Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG
[email protected]
©
LogicaCMG 2006. All rights reserved
Over de spreker Renato Kuiper • Principal consultant Information Security bij LogicaCMG • Hoofdredacteur Informatiebeveiliging • Docent Master of Risk Control & Information Security i.o. • 20 jaar ervaring in informatiebeveiliging • 9 jaar ervaring in security architecturen
Maturity van security architectuur
2
Agenda • Wat is maturity? • Maturity bij Informatiebeveiliging • Maturity bij Security architecturen • Observaties • Vragen
Maturity van security architectuur
3
Wat is maturity? Maturity may refer to: • Sexual maturity • Maturity, a geological term describing hydrocarbon generation • Maturity, a financial term indicating the end of payments of principal or interest • Maturity, a software engineering term indicating to which extent it is planned how to do things when developing, testing, documenting, maintaining software etc. See also software development process • Maturity (psychological), a term used in psychology to indicate that a person responds to the circumstances or environment in an appropriate manner, often this implies a response that is reasoned or learned rather than impulsive Maturity van security architectuur
4
Security 3.0 (Gartner) • Security 1.0: mainframe tijdperk vooral “keep the bad guys out!” -> security is ad hoc • Security 2.0: Internet tijdperk “get the good guys in!”
à security is aangebouwd
• Security 3.0: Blijf de tegenstander voor security integraal onderdeel van processen, ontwerp en onder architectuur à security is ingebouwd
Maturity van security architectuur
5
Aandacht voor security
Maturity van security architectuur
6
Maturity van Informatiebeveiliging
Security Architectuur
Maturity van security architectuur
7
Security System Engineering-Capability Maturity Model SSE-CMM - ISO standaard (ISO/IEC 21827:2002)
Maturity van security architectuur
8
Maturity bij Security architecturen Wat bepaalt volwassenheid: • De inhoud van de architectuur? • Het proces van totstandkoming? • Het programma van architectuur en IB denken?
Maturity van security architectuur
9
Security architectuur - Inhoud De inhoud van de architectuur? • Definitie, scope, afbakening • Keuze model • Gebruik principes • Pull, push, losstaand, onderdeel van enterprise architectuur • Positionering en relatie met andere architecturen • Views op security
Maturity van security architectuur
10
Wat is een security architectuur (1)?
Een Security Architectuur is een voorschrijvend document dat door middel van een set samenhangende modellen en principes efficiënt en flexibel richting geeft aan de invulling van het informatiebeveiligingsbeleid van een organisatie
Maturity van security architectuur
11
Wat is een security architectuur (2)?
Maturity van security architectuur
12
Security architectuur - inhoud
Applicatie Infrastructuur
Maturity van security architectuur
Lo ss arc e se hit cu ec rity tuu r
Informatie
Se cur vra ity ag
Business
Se Aa curi nb ty od
View
op s
ecur
ity
Positionering Architecturen:
13
Security architectuur - inhoud 4 lagen in de architectuur: • Business (context) laag • Conceptuele laag • Logische laag • Fysieke laag
Maturity van security architectuur
14
Security architectuur - proces Knelpunten Life cycle management
IST
Aanwezige beveiliging
GAP analyse
Transitieschema
Projecten
PUSH Markt
SOLL Eisen/ wensen
PULL Views
Maturity van security architectuur
15
Security architectuur - programma • • • • • • • • • •
Architectuur scope en autoriteit Stakeholder participatie en commitment Ontwikkel proces van architecturen Business context in de architectuur Architectuur inhoud SOLL, IST, Migratie Architecturen Samenstelling architectuur team Impact van de architectuur Volwassenheid security in organisatie Architectuur, governance en risicomanagement samenhang
Maturity van security architectuur
16
Maturity bij Security architecturen (1) Inhoud: • van alleen technische beveiliging tot architectuur lagen indeling Proces: • van SOLL naar de volledige breedte Programma: • van losstaande activiteit tot integratie in de Enterprise architectuur • Van vrijblijvendheid tot verplichte kost…
Maturity van security architectuur
17
Maturity bij Security architecturen (2) ess c ont e xt
Im ar pac ch t it e v a ct n d uu e r
D
Bu si n
PR OC
U HO
es oc en pr ur el ct kk it e wi ch nt r O na va
IN e nanc r e v go nt hang nagem e n e m a Sa i sicom en r
Architectuurteam
Architectuurlagen
Te e op Sc
ch nie k
it it e tor au en
Volwassenheid IB in organsiatie S t ak eh en o lde c om r pa m rt i tm i cipa en t tie
SO L M L, I IG S RA T, TI GA E P,
SSE- CMM ???
