Vertrouwen in ketens
Jean-Paul Bakkers
9 april 2013
Inhoud •Het probleem Onderlinge verbondenheid •De toekomstige oplossing TTISC project •Discussie Stelling •Wat doet Logius al Business Continuity Management •Afsluiting
2
Logius, dienst digitale overheid 9-4-2013
Trends ICT ketens • • • • • •
Van zelfstandige applicaties naar van applicaties (linkedin, Google maps, Facebook) Software as a service (SaaS) en Cloud computing als distributeur (Google Docs, Google Drive) Toename afhankelijkheid Applicatie leverancier afhankelijk vertrouwen leveranciers van leveranciers. Behoefte aan vertrouwen (e-government, e-business) Vertrouwen over totale keten.
3
De praktijk (1) Storing iDeal vlak voor Kerst
Blaadjes op het spoor
4
Logius, dienst digitale overheid 9-4-2013
De praktijk (2)
Activerings brieven
Dichter bij huis: Diginotar…. Internet
SMS-jes
Brouwsers
Hosting hardware software 5
GBA
Logius, dienst digitale overheid 9-4-2013
Certificaten
Concreet voor Logius •Logius levert vitale infrastructuur •Logius is een ketenpartner •Logius is afhankelijk van ketenpartners •Als er iets misgaat wil Logius er alles aan hebben gedaan om falen te voorkomen
6
Logius, dienst digitale overheid 9-4-2013
Towards Trustworthy ICT enabled service chains
Vertrouwen in ketens TTISC Project Bedrijfszekerheid in ketens Start in 2011 NWO subsidie
8
9
Logius, dienst digitale overheid 9-4-2013
Het basis idee achter TTISC
Service Chain Content network service
Content Network
A
request
B
request Add value
C
Risk Control Enactment Enforcement
service Delivery network
Service Chain
10
Delivery Network
Bedrijfszekerheid en ICT ketens service
service request
service request
service
Consument
Enabler (certificaat) Techniek ICT – Netwerk - Architectuur
Bedrijfszekerheid
€ 44,4 mlrd Inkomstenbelasting Miljoenennota 2010 11
Service leverancier
Maar er is toch al zoveel aan raamwerken? Standards • ISO 27000 series • ENISA Guidelines • COBIT • IT control objectives for cloud computing • ITAF (IT Assurance Framework) • Val IT • Risk IT › Practitioners research • IEEE TEXO SAP research Project Master Chain governance › Architectures SOA SaaS Cloud computing 12
Scientific research Organization theory Technical ICT research Architecture Audit theory Operations research Accountancy
Inrichten van ICT-ketens • Risico-distributie in de keten • Control-distributie in de keten • Assurance Profiel
1. Vaststellen van het object van beheersing in de ICT-keten
Plan
2. Classificeren niveau van beheersing: typologie, type en assurance profielen 3. Vaststellen risico-distributie, control-distributie en assurance profielen met assurance plotting
Do
5. Inrichting van de keten: assurance plot en monitoring
Check
6. Monitoren van de balans in de assurance plot
Act
4. Bepalen methode van audit en monitoring
8. Evaluatie en bijsturing
7. Monitoren implementatie van maatregelen )
Vervolg casus
• Bevindingen moeten worden getoetst aan tweede casus: • Digipoort in Rotterdamse haven
Vervolg project
• Opzetten community
En hoe nu verder • Kennis verspreiden • Deelname aan community • Promotieonderzoek • Raamwerk gebruiken voor alle Logius producten
Discussie Theorie & Praktijk
Stelling 1
De huidige ICT is zo complex en vernetwerkt dat er altijd wel wat mis zal gaan!
19
Logius, dienst digitale overheid 9-4-2013
Business continuity management bij Logius (1) • Afspraken •SNO met klant •SNO met leveranciers •7X24 uur ondersteuning •Nieuwe Governance •Audits •Assurance Verklaring Samenwerking met commerciële partijen naar Acountants Dienst Rijk •Monitoring Nationaal Cyber Security Center •Processen •Standaarden •Procedures/werkinstructies/checklists 20
Logius, dienst digitale overheid 9-4-2013
Business continuity management bij Logius (2) • Techniek •Redundantie •Securitytesten (bv. pentesten) •Calamiteitenplannen •Release kalender •Personeel •Logius4Us •Productkennis •Pandemie draaiboek •Sleutelfuncties met eigen personeel
21
Logius, dienst digitale overheid 9-4-2013
Wat verwacht Logius van u? •Doorgeven wensen qua beschikbaarheid, serviceniveau enz. •Verwachtingen gebruik van uw portalen, klantinteracties •Transparantie: risicobeeld dienstverlening / Fraude •Vertrouwen in elkaar
22
Logius, dienst digitale overheid 9-4-2013
Afsluiting
Jean-Paul Bakkers 06-38825802
[email protected]