Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain

TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V.

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

TSCP •

We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur aan de gestelde eisen voldoet

•

We toetsen daarnaast verschillende deelnemende bedrijven in de luchtvaartsector of zij met het uitgeven van digitale identiteiten aan de eisen voldoen

Veilig samenwerken •

We zijn nauw betrokken bij eHerkenning, DigiD en de opvolger van DigiD

•

Onze adviseurs en certificerende auditoren zijn in een onafhankelijke rol betrokken bij nagenoeg alle certificatiedienstverleners

KPMG Advisory: Betrokkenheid TSCP en veilig samenwerken

Randvoorwaarden Veilig elektronisch zakendoen

2

Veilig elektronisch zaken doen

Toenemende veranderende, “internet enabled” dienstverlening


Online transacties




Third party access




Waarde van informatie

Toenemende aandacht voor beveiliging


Hacking & cracking




Data & identity theft




Online fraude




Virussen

Veranderende wetgeving en (industrie) regelgeving


Electronische handtekening




Intellectual property protection / digital rights management




Data protectie / privacy

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

3

Toename van beveiligingsincidenten roept om maatregelen ! www.datalossbarometer.com

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

4

Randvoorwaarden veilig elektronisch zakendoen

Vertrouwelijkheid (confidentiality)


Zekerheid dat alleen de ontvanger het verzonden bericht kan lezen

Integriteit (integrity)


Zekerheid dat het bericht tijdens verzending niet is gemodificeerd

Authenticiteit (authenticity)


Zekerheid dat de verzender/of ontvanger degene is die hij beweert te zijn

Onweerlegbaarheid (non-repudiation)


De verzender kan achteraf de verzending niet ontkennen (nonrepudiation of sender)

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

5

Hoe geven we hier invulling aan?

We hebben een digitale sleutelbos: een aparte “sleutel” voor •

verschillende toepassingen

•

verschillende betrouwbaarheidsniveaus

Note:

Use of Authentication Mechanisms

Source: KPMG/Everett, 2009 European Identity and Access Management Survey

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

6

Gebruik van digitale certificaten Hoeksteen van betrouwbaar Identity & Access Management

Rationele reden: één beveiligingsmechanisme / technologie voor meerdere security services op basis van Public Key Infrastructures − Security Services ter voorkoming van diefstal


Confidentiality- Encryptie




Authentication & Access Control - Certificaten

− Security Services ter voorkoming van fraude


Authentication - e.g. Certificaten




Non-Repudiation (onweerlegbaarheid) - Digital handtekening

Met einddoel: weg met digitale sleutelbos !

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

7

Wat zien we op de horizon ?

“Push” door bestaande en nieuwe (ketenintegratie)initiatieven •

Bewezen succes bestaande concepten

•

Outsourcing van identity management leidt tot kritieke massa

•

Ketenintegratie-initiatieven maken gebruik van bestaande concepten

Technology-push: met nadruk op hoog gebruiksgemak •

Hogere eisen ten aanzien van gebruiksgemak: “Apple-effect”

•

Verbetering integratie van certificaten in besturingssystemen, browsers en applicaties

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

8

Bestaande en nieuwe initiatieven veroorzaken “Push” Ketenintegratie

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

9

Bestaande en nieuwe initiatieven veroorzaken “Push” Voorbeelden (naast TSCP)

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

10

Bestaande en nieuwe initiatieven veroorzaken “Push” Hergebruik van authenticatiemiddel (DigiD, Certificaat) door bedrijven

eHerkenning als voorbeeld van faciliteren administratieve lastenverlichting

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

11

Veilig samenwerken met behulp van een Digitale Identiteit Stappenplan op hoofdlijnen

12

Veilig samenwerken met behulp van een digitale identiteit

Beveiligde infrastructuur CertiPath •

CertiPath vormt het startpunt /oorsprong (“Root”) voor de creatie van digitale identiteiten (“certificaten”)

•

CertiPath dient als brugfunctie (“Bridge”) tussen TSCP en andere (soortgelijke) domeinen

Uitgeven van TSCP- digitale identiteiten door deelnemers •

TSCP deelnemers (certificaatdienstverleners) die toetreden tot CertiPath om binnen TSCP certificaten uit te geven moeten aantoonbaar aan de eisen voldoen

Gebruik digitale identiteiten. Wat kun je ermee? •

Secure e-mail voor uitwisselen (bedrijfs)vertrouwelijke stukken

•

Elektronische handtekening uit naam van uw onderneming

•

Electronisch contracteren

•

Elektronisch factureren

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

Veilig samenwerken met behulp van een digitale identiteit

“Met uw digitale identiteit identificeert u zich in een elektronische omgeving” Een digitale identiteit als identificatiemiddel heeft een bepaald betrouwbaarheidsniveau. Dat niveau is gebaseerd op het type middel, de beveiligingskenmerken van het middel en de waarborgen die de uitgever heeft getroffen. Voorbeeld: •

Gebruikersnaam/wachtwoord (wat je weet)

•

Token van de bank met bankpas en wachtwoord (wat je weet en hebt)

•

Token (smartcard) met digitaal certificaat (wat je weet en hebt)

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

Veilig samenwerken met behulp van een digitale identiteit

“Met behulp van uw digitale identiteit kunt u zich toegang verschaffen tot (e-business)omgevingen (e-supply-chain), transacties of berichten ondertekenen en berichten versleutelen”

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

Invoer binnen uw organisatie? Een stappenplan op hoofdlijnen

Management en Organisatie •

Impactanalyse

•

Aanpassingen doorvoeren

Processen en diensten •

Beknopte analyse proces

•

Procesherontwerp

•

Proces aanpassen

IT-infrastructuur en beveiliging •

Selectie leverancier van digitale identiteiten (certificatiedienstverlener) die beantwoordt aan de gestelde eisen

•

Uitrol en implementatie

Personeel en Cultuur •

Training, opleiding

© 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

Praktische aandachtspunten (voor een eerste plateau)

Contractuele eisen, bevoegdheden / procuratie / delegatie

Beschikbaarheid

Vastleggingen / archivering

Vertrouwelijkheid

Snelheid / efficiency

Continuiteit Infrastructuur Digitale Identiteiten

Training, opleiding © 2011 KPMG Advisory N.V., a Dutch limited liability company, is a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (‘KPMG International’), a Swiss entity. All rights reserved.

Contactgegevens

Patrick Paling Senior manager KPMG Advisory N.V. Tel: +31 6 511 86 824 Email: [email protected]

© 2011 KPMG Advisory N.V., the Dutch member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. The KPMG name, logo and "cutting through complexity" are registered trademarks or trademarks of KPMG International Cooperative ("KPMG International").