Maturity van security architectuur

Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG [email protected]

©

LogicaCMG 2006. All rights reserved

Over de spreker Renato Kuiper • Principal consultant Information Security bij LogicaCMG • Hoofdredacteur Informatiebeveiliging • Docent Master of Risk Control & Information Security i.o. • 20 jaar ervaring in informatiebeveiliging • 9 jaar ervaring in security architecturen

Maturity van security architectuur

2

Agenda • Wat is maturity? • Maturity bij Informatiebeveiliging • Maturity bij Security architecturen • Observaties • Vragen


3

Wat is maturity? Maturity may refer to: • Sexual maturity • Maturity, a geological term describing hydrocarbon generation • Maturity, a financial term indicating the end of payments of principal or interest • Maturity, a software engineering term indicating to which extent it is planned how to do things when developing, testing, documenting, maintaining software etc. See also software development process • Maturity (psychological), a term used in psychology to indicate that a person responds to the circumstances or environment in an appropriate manner, often this implies a response that is reasoned or learned rather than impulsive Maturity van security architectuur

4

Security 3.0 (Gartner) • Security 1.0: mainframe tijdperk vooral “keep the bad guys out!” -> security is ad hoc • Security 2.0: Internet tijdperk “get the good guys in!”

à security is aangebouwd

• Security 3.0: Blijf de tegenstander voor security integraal onderdeel van processen, ontwerp en onder architectuur à security is ingebouwd


5

Aandacht voor security


6

Maturity van Informatiebeveiliging

Security Architectuur


7

Security System Engineering-Capability Maturity Model SSE-CMM - ISO standaard (ISO/IEC 21827:2002)


8

Maturity bij Security architecturen Wat bepaalt volwassenheid: • De inhoud van de architectuur? • Het proces van totstandkoming? • Het programma van architectuur en IB denken?


9

Security architectuur - Inhoud De inhoud van de architectuur? • Definitie, scope, afbakening • Keuze model • Gebruik principes • Pull, push, losstaand, onderdeel van enterprise architectuur • Positionering en relatie met andere architecturen • Views op security


10

Wat is een security architectuur (1)?

Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangende modellen en principes efficiënt en flexibel richting geeft aan de invulling van het informatiebeveiligingsbeleid van een organisatie


11

Wat is een security architectuur (2)?


12

Security architectuur - inhoud

Applicatie Infrastructuur


Lo ss arc e se hit cu ec rity tuu r

Informatie

Se cur vra ity ag

Business

Se Aa curi nb ty od

View

op s

ecur

ity

Positionering Architecturen:

13

Security architectuur - inhoud 4 lagen in de architectuur: • Business (context) laag • Conceptuele laag • Logische laag • Fysieke laag


14

Security architectuur - proces Knelpunten Life cycle management

IST

Aanwezige beveiliging

GAP analyse

Transitieschema

Projecten

PUSH Markt

SOLL Eisen/ wensen

PULL Views


15

Security architectuur - programma • • • • • • • • • •

Architectuur scope en autoriteit Stakeholder participatie en commitment Ontwikkel proces van architecturen Business context in de architectuur Architectuur inhoud SOLL, IST, Migratie Architecturen Samenstelling architectuur team Impact van de architectuur Volwassenheid security in organisatie Architectuur, governance en risicomanagement samenhang


16

Maturity bij Security architecturen (1) Inhoud: • van alleen technische beveiliging tot architectuur lagen indeling Proces: • van SOLL naar de volledige breedte Programma: • van losstaande activiteit tot integratie in de Enterprise architectuur • Van vrijblijvendheid tot verplichte kost…


17

Maturity bij Security architecturen (2) ess c ont e xt

Im ar pac ch t it e v a ct n d uu e r

D

Bu si n

PR OC

U HO

es oc en pr ur el ct kk it e wi ch nt r O na va

IN e nanc r e v go nt hang nagem e n e m a Sa i sicom en r

Architectuurteam

Architectuurlagen

Te e op Sc

ch nie k

it it e tor au en

Volwassenheid IB in organsiatie S t ak eh en o lde c om r pa m rt i tm i cipa en t tie

SO L M L, I IG S RA T, TI GA E P,

SSE- CMM ???

