Security & Continuity @ KPN
29
Security & Continuity Security & Continuity @ KPN @ KPN ISACA Briefing Breukelen, september 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security
description
Security & Continuity @ KPN. ISACA Briefing Breukelen, september 2010. Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security. Agenda. Security & Continuity @ KPN Beleid Organisatie Besturing Maatregelen Assurance Lessons learned Vragen. - PowerPoint PPT Presentation
Transcript of Security & Continuity @ KPN
Security & ContinuitySecurity & Continuity @ KPN @ KPN
ISACA Briefing Breukelen, september 2010
Johan Bakker MSc CISSP Chief Information Security OfficerKPN Corporate Security
September 2010ISACA Briefing - Security & Continuity @ KPN2
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Assurance
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN3
Security & Continuity @ KPN
Het managen van risico’s t.a.v. bedrijfsmiddelen:
– Mensen
– Tastbare bedrijfsmiddelen
– Niet tastbare bedrijfsmiddelen
De missie…
September 2010ISACA Briefing - Security & Continuity @ KPN4
Security & Continuity @ KPN
De focus…
September 2010ISACA Briefing - Security & Continuity @ KPN5
De context…
• Algemeen – Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf– Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker
• Zakelijke markt – Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS70, TPM)– Security & Continuity management zijn niet langer een USP (*), maar een uitgangspunt
• Consumenten markt – Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services– Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens
• Leverketens– Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen– Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers
• Economische situatie– Leidt tot verhoogde risico’s t.a.v. prestaties en continuïteit leveranciers– Vraagt intern om extra nadruk op kostenefficiëntie
Security & Continuity @ KPN
* USP = Unique selling point* USP = Unique selling point
September 2010ISACA Briefing - Security & Continuity @ KPN6
Security & Continuity @ KPN
De uitdaging…
• Het beveiligen van de informatie van 38 miljoen klanten en het
borgen van de continuïteit van honderden producten en diensten
– geleverd door ~35.000 medewerkers
– vanuit 14 landen
– draaiend op > 2000 systemen, platformen en netwerken
– met ruim 125 jaar (telefonie) historie
• in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk…
Besturing vanuit de Raad van Bestuur is randvoorwaardelijk!
September 2010ISACA Briefing - Security & Continuity @ KPN7
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Assurance
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN8
KPN Business Control Framework (BCF)
Beleid
September 2010ISACA Briefing - Security & Continuity @ KPN9
Security & Continuity zijn onderdeel KPN Corporate Governance
Beleid
• KPN Security & Continuity Charter
– Onderdeel van het Business Control Framework
– RvB portefeuillehouder (Baptiest Coopmans)
– Vormt de basis voor de KPN Corporate Security Policy
• KPN Corporate Security Policy framework
– Door de RvB geaccordeerd
– Bestaat uit:
• Corporate Security policy
• Governance & Compliance model
• Verklaring toepassingsgebied
September 2010ISACA Briefing - Security & Continuity @ KPN10
<snip>
• Therefore, units shall:
– In line with the Corporate Security Policy, implement and maintain:
• a mandatory minimum set of security measures (the Security Baseline);
• a security management framework consisting of a risk-based plan/do/check/act process concerning information security, physical security, personal security & safety, fraud and business continuity.
– Determine and implement their own additional security policies, when required by:
• specific (operational) risks within their domain;
• contracts and agreements with customers, partners and/or suppliers;
• applicable legal and/or regulatory requirements.
– In line with the Corporate Security Policy, determine and report compliance and non-compliance to this policy to Chief Information Security Officer (CISO).
