IT ADVISORY
Een praktische blik op beveiligingsarchitecturen Themamiddag PI & GvIB, 18 april 2007
IT SECURITY SERVICES
Ruben de Wolf KPMG IT Advisory
Onderwerpen Wat is een beveiligingsarchitectuur? IT architecturen All the good reasons Valkuilen Onderzoek maturity referentiearchitecturen Geen garantie voor succes Een praktische blik op security architecturen All the good reasons Valkuilen Lopend onderzoek security maturity Ten slotte
2
Wat is een beveiligingsarchitectuur eigenlijk? Door security specialisten, voor security specialisten? Beveiliging is één invalshoek van dè IT architectuur Één IT architectuur handhaven is al lastig genoeg
3
All the good reasons Waarom informatietechnologie ‘onder architectuur’ brengen? Interoperatibiliteit: integratie met derden mogelijk maken Standaardisatie: uitbannen exotische IT oplossingen Consolidatie: economy of scale bereiken Stabiliteit verbeteren: alleen steunen op proven technology Kostenreductie: standaard oplossingen strak inkopen Decomplexing: eenmalige opslag, meermalig gebruik van data … Beveiliging: veilig ontsluiten van gegevens via onveilige netwerken
4
Wanneer werkt een IT architectuur zeker niet?
Niet te dragen Niet gedragen Niet begrepen
5
Valkuilen IT architecten zonder mandaat, cq. te veel mandaat IT architectuur geeft te veel ruimte tot interpretatie IT architectuur is onvoldoende gecommuniceerd De huidige IT infrastructuur biedt nog geen ondersteuning Geen oog voor de migratie naar de gewenste situatie zoals in de IT architectuur is vastgelegd, oftewel geen onderscheid tussen end-state en intermediate states van de IT architectuur Er worden vanuit korte termijn doelstellingen te veel ontheffingen afgegeven. Langere termijn doelstellingen worden niet behaald IT projecten die niet laten toetsen of dezelfde functionaliteit ook via gangbare standaarden gerealiseerd kan worden IT solution providers die geen positieve prikkels krijgen om de IT architectuur te volgen: ‘u vraagt, wij draaien’ …
6
Wanneer werkt een IT architectuur wel?
Handzaam, concreet, toegankelijk, onderhoudbaar, bekend Als een bewezen business case beschikbaar is, bijvoorbeeld een heldere integratie- of besparingsdoelstelling Als architecten mandaat hebben om de architectuur te handhaven Als architecten vroegtijdig bij IT projecten betrokken zijn Een realistisch groeipad beschikbaar is Als CIO’s, project sponsoren, programmamanagers, projectportfoliomanagers, projectleiders, e.d. worden afgerekend op het binnen budget en planning op leveren van architectuur-proof IT oplossingen (vastleggen als KPI’s in prestatiecontracten)
7
Onderzoek effectiviteit Referentiearchitectuur (RA)
Onderzoek onder top financials binnen bedrijfsleven en overheid Maturity levels gedefinieerd langs volgende invalshoeken Betrokkenheid management Alignment architectuur met bedrijfsstrategie Vastlegging referentiearchitectuur Toepassing referentiearchitectuur door ICT projecten Communicatie van de architectuur en -ontwikkelproces Evaluatie en beheer van de architectuur -ontwikkelproces Besturing van ICT ontwikkelingen met de RA als stuurinstrument
8
Maturity Model Referentiearchitecturen
Niveau 1
Informeel Æ Uitvoering
Niveau 2
Gedocumenteerd Æ Beleid
Niveau 3
Toegepast Æ (Beleid ^ Uitvoering)
Niveau 4
Beheerd Æ (Beleid ^ Uitvoering ^ Controle)
Niveau 5
Beheerst Æ (Externe invloeden ^ (Beleid ^ Uitvoering ^ Controle) ^ Bedrijfsdoelstellingen))
9
Vraag 1: Betrokkenheid management en verantwoordelijke voor Referentie Architectuur (RA)
Niveau Org1 Org2
1
2
3
4
5
Niveau Org1 Org2
1
2
3
4
5
Org3 Org4 Org5
Org3 Org4 Org5 Vraag 2: Alignment RA met bedrijfsstrategie en doelstellingen
Niveau Org1 Org2
Vraag 4a: Inrichting van de Referentiearchitectuur
1
2
3
4
5
Org3 Org4 Org5
1
2
3
4
5
Org3 Org4 Org5 Vraag 4c: Wijze van toepassing van de RA door ICT projecten
Niveau Org1 Org2
Niveau Org1 Org2
Org3 Org4 Org5
2
3
4
5
Org3 Org4 Org5
1
2
3
4
5
Vraag 6: Evaluatie en beheer van de RA en het architectuurontwikkelproces
Niveau Org1 Org2
1
2
3
4
5
Org3 Org4 Org5
Vraag 3: Vastlegging RA en architectuurontwikkelproces
1
Niveau Org1 Org2 Org3 Org4 Org5
Vraag 4b: Mate van toepassing van de RA door ICT projecten
Niveau Org1 Org2
Vraag 5: Communicatie van RA en architectuurontwikkelproces
1
2
3
4
5
Vraag 7: Besturing van ICT ontwikkelingen met de RA als stuurinstrument
Niveau Org1 Org2
1
2
3
4
5
Org3 Org4 Org5 10
Lessons learned Respondenten geven aan dat ze zich op verschillende volwassenheidsniveaus bevinden de IT architectuur op korte termijn door middle-management als kostenverhogend ervaren wordt. Projecten kiezen daarom voor goedkopere, suboptimale oplossingen om projectkosten te drukken een verplichte toetsing van IT ontwerpen via review boards en evaluatiecommissies effectief middel is voor handhaving de alignment van de IT architectuur doelstellingen met business doelstellingen geen sinecure is inzet van concernarchitecten in projecten een belangrijke factor is in het succes van de IT architectuur
11
