Nieuwe richtlijnen beveiliging webapplicaties NCSC

Nieuwe richtlijnen beveiliging webapplicaties NCSC

Jan Matto

“Praktijkervaringen en gevolgen voor ICT certificering.

Van beren op de weg,

naar knuffelberen

Rotterdam, 12 juni 2012 1

Introductie: Jan Matto

 Bij Mazars sinds 1981  Sinds 1998 partner Mazars Paardekooper Hoffman  Mazars Management Consultants  Informaticus en Register EDP auditor  Projectleider SBR/XBRL --- MazarsOnline

Email: [email protected] @Jan_Matto

Andere nevenactiviteiten:  Partime docent bij verscheidene opleidingsinstituten  Projectgroep internationale ontwikkelingen IT en IT auditing van de NOREA  Lid stuurgroep Voortgezette Educatie Register Accountants IT en Assurance  Redactielid Handboek EDP-auditing Kluwer/NBA  Lid projectgroep XBRL van de NBA  Commissie Zeker Online Belastingdienst  Commissie Zekere Afrekensystemen Belastingdienst  Regelmatig spreker op congressen  Publicaties op terrein van ICT en controle  Reviewer richtlijn beveiliging webapplicaties Nationaal Cyber Security Centrum …

2

Mazars Management Consultants

©

Enkele recente opdrachten : •

Onderzoek veiligheid Electronische Nederlandse Identiteitskaart (eNIk), opdracht Ministerie BZK, Justitie en Veiligheid (PET en PbD)

•

Ontwikkeling van framework en auditaanpak voor toepassing Wet op de Politiegegevens, opdracht van Politie Nederland

•

Uitvoering van diverse audits (WPG) bij politieorganisaties / inlichtingendiensten

•

ISAE3402 certificering voor IAAS, PAAS, SAAS- / WEB toepassingen

•

Privacycertificeringen / audits : ASR, QIY, Ministerie van Verkeer en Waterstaat, Equens, …

•

Onderzoek voor Ministerie van Justitie & Veiligheid naar het No-Q systeem

•

Diagnose falende IT systemen en falend IT beleid

•

Review en advies bij National Cyber Security Centrum: richtlijn beveiliging webapplicaties

•

Uitvoering pilots DigiD beveiligingsassessments (nalv Diginotar en Lektober) 3

IT Risico’s en Compliance

© Mazars 4

5

IT Audit normenkaders

Bron www.itsmf.nl

6

CobiT framework

7

Measuring Progress—CMM IT Governance

I.S. Governance Assessment

GLI Governance Maturity

Risk Management

5 Maturity Model Applied: CobiT 3 Management Guidelines

4 NonExistent

0

Initial

Repeatable

Defined

1

2

3

Managed 4

Optimized 5

3

Legend for symbols used

Legend for rankings used

0 - Management processes are not applied at all 1 - Processes are ad hoc & disorganized 2 - Processes follow a regular pattern Interim Target states 3 - Processes are documented and communicated Organization’s strategy for improvement - where the 4 - Processes are monitored and measured organization wants to be 5 - Best practices are followed and automated

2

Starting Point

1

0 Year 1

Year 2

Year 3

Year 4

Year 5

Bron: Cobit 4.1 www.isaca.org 8

IT Governance / compliance normen (I) Sector

Norm

Instituut

Beheersaspect

Alle sectoren

European Privacy Seal

EuroPrise

Beveiliging

Alle sectoren

WBP en sectorale wetten informatieverwerking

Overheid/ CBP

Privacy

Credit Card gegevensver werkingen

Meldplicht verlies persoonsgegevens, PCI

Overheid / PCI

Beveiliging

Zorg

NEN 7510,1,2,3,4

NEN/NNI

Beveiliging data

Overheid

NORA (Nederlandse Overheid

ICTU

Systeemarchitectuur

Alle sectoren

Cobit , ITIL, CMM, …

Diverse instituten

Beheersdoel stellingen IT

Alle sectoren

Privacy Audit Proof

NIVRA & NOREA

Privacy

Referentie Architectuur)

9

IT Governance / compliance normen (II) Sector

Norm

Instituut

Beheersaspect

Overheid/ IT service providers

Richtlijn beveiliging webapplicaties

NCSC

Beveiliging

Online Boekhouden

ZekerOnline

Belasting Dienst / ECP-EPN

Beveiliging Betrouwbaarheid

POS leveranciers

Zekere Afrekensystemen

Belasting Dienst / ECP-EPN

Beveiliging Betrouwbaarheid

Hosting Providers

Keurmerk Hosting Branche, (IO)

DHPA

Beveiliging Betrouwbaarheid

10

ICT systeemcrisis en toezichthouders

College Bescherming Persoonsgegevens

11

ICT systeemcrisis Consumenten, klanten, communities, en media zijn ook toezichthouders

12

Bevindingen onderzoek Diginotar & Lektober (1)

©

Verschillende onderzoeksrapporten opgesteld in opdracht van Minister Spies zijn inmiddels beschikbaar.

