controls CSP KPN Baseline (73 controls) Baseline ISACA Briefing - Security & Continuity @ KPN
Maatregelen Security Control Framework KLANTEN 10 DIENST AANBIEDINGEN SM / BCM BELEID DIENSTEN 1 17 OPERATIËN CONTINUÏTEITS PLANNEN 6 RISICO MANAGEMENT 14 3 SM / BCM BESTURING EIGENAREN TOEGANG 5 MAATREGELEN 4 8 VERBETER MANAGEMENT BEDRIJFSMIDDELEN 7 TESTEN VAN MAATREGELEN 13 16 AWARENESS HR PROCES PERSONEEL 15 INCIDENTEN 9 2 INNOVATIE SM / BCM ORGANISATIE 11 OVEREENKOMSTEN ASSURANCE 12 LEVERANCIERS ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Security Control Framework – Internal compliance Assurance • (Strategische)Security risico’s worden gemitigeerd middels control objectives • Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) • Een deel van deze ISO controls zijn “Baseline” en dus verplicht • De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) • Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control GRC+ controls CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc…. Risks, customers requirement, incidents,law and regulations Security & BCM Control objectives (17) ISO 27001 annex A (133 potential Security and BCM controls) 60 risk based controls 73 baseline controls ISACA Briefing - Security & Continuity @ KPN
Assurance Intern vs Extern BCF beleid Corporate Security policy • Security: ISO 27001/27002 based • Business Continuity: BS25999 based • Assurance via quarterly DOR proces, GRC+ • Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance • Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011 Market demands Bepalen de basis van het compliance framework: • ISO 9001 • ISO 27001 (certification) • ITIL security & BCM elements • Assurance (SAS70 & TPM) • Cobit • VCA (Health) Customer demands Leiden tot addtionele eisen en assurance formaten: • Specific customer scope assurance such as TPM & SAS70 • Audit reports & certifications • PCI, ISO 14000, NEN 7510, etc. • Real-time monitoring, SOC/SIEM Integrated Control Framework KPN Business Control Framew Compliance demands BCF Specific BCF & BU Overlap BU specific Market demands Customer specific Customer demands ISACA Briefing - Security & Continuity @ KPN
Maatregelen Assurance middels ISO 27001 certificaten • Certificaten met generieke scope Certificaat # • Hosting Services 2098139 • Application Services 2106391 • Cybercenter Services ICS 008 • Business Continuity Services 2098145 • Local Area Network Services 2078860 • Integrated & Outsourcing services 2126960 • Operations Internationaal 2119991 • Certificaten met specifieke scope Certificaat # • Office Access & EVPN 2087166 • KPN MTI SDU Transport ISC 017 • Osiris (Support team tooling) 2018483 ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Lessons learned Transparantie en duidelijkheid • Plot Security & Continuity op de meerjarige business strategie • Schets belangen en risico’s in de “taal van de business” • Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden • Haal security implementatieverantwoordelijkheid uit de financiële kolom • Breng de “business” in haar rol t.a.v. policy implementatie en • geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance Strategie • Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) • Plan iteratief binnen die strategie • Wees wendbaar en flexibel • Plan tijd voor correctieve actie (Demming’s C&A-fasen) • Integreer waar mogelijk met bestaande processen en structuren ISACA Briefing - Security & Continuity @ KPN
Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Lessons learned • Vragen ISACA Briefing - Security & Continuity @ KPN
Vragen… ? ISACA Briefing - Security & Continuity @ KPN