Vertrouwen in ketens. Jean-Paul Bakkers

Vertrouwen in ketens

Jean-Paul Bakkers

9 april 2013

Inhoud •Het probleem Onderlinge verbondenheid •De toekomstige oplossing TTISC project •Discussie Stelling •Wat doet Logius al Business Continuity Management •Afsluiting

2

Logius, dienst digitale overheid 9-4-2013

Trends ICT ketens • • • • • •

Van zelfstandige applicaties naar van applicaties (linkedin, Google maps, Facebook) Software as a service (SaaS) en Cloud computing als distributeur (Google Docs, Google Drive) Toename afhankelijkheid Applicatie leverancier afhankelijk vertrouwen leveranciers van leveranciers. Behoefte aan vertrouwen (e-government, e-business) Vertrouwen over totale keten.

3

De praktijk (1) Storing iDeal vlak voor Kerst

Blaadjes op het spoor

4

Logius, dienst digitale overheid 9-4-2013

De praktijk (2)

Activerings brieven

Dichter bij huis: Diginotar…. Internet

SMS-jes

Brouwsers

Hosting hardware software 5

GBA

Logius, dienst digitale overheid 9-4-2013

Certificaten

Concreet voor Logius •Logius levert vitale infrastructuur •Logius is een ketenpartner •Logius is afhankelijk van ketenpartners •Als er iets misgaat wil Logius er alles aan hebben gedaan om falen te voorkomen

6

Logius, dienst digitale overheid 9-4-2013

Towards Trustworthy ICT enabled service chains

Vertrouwen in ketens TTISC Project Bedrijfszekerheid in ketens Start in 2011 NWO subsidie

8

9

Logius, dienst digitale overheid 9-4-2013

Het basis idee achter TTISC

Service Chain Content network service

Content Network

A

request

B

request Add value

C

Risk Control Enactment Enforcement

service Delivery network

Service Chain

10

Delivery Network

Bedrijfszekerheid en ICT ketens service

service request

service request

service

Consument

Enabler (certificaat) Techniek ICT – Netwerk - Architectuur

Bedrijfszekerheid

€ 44,4 mlrd Inkomstenbelasting Miljoenennota 2010 11

Service leverancier

Maar er is toch al zoveel aan raamwerken? Standards • ISO 27000 series • ENISA Guidelines • COBIT • IT control objectives for cloud computing • ITAF (IT Assurance Framework) • Val IT • Risk IT › Practitioners research • IEEE
TEXO SAP research
Project Master
Chain governance › Architectures
SOA
SaaS
Cloud computing 12

Scientific research Organization theory Technical ICT research Architecture Audit theory Operations research Accountancy

Inrichten van ICT-ketens • Risico-distributie in de keten • Control-distributie in de keten • Assurance Profiel

1. Vaststellen van het object van beheersing in de ICT-keten

Plan

2. Classificeren niveau van beheersing: typologie, type en assurance profielen 3. Vaststellen risico-distributie, control-distributie en assurance profielen met assurance plotting

Do

5. Inrichting van de keten: assurance plot en monitoring

Check

6. Monitoren van de balans in de assurance plot

Act

4. Bepalen methode van audit en monitoring

8. Evaluatie en bijsturing

7. Monitoren implementatie van maatregelen )

Vervolg casus

• Bevindingen moeten worden getoetst aan tweede casus: • Digipoort in Rotterdamse haven

Vervolg project

• Opzetten community

En hoe nu verder • Kennis verspreiden • Deelname aan community • Promotieonderzoek • Raamwerk gebruiken voor alle Logius producten

Discussie Theorie & Praktijk

Stelling 1

De huidige ICT is zo complex en vernetwerkt dat er altijd wel wat mis zal gaan!

19

Logius, dienst digitale overheid 9-4-2013

Business continuity management bij Logius (1) • Afspraken •SNO met klant •SNO met leveranciers •7X24 uur ondersteuning •Nieuwe Governance •Audits •Assurance Verklaring Samenwerking met commerciële partijen naar Acountants Dienst Rijk •Monitoring Nationaal Cyber Security Center •Processen •Standaarden •Procedures/werkinstructies/checklists 20

Logius, dienst digitale overheid 9-4-2013

Business continuity management bij Logius (2) • Techniek •Redundantie •Securitytesten (bv. pentesten) •Calamiteitenplannen •Release kalender •Personeel •Logius4Us •Productkennis •Pandemie draaiboek •Sleutelfuncties met eigen personeel

21

Logius, dienst digitale overheid 9-4-2013

Wat verwacht Logius van u? •Doorgeven wensen qua beschikbaarheid, serviceniveau enz. •Verwachtingen gebruik van uw portalen, klantinteracties •Transparantie: risicobeeld dienstverlening / Fraude •Vertrouwen in elkaar

22

Logius, dienst digitale overheid 9-4-2013

Afsluiting

Jean-Paul Bakkers 06-38825802 [email protected]