Enkele conclusies: • Te veel eenzijdige aandacht aan stelsels van interne beheersing / management processen • Verwaarlozing van de IT werkelijkheid • Technische kennis ontbreekt veelal • Spreiding van IT verantwoordelijkheden door de keten • Standaarden zijn te star ten opzichte van de dynamiek van de techniek • De beveiliging van ICT vereist een dynamisch proces • Eenmalige audits zijn onvoldoende • Monitoring is noodzakelijk om op nieuwe risico’s te kunnen anticiperen • ……….

13

Bevindingen onderzoek Diginotar & Lektober (2)

Samenvatting & conclusies certificering voor de verandering: • • • • •

Doel en doelgroep van certificering moet voldoende helder zijn Is toekomstgerichte certificering een houdbare situatie? Gangbare normen en standaarden kennen beperkingen Control frameworks vereisen voortdurend aanpassing aan context / verandering Integraal oordeel is gewenst over gehele keten, terwijl veelal sprake is van een gefragmenteerd oordeel verdeeld over ketenpartners / deel verantwoordelijke en systeemlagen. • Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multi-disciplinaire benaderingen zijn nodig. • Zonder de juiste tools gaat het niet

14

HighLights Richtlijnen Beveiliging Webapplicaties NCSC

15

HighLights Richtlijnen Beveiliging Webapplicaties NCSC

Focus uitsluitend op veiligheid van client facing webapplicaties Start project in oktober 2011 Draft beschikbaar eind december 2011

Definitief 1 februari 2012 Eerste toepassing is op DigiD gebruikende organisaties Zijn generiek bedoeld voor alle webapplicaties

16

HighLights Richtlijnen Beveiliging Webapplicaties NCSC

Scope bepaling: Raamwerk Beveiliging Webapplicaties

(Web)applicatie

Vertrouwelijk- & onweerlegbaarheid Toegangsbeheer Identiteitbeheer Applicatiebeveiliging Platformbeveiliging

Informatiebeveiligingsbeleid

Achterliggende systemen

Monitoring, Aufiting, Alerting,

Generieke Maatregelen Alle lagen

Beveiligingsintegratie

Specifieke Maatregelen

Netwerkbeveiliging Uit Scope Client

17

HighLights Richtlijnen Beveiliging Webapplicaties NCSC

Algemene beveiligingsrichtlijnen:

•

B01= Informatiebeveiliging als proces B02 = Actief risicomanagement B03 = Documenteer maatregelen en onderhoud documentatie B04 = Actueel overzicht ICT componenten en services en de relaties daartussen B05 = Wijzigingenbeheer B06 = Hardening B07 = Actuele beveiligingspatches B08 = Penetratie tests B09 = Vulnerability assessments B010 = Policy compliance checks B011 = Backup en recovery proces B012 = Toegangsbeveiliging B013 = Verwijderen niet gebruikte websites

•

B014 = Overeenkomsten met leveranciers

• • • •

• • • •

• • • •

18

HighLights richtlijn Nationaal Cyber Security Centrum

©

Enkele voorbeelden specifieke maatregelen: • Adoptie van OWASP https://www.owasp.org/index.php/Main_Page • Periodieke Penetratie testen • Hardening • Code reviews • Invoervalidatie

• Error Handling • Change management / release beleid • Systeemontwikkelproces OWASP: Open Web Application Security Program 19

OWASP Top Ten (2010 Edition)

http://www.owasp.org/index.php/Top_10

20

HighLights richtlijn Nationaal Cyber Security Centrum

©

Uitstekende samenhang in document: • Risico’s en beheerdoelstellingen • Te treffen maatregelen (behoorlijk concreet) • Onderbouwing met een “rationale” • Concreetheid en systeemgerichtheid is van een nieuw hoog niveau (Gericht op de ICT werkelijkheid)

Krijgt al behoorlijk navolging: • Adoptie door andere initiatieven • Krijgt tot nu toe brede steun • Wordt nu al gebruikt bij selectie en inkoopprocessen 21

Beperkingen Richtlijn Beveiliging Webapplicaties

• Alleen beveiliging webapplicaties! • Gaat niet over beveiliging back office systemen • Gaat niet over de rol van ICT

• Gaat niet over functionaliteit of architectuur • Behoorlijke technische kennis is nodig • Zonder tools gaat het niet • Geen aandacht voor “Soft Controls”

22

Ervaringen DigiD-beveiligingsassessments • • • • •

  

  

De verantwoordelijke organisatie ontbreekt de kennis De verantwoordelijke organisatie heeft niet voldoende documentatie over inrichting systemen / weinig is geregeld Tot nu toe altijd sprake van uitbesteding Gemiddeld 3 webapplicaties per organisatie Gemiddeld 5 betrokken ICT leveranciers! Bepaling scope is eerste uitdaging Het betreft een “ketenaudit”! Realisatie vanuit de “userorganisaties” is lastig Actieve betrokkenheid ICT- leveranciers is noodzakelijk Als systeemcomponenten en systeemlagen zijn toebedeeld aan leveranciers is uitvoering goed te doen Inzet van tools maakt eea beter haalbaar

23

Ervaringen DigiD-beveiligingsassessments Scope bepaling: Audit objecten

Identity management system Netwerk

PaaS

Besturingssysteem

IaaS

Database

IT Governance model

(Web)applicatie

Control framework

Architectuur

SaaS

User Organisatie

Data Hardware Fysieke omgeving

24

Andere fricties toepassing richtlijn bij DigiD systemen

•

Logius heeft de helft van de richtlijn als verplicht geschrapt voor de DigiD beveiligingsassessments(?!)

