AANPAK MET VISIE 30-06-2015
GASTVRIJ EN ALERT
AGENDA 1. 2. 3. 4. 5.
Voorstellen Risicoanalyse of Best Practice Informatiebeveiliging op de VU (in vogelvlucht) De Surfaudit Toch een product……
6. Laatste 5 minuten
2
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
Even voorstellen
3
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN Hans Alfons 62 jaar Gezin: In september 40 jaar getrouwd Vader van 2 dochters (met aanhang) Opa van kleindochter en – zoon Hobby's: Kinderboerderij (30 jaar) Gemeentepolitiek (14 jaar) Informatiebeveiliging ( 7 jaar)
4
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN Ministerie van Defensie (21-05-1973 t/m 31-03-2009) vanaf 1995 informatiebeveiliging: Expertise Centrum Koninklijke Landmacht. - Projectleider(1200 systemen / 100 kazernes / 300 eenheden)
Staf Legerkorps Projectleider Informatiebeveiliging - Operationele eenheden, Joegoslavië, Irak en Afghanistan Hoofd Bureau Informatiebeveiliging Koninklijke Landmacht - CISO rol
PENSIOEN 5
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN; WAARDERINGEN
2005 Winnaar Risk Analyse Award
2005 2e Plaats Joop Bautz Award
2009 Lid in de orde van Oranje Nassau
6
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN: MIJN 1E MOTTO IS
7
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN: MIJN 2E MOTTO IS
8
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN: MIJN 3E MOTTO IS
bandbreedte 9
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
Risicoanalyse of Best Practice
10
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE Mijn opdracht bij de Koninklijke Landmacht (1998): 1. Voer een risicoanalyse uit per systeem, op iedere kazerne en bij iedere eenheid (operationeel). 2. Implementeer de maatregelen. 3. Laat deze maatregelen auditen.
11
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE
fl 34.620.000.000.000 13.000.000 inwoners van 0-100 jaar + 1,5 jaar, 24 uur per dag werk
12
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE ISO 27002 1.
WAT
Identificatie en authenticatie Wachtwoordlengte
Wachtwoorden moeten zo lang Wachtwoorden moeten zo lang zijn dat ze moeilijk kunnen zijn dat het moeilijk is om ze te worden geraden of afgeleid uit ontcijferen. de versleutelde vorm.
HOE 1.1
Wachtwoorden moeten uit minstens 6 tekens bestaan.
LAAG
1.2
Wachtwoorden moeten uit minstens 8 alfanumerieke tekens bestaan, met minstens één letter en één cijfer.
MIDDEN
1.3
Wachtwoorden moeten uit minstens 10 alfanumerieke tekens bestaan, met minstens één letter en één cijfer.
HOOG
13
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE Module uit KL risicoanalyse en implementatie systeem
14
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE Per maatregel het “Hoe” ingevuld (keuze is de vindplaats)
15
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE Conclusie Voor ieder van de 27 BIV classificaties is een risicoanalyse uitgevoerd en het resultaat is dat de maatregelenset (ISO 27002) nagenoeg gelijk zijn. Het verschil wordt gemaakt in de implementatiewijze: “Hoe zwaarder het niveau, hoe zwaarder de maatregel”. Risico analyses zijn tijdrovend en best practices onmiddellijk uitvoerbaar.
16
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICE Aanbeveling: Maak gebruik van een best practice (ISO 27002) – het “hoe” Voeg hier aan toe (in beleidsdocumenten) het “wat” Laat de instellingen gezamenlijk een basisniveau op “hoe” niveau uitwerken
17
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
BEST PRACTICE OP DE VU Voorbeeld OTAP beleid:
18
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
Informatiebeveiliging op de VU
19
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE ………… Geschiedenis • 6 bedrijven of personen (6 tot 12 maanden werkzaam op de VU) • Resultaten
20
•
Plan van aanpak
•
Strategisch- en informatiebeveiligingsbeleid
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE ………… Mijn visie •
Is gelijk aan de voorgangers.
•
ISO 27001 en ISO 27002
•
ISMS op basis van PDCA cyclus
•
Bewustwording medewerkers en studenten
Toegevoegd:
21
•
Benaderen als een cultuur veranderingstraject
•
Waar wil je heen stip op de horizon
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE ………… Cultuurverandering 1. Het beïnvloeden van anderen begint bij jezelf. 2. De verandering moet leuker zijn dan de huidige situatie
1. Informatiebeveiligingsorganisatie georganiseerd 2. IT beveiligen (ik schrijf procedures ………….)
1. Informatiebeveiligingsorganisatie georganiseerd en IT beveiligd 2. Instelling beveiligen ( Wij leveren beveiligde diensten………….)