ES

Model zoals

àb us in e ss

PROGRAMMA Maturity van security architectuur

18

Maturity bij Security architecturen (3) 5

Im a r pac ch t ite v a ct n d uu e r

Bu si n

PR

ess c

S

0

Architectuurlagen

,

Te e op Sc

ch ni e k

to au en

àb us in e ss

it ri te

Volwassenheid IB in organsiatie S t a ke h en olde c om r pa m rt i t m icipa en t tie

SO L M L, I IG ST RA , TI GA E P

D

e nan c r e v go nt hang nagem e n e a m Sa i sicom en r

Architectuurteam

NOG LANG NIET…… -J

OU

es oc ren pr u el ct k k it e wi ch nt r O an a v

OC E

SSE- CMM ???

H IN

onte xt

Model zoals

PROGRAMMA Maturity van security architectuur

19

Succesfactoren (1) • De doelstellingen van een organisatie moeten duidelijk zijn • De organisatie moet een heldere governance structuur hebben met duidelijk belegde verantwoordelijkheden • De organisatie moet een security beleid hebben waarin de uitgangspunten voor informatiebeveiliging helder zijn vastgelegd • Classificatie van informatie is een essentieel element om security eisen te kunnen differentiëren per classificatiegroep

Bron: Expertbrief Maturity van security architectuur

20

Succesfactoren (2) • Basisprincipes vanuit andere architecturen, zoals een algemene ICT architectuur, kunnen mede bepalen welke risico’s relevant zijn • De kwaliteit van een security architectuur kan beoordeeld worden aan de aspecten: –Totaal overzicht bieden –Evenwichtig zijn –Transparant zijn –Samenhang helder aangeven • Er zijn nog geen harde indeling criteria zoals bij SSE-CMM, dus JBF… Bron: Expertbrief Maturity van security architectuur

21

Observaties – waar staat de markt… Observatie Security architecturen in de markt: • 60% Vooral technisch gericht> logische laag binnen ICT afdelingen (push) • 35 % Vanuit de business -> (pull) • 5 % Security view in Enterprise architectuur • Dus nog een lange weg te gaan, of niet …. ????


22

Vragen

Er is nooit tijd om iets goeds te doen, maar er is altijd tijd om het opnieuw te doen.

©

LogicaCMG 2006. All rights reserved

Security maturity model (2) Domain Dimension — Base Practices Er zijn 129 Base Practices georganiseerd in 22 gebieden 11 gebieden bevatten 61 Base Practices die security engineering afdekken: • PA01 Administer Security Controls • PA02 Assess Impact • PA03 Assess Security Risk • PA04 Assess Threat • PA05 Assess Vulnerability • PA06 Build Assurance Argument • PA07 Coordinate Security • PA08 Monitor Security Posture • PA09 Provide Security Input • PA10 Specify Security Needs • PA11 Verify and Validate Security Maturity van security architectuur

24

Security maturity model (3) 11 gebieden bevatten 68 Base Practices afkomstig van Systems Engineering en Software CMM à projecten organisatie gerelateerde zaken: • PA12 Ensure Quality • PA13 Manage Configuration • PA14 Manage Project Risk • PA15 Monitor and Control Technical Effort • PA16 Plan Technical Effort • PA17 Define Organization's Systems Engineering Process • PA18 Improve Organization's Systems Engineering Process • PA19 Manage Product Line Evolution • PA20 Manage Systems Engineering Support Environment • PA21 Provide Ongoing Skills and Knowledge • PA22 Coordinate with Suppliers Maturity van security architectuur

25

Security maturity model (4) Capability Dimension — Generic Practices Level 1. Performed Informally • 1.1 Base Practices Are Performed Level 2. Planned and Tracked • 2.1 Planning Performance • 2.2 Disciplined Performance • 2.3 Verifying Performance • 2.4 Tracking Performance Level 3. Well-Defined • 3.1 Defining a Standard Process • 3.2 Perform the Defined Process • 3.3 Coordinate the Process


26

Security maturity model (5) Capability Dimension — Generic Practices Level 4. Quantitatively Controlled • 4.1 Establishing Measurable Quality Goals • 4.2 Objectively Managing Performance Level 5. Continuously Improving • 5.1 Improving Organizational Capability • 5.2 Improving Process Effectiveness


27

Security maturity model (6)


28

Maturity van security architectuur

Recommend Documents