•

Dit betreft met name de onderdelen gericht op de ICTwerkelijkheid (voorbeeld code reviews)

•

Toch weer het gevaar van schijnzekerheid

•

Relevantie van de audit (en de auditor) dreigt dan een discussie te worden

Oproep aan ICT leveranciers is om het voortouw te nemen!

25

Overwegingen bij soorten certificering (1) • • • • • • • • • •

Certificering toekomstgericht met een geldigheidsduur? Certificering alleen retrospectief? Certificering met uitspraak mate van zekerheid of niet? Alleen rapportage feitelijke bevindingen / afwijkingen van de norm TPM, ISAE 3000, 4400 (agreed upon procedures) Wel/ geen oordeel en mate assurance? Wel / geen management assertion? (ISAE3402 is met) Certificering van opzet en bestaan (ISAE3402 type I) Of ook de werking van maatregelen (ISAE3402 type II) Dominante focus op Management Proces? Dominante focus op IT werkelijkheid?

26

Overwegingen bij soorten certificering (2) • • • • • • •

• • • •

•

Techniek is dynamisch (zo ook gerelateerde risico´s / denk aan OWASP) Systemen zijn dynamisch (“) Gebruik van systemen is dynamisch (“) Kan volstaan worden met een jaarlijkse controle? Frequenter controle en continuous monitoring nodig? Alleen general controls? Of ook application controls / functionaliteiten? Wel management assertion? Verspreidingskring certificaat? Rapportage van auditor naar auditor? Opdrachtgeverschap (audittee, toezichthouder, user organisation, service organisation, ….?)

OWASP= Open Web Application Security Program 27

Overwegingen bij soorten IT Audits & certificering (I) A) Single Aspect Audits / Heldere norm  Vergelijkbaarheid goed 

Multi Aspect Audits Minder heldere norm Vergelijkbaarheid minder goed

B) Single Entity Audits / Framework eenduidig 

Multi Entity Audits Meervoudig (ketenverantwoordelijkheden)

C) Single Responsibility

/

Multi Responsibility

Frictie kan ontstaan indien elke ketenpartner een eigen deel audit laat uitvoeren met eigen normenkaders. Bewaking van geheel is dan een issue. (Blinde vlekken, onontdekte risico´s etc.) Vooral Cloud Computing vraagt om een “Multi-benadering” 28

ICT Risicogebieden en kijkrichtingen

Omgevingsfactoren

Maatschappelijke Ontwikkelingen

Wet- en regelgeving

RvC

Technologische Ontwikkelingen

Veranderend gebruik van ICT

Omgevingsfactoren

Juridische aspecten

Toezichthouders & Auditors

Besturing Beleid Financiële monitoring

Compliance

Interne Beheersing ICTsysteem

Normen & standaarden Waarde creatie

Bedrijf

Laagdrempeligheid gebruik ICT SAAS, PAAS, IAAS, ……

Markt

Omgevingsfactoren

Best Practices

RvB

Stakeholders

Omgevingsfactoren

© Mazars Management

Consultants

29

©

De context bepaalt de norm

IV.

Toenemende complexiteit

Externe integratie

III. •Systeemtechnische overgangen in ICTarchitectuur

Commercieel/ PMC´s

• Verschuivingen van ´dominante macht´

II.

•´Houdbaarheidsduur´ neemt af • Herbezinning besturingsmodel bedrijfsvoering en van ICT-funtie • Toename:: - automatiseringsgraad - afhankelijkheid ICT - noodzaak alignment business en ICT - aard en omvang risico´s - complexiteit - differentiatie systemen - portfolio aan applicaties en interfaces

Cloud Processen

SOA CRM

I. ERP / PSA

Financieel

Financieel pakket Toenemende dynamiek 30

Audit en Certificering in The Cloud anno 2012: Bundeling van juiste kennis is essentieel voor een relevante en effectieve audit: Kennisgebieden: • Audit, risico’s en interne beheersing • Juridische aspecten • Systemen en techniek • Beveiliging • Organisatorische aspecten • …….  

Audit vereist multidisciplinaire aanpak Audit vereist samenwerkingsverbanden

31

32

Nieuwe richtlijnen beveiliging webapplicaties NCSC

Dank voor uw aandacht!

Jan Matto Email: [email protected] Twitter: Jan_Matto Mobiel: 06 535 78 232

33