Maturity is geen garantie voor succes De helft van de participanten van dit onderzoek zijn de afgelopen 6 maanden herhaaldelijk in de landelijke pers gekomen als gevolg ernstige verstoringen in de continuïteit van hun dienstverlening Wandelgangen geluiden: Fusies en sourcing initiatieven zetten IT architecten buiten spel de kennis, noodzakelijk voor snelle probleemanalyse en – oplossing, die voorheen gebundeld was bij business en ICT architecten is nu verspreid over meerdere IT leveranciers het oplossen van IT problemen kost daarom (veel) meer tijd en wordt pijnlijk merkbaar voor de eindgebruikers Doorlooptijd IT projecten ‘volgens het boekje’ neemt toe, daarom gaan IT projecten eigen standaarden zetten Wat denkt u? 12
Een praktische blik op beveiligingsarchitecturen
13
All the good reasons Doelstellingen van security architecturen Met betrouwbare dienstverlening vertrouwen wekken bij klanten en ketenpartners Voldoen aan wet en regelgeving (o.a. WBP, WCC II) en security richtlijnen toezichthouders Waarborgen continuïteit van de bedrijfsvoering
14
Bouwblokken security architectuur Veilig ontsluiten gegevens via onveilige netwerken Dienstverlening via bv. Internet, telecomnetwerken en hotspots Beheer op afstand door derden Beveiligde koppelvlakken met derde partijen Inbedding infrastructurele voorzieningen voor: Domeinscheiding Identity & Access Management Logging & monitoring Secure interfaces Continuiteit en uitwijk Beveiliging van beheer
15
16
“Onze e-architectuur”
Interne netwerk
17
“Onze e-architectuur” Ketenpartners
GBA
BBR
Intern gezamenlijk
Intern Dienst Intranet
Client/server
Client/server
Intern en extern gezamenlijk Intranet/extranet
Intranet
residentienet
WAN WAN
Internet
browser Medewerkers browser Medewerkers
Clientsoftware Medewerkers
Clientsoftware browser Medewerkers Medewerkers
browser burger
browser ondernemer
Publiek domein
KA Werkplek beheer
gebruiker
Balie browser ketenpartner www.denhaag.nl
Call Center
Dienst DS
Mailserver intranet
Diverse Dienst proces Applicatie servers
Dienst proces gegevens
Dienst proces gegevens
Dienst legacy
Webservers extranet
Financiële personele Call Cent. CDS applicaties applicaties applicatie Medewerkers
Financiële gegevens
Helpdesk Dienst legacy
Webservers intranet
KR NP
Personeel gegevens
Probleem beheer
Mobile servers
Webservers extranet
Mailserver extranet
Diverse Document Den Haag Burger CDS Klanten Applicatie servers management Info desk regie applicatie
KR NNP
KR objecten
Wijzigingen beheer
KR adressen
presentatielaag
Webservers Dienst intranet
anoniem
Webservers Internet
Internet Applicatie (anoniem)
Communicatie servers
Kopie Burger KR Digitale topografie Documenten gegevensbank gegevens bank
Configuratie beheer
Applicatielaag
geauthenticeerd
Gegevenslaag In- en extern
Gegevenslaag Intern
File en Print servers Dienst
Applicatielaag
Mailserver Dienst
presentatielaag
Proxy
18
“Onze applicatie architectuur”
19
Valkuilen Security managers zonder mandaat Beveiliging kost geld maar levert geen functionaliteit (drielagen architectuur vergt driedubbele investering) Standaard off-the-shelf producten blijken niet in de beveiligingsarchitectuur te passen, oftewel Strikt volgen van de beveiligingsarchitectuur heeft vrijwel altijd maatwerkoplossingen tot gevolg Beveiligingsarchitectuur is onvoldoende uitgewerkt, ontwikkelaars volgen de weg van de minste weerstand Externe ontwikkelaars krijgen geen positieve prikkels om de beveiligingsarchitectuur te volgen …
20
Wanneer werkt een beveiligingsarchitectuur wel?
Security manager heeft mandaat van senior management, ziet toe op naleving door projecten en exploitatie, grijpt in wanneer nodig Toegevoegde waarde wordt voordurend vastgesteld door het uitvoeren van security testen (acceptatievoorwaarde!) Er wordt gewerkt vanuit off-the-shelf oplossingen die zich bewezen hebben als stabiel en secure Naleven van beveiligingsarchitectuur worden vastgelegd in PIDs en contracten met interne en externe ontwikkelaars Standaardiseer niet alleen op IT oplossingen, maar ook op IT solution providers die zich op dit vlak bewezen hebben
21
Lopend onderzoek over Security Maturity
22
Lopend onderzoek over Security Maturity
23
Ten slotte Kleine tot middelgrote organisaties: Security officers en projectleiders moeten de implicaties van de IT architectuur kunnen overzien: KISS! Zet in op off-the-shelf oplossingen ipv maatwerk Grote organisaties IT landschap is alleen nog door ervaren IT architecten te overzien Betrek IT architecten daarom in vroeg stadium van IT projecten (bij totstand-koming van functionele requirements) Geef IT projecten en leveranciers op architectuur gerichte KPI’s mee
24
Contactgegevens Ir. Ruben de Wolf RE KPMG IT Advisory tel +31 (20) 656 8006 fax +31 (20) 656 8800
[email protected] www.kpmg.nl
The information contained in this presentation is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. © 2007 KPMG EDP Auditors, a Dutch limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved.
25
