Security & Continuity @ KPN
Multi layer Security event IJmuiden, 30 november 2010
Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Assurance Lessons learned Vragen
1
1
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Security & Continuity @ KPN De missie
Het managen van risico s t.a.v. bedrijfsmiddelen: Mensen Tastbare bedrijfsmiddelen Niet tastbare bedrijfsmiddelen
2
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Security & Continuity @ KPN De focus
3
2
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Security & Continuity @ KPN De context Algemeen Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker
Zakelijke markt Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM) Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt
Consumenten markt Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens
Leverketens Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers
Economische situatie Leidt tot verhoogde risico s t.a.v. prestaties en continuïteit leveranciers Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point 4
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Security & Continuity @ KPN De uitdaging Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten geleverd door ~35.000 medewerkers vanuit 14 landen draaiend op > 2000 systemen, platformen en netwerken met ruim 125 jaar (telefonie) historie in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk
Besturing vanuit de Raad van Bestuur is randvoorwaardelijk! 5
3
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Assurance Lessons learned Vragen
6
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Beleid KPN Business Control Framework (BCF)
7
4
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Beleid Security & Continuity zijn onderdeel KPN Corporate Governance KPN Security & Continuity Charter Onderdeel van het Business Control Framework RvB portefeuillehouder (Baptiest Coopmans) Vormt de basis voor de KPN Corporate Security Policy
KPN Corporate Security Policy framework Door de RvB geaccordeerd Bestaat uit: Corporate Security policy Governance & Compliance model Verklaring toepassingsgebied 8
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Beleid KPN Group BCF Security & Continuity charter <snip>
Implementeer de KPN Baseline
Therefore, units shall:
In line with the Corporate Security Policy, implement and maintain: a mandatory minimum set of security measures (the Security Baseline); a security management framework consisting of a risk-based plan/do/check/act process eenfraud Security concerning information security, physical security, personal securityRicht & safety, and Risk management business continuity.
proces in Determine and implement their own additional security policies, when required by: specific (operational) risks within their domain;
Manage business Security risico s
contracts and agreements with customers, partners and/or suppliers; applicable legal and/or regulatory requirements.
In line with the Corporate Security Policy, determine and report compliance and noncompliance to this policy to Chief Information Security Officer (CISO). Demonstreer 9
5
Compliance (GRIP) Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Beleid KPN Corporate Security Policy Omvat ondermeer Security & Continuity Management (organisatie en processen) Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) Security & Continuïteit Awareness Veiligheid van medewerkers (ARBO, BHV) Betrouwbaarheid en integriteit van medewerkers Justitieel Aftappen en gegevensverstrekking Telecom Fraude en abuse Incidentmanagement
10
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Assurance Lessons learned Vragen
11
6
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Organisatie KPN Corporate Security KPN Group KPN Security (CSO)
Raad van Bestuur
Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy)
(Integriteit & analyse)
Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse
Bestaat uit 54 medewerkers Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen 12
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Organisatie KPN Nederland KPN Group
KPN NL
Raad van Bestuur ( RvB )
Raad van Bestuur ( NL Board )
Security Steering Committee
Tactische eenheid (Segment) Segment MT s en Corporate Center
Operationele eenheid
Tactical Security Board
Tactical Security Managers
Proces, dienst of product eigenaren Operational Security Managers
13
7
GRIP board KPN Security & BCM Manager
Operational Security Board
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
KPN CERT
30 novmeber 2010
6-12-2010
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Assurance Lessons learned Vragen
14
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Besturing Security Management - Strategisch Business
Financieel
Compliance & strategische risico s
Governance
Compliance GRIP Board
SSC
Compliance & tactische risico s
Structurele verbeteringen
Materieel
Segment Management Business processen & diensten
TSM
Niet-materieel
Audit (QA)
RM Implementatie & bijstelling
SSC = Security Steering committee RM = Risk Manager QA = Quality Assurance
15
8
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
TSM = Tactisch Security Manager GRIP = Governance & Compliance, Risk & In control processes
30 novmeber 2010
6-12-2010
Besturing Security Management
Tactisch en operationeel GRIP
SSC CISO
Beleid, Organisatie & Besturing
BCM
Compliance en risico rapportage
Strategisch
MT
MT
Tactisch eenheden
RM
TSM
Tactisch
MT
MT
(Segment)
MT
Operationele eenheden
MT
RM
TSM MT
MT
MT
MT
(Reporting Unit)
Operationeel OSM OSM OSM OSM Drie niveau s van security management
OSM OSM OSM OSM
Business eisen & Service Level rapportage (Keten management) SSC = Security Steering committee RM = Risk Manager TSM = Tactisch Security manager
16
Multi Layer Security Event - Security & Continuity @ KPN
CFO = Chief Financial Officer CISO = Chief Information Security Officier OSM = Operational Security manager
30 novmeber 2010
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Assurance Lessons learned Vragen
17
9
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Assurance Security Control Framework
Internal compliance
(Strategische) Security risico s worden gemitigeerd middels control objectives Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) Een deel van deze ISO controls zijn Baseline en dus verplicht De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control GRC+ controls
Risks, customers requirement, incidents, law and regulations
CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc .
Security & BCM Control objectives (17)
ISO 27001 annex A (133 potential Security and BCM controls) 60 risk based controls
73 baseline controls 18
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Assurance Security Control Framework KLANTEN
DIENST 10 AANBIEDINGEN Beheersdoelen
SM / BCM BELEID
CO-01
Beleid
CO-02
Organisatie
CO-03
Security management (PDCA)
CO-04
Beheer van informatie(middelen)
CO-05
Toegangsverlening (fysiek & logisch)
CO-06
Risicomanagement
CO-07
Testen van maatregelen
CO-08
Monitoren van verbeteringen
CO-09
Vernieuwingsproces
CO-10
Dienstaanbiedingen
CO-11
Interne en externe overeenkomsten
CO-12
Management van leveranciers
CO-13
Bewustzijn
CO-14
Continuïteitsplanning
CO-15
Management van incidenten
CO-16
HR-proces
CO-17
Security in operatiën
DIENSTEN
1
17
OPERATIËN CONTINUÏTEITS PLANNEN 14
6 RISICO MANAGEMENT
3 SM / BCM BESTURING VERBETER MANAGEMENT
8
TOEGANG
MAATREGELEN TESTEN VAN MAATREGELEN
7
EIGENAREN
5
4
BEDRIJFSMIDDELEN
13
16 15
HR PROCES
AWARENESS
PERSONEEL
INCIDENTEN
9
2
INNOVATIE
SM / BCM ORGANISATIE
OVEREENKOMSTEN ASSURANCE
11
12
19
10
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
LEVERANCIERS
30 novmeber 2010
6-12-2010
Assurance Intern vs Extern BCF beleid
Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance
Corporate Security policy Security: ISO 27001/27002 based Business Continuity: BS25999 based
Assurance via quarterly DOR proces, GRC+
BCF Specific
BCF & BU Overlap
20
Market demands Bepalen de basis van het compliance framework:
Integrated Control Framework
KPN Business Control Framew
Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011
ISO 9001 ISO 27001 (certification) ITIL security & BCM elements Assurance (SAS70 & TPM) Cobit VCA (Health)
Compliance demands
Customer demands Leiden tot addtionele eisen en assurance formaten: BU specific
Market demands Customer specific
Customer demands
Specific customer scope assurance such as TPM & SAS70 Audit reports & certifications PCI, ISO 14000, NEN 7510, etc. Real-time monitoring, SOC/SIEM
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Maatregelen Assurance middels ISO 27001 certificaten Certificaten met generieke scope
2098139
Application Services
2106391
Cybercenter Services
ICS 008
Business Continuity Services
2098145
Local Area Network Services
2078860
Integrated & Outsourcing services
2126960
Operations Internationaal
2119991
Certificaten met specifieke scope
21
11
Certificaat #
Hosting Services
Certificaat #
Office Access & EVPN
2087166
KPN MTI SDU Transport
ISC 017
Osiris (Support team tooling)
2018483
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Lessons learned Vragen
22
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Lessons learned Transparantie en duidelijkheid Plot Security & Continuity op de meerjarige business strategie Schets belangen en risico s in de taal van de business Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit
Verantwoordelijkheden Haal security implementatieverantwoordelijkheid uit de financiële kolom Breng de business in haar rol t.a.v. policy implementatie en geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance
Strategie Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) Plan iteratief binnen die strategie Wees wendbaar en flexibel Plan tijd voor correctieve actie (Demming s C&A-fasen)
Integreer waar mogelijk met bestaande processen en structuren
23
12
Multi Layer Security Event - Security & Continuity @ KPN
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
30 novmeber 2010
6-12-2010
Agenda
Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Lessons learned Vragen
24
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Multi Layer Security Event - Security & Continuity @ KPN
30 novmeber 2010
Vragen
25
13
Corporate Center (Information Security Governance), Koninklijke KPN
Hierarchical Security Management
6-12-2010