ES
Model zoals
àb us in e ss
PROGRAMMA Maturity van security architectuur
18
Maturity bij Security architecturen (3) 5
Im a r pac ch t ite v a ct n d uu e r
Bu si n
PR
ess c
S
0
Architectuurlagen
,
Te e op Sc
ch ni e k
to au en
àb us in e ss
it ri te
Volwassenheid IB in organsiatie S t a ke h en olde c om r pa m rt i t m icipa en t tie
SO L M L, I IG ST RA , TI GA E P
D
e nan c r e v go nt hang nagem e n e a m Sa i sicom en r
Architectuurteam
NOG LANG NIET…… -J
OU
es oc ren pr u el ct k k it e wi ch nt r O an a v
OC E
SSE- CMM ???
H IN
onte xt
Model zoals
PROGRAMMA Maturity van security architectuur
19
Succesfactoren (1) • De doelstellingen van een organisatie moeten duidelijk zijn • De organisatie moet een heldere governance structuur hebben met duidelijk belegde verantwoordelijkheden • De organisatie moet een security beleid hebben waarin de uitgangspunten voor informatiebeveiliging helder zijn vastgelegd • Classificatie van informatie is een essentieel element om security eisen te kunnen differentiëren per classificatiegroep
Bron: Expertbrief Maturity van security architectuur
20
Succesfactoren (2) • Basisprincipes vanuit andere architecturen, zoals een algemene ICT architectuur, kunnen mede bepalen welke risico’s relevant zijn • De kwaliteit van een security architectuur kan beoordeeld worden aan de aspecten: –Totaal overzicht bieden –Evenwichtig zijn –Transparant zijn –Samenhang helder aangeven • Er zijn nog geen harde indeling criteria zoals bij SSE-CMM, dus JBF… Bron: Expertbrief Maturity van security architectuur
21
Observaties – waar staat de markt… Observatie Security architecturen in de markt: • 60% Vooral technisch gericht> logische laag binnen ICT afdelingen (push) • 35 % Vanuit de business -> (pull) • 5 % Security view in Enterprise architectuur • Dus nog een lange weg te gaan, of niet …. ????
Maturity van security architectuur
22
Vragen
Er is nooit tijd om iets goeds te doen, maar er is altijd tijd om het opnieuw te doen.
©
LogicaCMG 2006. All rights reserved
Security maturity model (2) Domain Dimension — Base Practices Er zijn 129 Base Practices georganiseerd in 22 gebieden 11 gebieden bevatten 61 Base Practices die security engineering afdekken: • PA01 Administer Security Controls • PA02 Assess Impact • PA03 Assess Security Risk • PA04 Assess Threat • PA05 Assess Vulnerability • PA06 Build Assurance Argument • PA07 Coordinate Security • PA08 Monitor Security Posture • PA09 Provide Security Input • PA10 Specify Security Needs • PA11 Verify and Validate Security Maturity van security architectuur
24
Security maturity model (3) 11 gebieden bevatten 68 Base Practices afkomstig van Systems Engineering en Software CMM à project- en organisatie gerelateerde zaken: • PA12 Ensure Quality • PA13 Manage Configuration • PA14 Manage Project Risk • PA15 Monitor and Control Technical Effort • PA16 Plan Technical Effort • PA17 Define Organization's Systems Engineering Process • PA18 Improve Organization's Systems Engineering Process • PA19 Manage Product Line Evolution • PA20 Manage Systems Engineering Support Environment • PA21 Provide Ongoing Skills and Knowledge • PA22 Coordinate with Suppliers Maturity van security architectuur
25
Security maturity model (4) Capability Dimension — Generic Practices Level 1. Performed Informally • 1.1 Base Practices Are Performed Level 2. Planned and Tracked • 2.1 Planning Performance • 2.2 Disciplined Performance • 2.3 Verifying Performance • 2.4 Tracking Performance Level 3. Well-Defined • 3.1 Defining a Standard Process • 3.2 Perform the Defined Process • 3.3 Coordinate the Process
Maturity van security architectuur
26
Security maturity model (5) Capability Dimension — Generic Practices Level 4. Quantitatively Controlled • 4.1 Establishing Measurable Quality Goals • 4.2 Objectively Managing Performance Level 5. Continuously Improving • 5.1 Improving Organizational Capability • 5.2 Improving Process Effectiveness
Maturity van security architectuur
27
Security maturity model (6)
Maturity van security architectuur
28