22
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………
2018
2017
2014 23
TOEKOMST MET VISIE
CMM4
CMM3
CMM3 VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE ………… Gekozen werkwijze - op basis van jaarplan en meer jaren begroting - oplossen managementletter aanbevelingen - Privacy (SOC richtsnoer, PO juridisch deel) - Advies en ondersteuning - Kennis delen en halen - Vu breed uitvoeren (SURF) audit
24
-
CISO,
-
Directeuren diensten of bedrijfsvoering bij faculteiten,
-
IT operatien, functioneel beheer en projecten,
-
Fysieke beveiliging
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE ………… Wat hebben we bereikt -
Integrale beveiligingsaanpak Security Operations Center (5 fte’n) proactief CERT virtueel CERT CISO verantwoordelijk (directeur IT/CIO) ISO coördinator (uitvoerende werkzaamheden CISO) Geen systeem of change operationeel zonder toestemming CISO - Verantwoordelijkheid daar waar hij thuis hoort. - Besluitvormingsproces documenten risicoacceptatie ingericht - Budget M€ 1,5 per jaar 25
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………
26
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE ………… Besluitvormingsproces i.p.v. stuurgroep informatiebeveiliging ISO
voorstel
AD
voorstel
ter besluitvorming
adviseert
advies ICT Board
CISO
27
TOEKOMST MET VISIE
informeert
BOVU
informeert
VB
adviseert
informeert
CvB
business
ICT
informeert
adviseert
onderdelen VU SECURITY OPERATIONS CENTER
De Surfaudit
28
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
DE SURFAUDIT
29
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
DE SURFAUDIT
30
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
DE SURFAUDIT Vragen / maatregelensets
31
CvB / CISO
(29 vragen)
Directeuren Diensten
(45 vragen)
Directeuren BV Faculteiten
(38 vragen)
Afdelingsmanager IT
(56 vragen)
Systemen
(51 vragen)
Projecten / onderzoeken
(afhankelijk object)
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
DE SURFAUDIT MET EIGEN SYSTEEM
32
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VU AANPAK – MET EIGEN SYSTEEM dreigingen HO incidenten beheer impact SURF- set Volwassenheidsniveaus eigen maatregelsets CBP richtsnoer externe auditor cloudmaatregelen CSA
systemen dataclassificatie PIA
33
TOEKOMST MET VISIE
RISICO’S
VU ISO 27002
incident Q rapp status: - risico’s - dreigingen
man rapporten audit rapporten verbeterplannen benchmarken grafieken overzichten
beveiligingsplan
VU SECURITY OPERATIONS CENTER
VU AANPAK - WENSEN
SOC Benchmark HO - Surf - Privacy Dreigingsbeeld HO Peeraudits
Directeuren Systeemeigenaren VU ISO 27002
Interne auditdienst Externe auditor
Beheer normenkaders
WEBBASED (pc en tablet) 34
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VU AANPAK - WAAROM EIGEN SYSTEEM 35
geen product op de markt dat aan de wensen voldeed werkwijze product volgen -- geen maatwerk wijzigen door leverancier kosten veel tijd geen mogelijkheid om eigen onderdelen te vergelijken geen eigen maatregelsets kunnen maken maatregelsets lastig aan te passen soms functioneel beheer in buitenland langdurige implementatie trajecten niet uit te breiden met incidentbeheer complex duur
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
Toch een product……….
36
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
37
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
38
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
39
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
40
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
41
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
c
42
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
43
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Audit
c
44
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Audit
45
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Audit
c
46
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
47
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 1e grafiek – CMM per hoofdstuk
1
1
1
2
2
2
3 4 3
4
4 5
48
TOEKOMST MET VISIE
5 5
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 2e grafiek – Benchmark instelling
49
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 3e grafiek – gemiddeld CMM per hoofdstuk
50
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen directeur 4e grafiek – gemiddeld CMM per jaar
Gemiddeld CMM per jaar 5 4,5 4
Gemiddeld CMM
3,5 3 2,5 2 1,5 1 0,5 0 2012
2013
2014 Jaar
51
TOEKOMST MET VISIE
2015
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA DE INSTELLINGEN
52
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 1e grafiek – dreigingsniveau
53
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 2e grafiek – gemiddeld CMM, per hoofdstuk, per jaar
54
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3e grafiek – dreigingen per CMM niveau
55
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3e grafiek – drill down
56
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3e grafiek – drill down
57
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3e grafiek – drill down
58
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA Constateringen Instelling 3e grafiek – drill down
59
TOEKOMST MET VISIE
Laatste 5 minuten
60
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VU AANPAK - WENSEN
SOC Beheer normenkaders
Directeuren
Peeraudits
Systeemeigenaren VU
Benchmark HO - Surf - Privacy
ISO 27002
Interne auditdienst Externe auditor
Dreigingsbeeld HO
WEBBASED (pc en tablet) 61
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Beheer normenkaders
62
TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark structuur
Smile voor informatiebeveiliging
Smile koppelvlak
Vrije Universiteit Amsterdam Eventuele andere Universiteiten
SURF Database
Peeraudits
63
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark settings Universiteiten geven zelf aan: - Of ze data willen oversturen - Welke data ze willen oversturen - Hoe ze data willen oversturen
64
-
Webservices (WDDX, JSON)
-
Email (XML)
-
Excel (CSV, XLS(X))
-
SQL
-
…
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark rapportages - Real-time
- Diverse output formats:
65
-
PDF of Word documenten
-
E-mails
-
CockPIT
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
66
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
67
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
68
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
69
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
70
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
71
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Dialoogcafe Graag betrekken we jullie bij onze benchmark ideeën! - Het Nieuwe Auditen inzetten voor Informatiebeveiliging: -
dinsdag 6 oktober 2015
- Kijk op: http://www.smile.nl/informatiebeveiliging
72
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
Vragen Hans Alfons
[email protected] 06 4242 1858 73
TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