</snip>
KPN Group BCF Security & Continuity charter
Implementeer de Implementeer de KPN BaselineKPN Baseline
Richt een Security Richt een Security Risk management Risk management proces in proces in
Manage business Manage business Security risico’sSecurity risico’s
DemonstreerDemonstreerCompliance (GRIP)Compliance (GRIP)
Beleid
September 2010ISACA Briefing - Security & Continuity @ KPN11
KPN Corporate Security Policy
Beleid
• Omvat ondermeer…
– Security & Continuity Management (organisatie en processen)
– Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen)
– Security & Continuïteit Awareness
– Veiligheid van medewerkers (ARBO, BHV)
– Betrouwbaarheid en integriteit van medewerkers
– Justitieel Aftappen en gegevensverstrekking
– Telecom Fraude en abuse
– Incidentmanagement
September 2010ISACA Briefing - Security & Continuity @ KPN12
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Assurance
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN13
Security Policy, Governance & Compliance (CISO)
Security Operations (incidenten & consultancy)
Justitieel aftappen & Monitoren
KPN Group – Raad van Bestuur
• Bestaat uit 54 medewerkers• Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen
Telecom Fraude & Abuse
KPN Security (CSO)
(Integriteit & analyse)
Organisatie
KPN Corporate Security
Communicatie & Awareness
September 2010ISACA Briefing - Security & Continuity @ KPN14
KPN Group
• Allen voldoen aan de Corporate Security policy• Diversiteit in besturing en rapportage
Organisatie
KPN NL
KPN Group – Raad van Bestuur
KPN GB
Getronics
E-Plus
KPN Security
iBasis
GRIP (Governance, Risk & In-
control processes)
KPN CERT
September 2010ISACA Briefing - Security & Continuity @ KPN15
Organisatie
KPN NL – Raad van Bestuur (‘NL Board’)
Tactical Security
Board
Tactische eenheid (Segment) Segment MT’s en Corporate Center
Tactical Security Managers
Operationele eenheid
Proces, dienst of product eigenaren
Operational Security Managers
Operational SecurityBoard
Security Steering
Committee
KPN Security
& BCM
Manager
GRIP board
KPN Group – Raad van Bestuur (‘RvB’)
KPN Nederland
KPN CERT
September 2010ISACA Briefing - Security & Continuity @ KPN16
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Assurance
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN17
Besturing
SSCGRIP Board
TSM RMImplementatie &
bijstelling
Compliance& tactische risico’s
Structurele verbeteringen
Compliance & strategische risico’s
Business Financieel
Materieel
Niet-materieel
Governance Compliance
Segment ManagementBusiness processen & diensten
Audit(QA)
Security Management - Strategisch
SSC = Security Steering committee TSM = Tactisch Security ManagerRM = Risk Manager GRIP = Governance & Compliance, Risk &QA = Quality Assurance In control processes
September 2010ISACA Briefing - Security & Continuity @ KPN18
BesturingSecurity Management – Tactisch en operationeel
MT
MT MT MT MT
MT
MT MT MT MT
Tactisch eenheden(Segment)
Strategisch
Tactisch
Operationeel
Operationele eenheden(Reporting Unit)
Drie niveau’s van security management
Business eisen & Service Level rapportage(Keten management)
Beleid, Organisatie &
Besturing
Compliance en risico
rapportage
SSC GRIP
TSM RM
CISO
TSM RM
SSC = Security Steering committee CFO = Chief Financial OfficerRM = Risk Manager CISO = Chief Information Security OfficierTSM = Tactisch Security manager OSM = Operational Security manager
OSM OSM OSM OSM OSM OSM OSM OSM
BCM
September 2010ISACA Briefing - Security & Continuity @ KPN19
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Assurance
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN20
Maatregelen
KPN Baseline• Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen
• Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”)
• De KPN Baseline is een selectie van 73 van deze maatregelen (54%)
• De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen
• Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen:
– Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving
• Ter indicatie, de Security controlset van een vijftal KPN diensten:
KPN Baseline (73 controls)KPN Baseline (73 controls)
WO OPS INTWO OPS INT(38 controls)(38 controls)
CybercentersCybercenters(45 controls)(45 controls)
EVPNEVPN(53 controls)(53 controls)
OfficeAccessOfficeAccess(54 controls)(54 controls)
Risk basedRisk based
BaselineBaseline
Managed LANManaged LAN(46 controls)(46 controls)
CSPCSPISO27001ISO27001- 133- 133
controlscontrols
September 2010ISACA Briefing - Security & Continuity @ KPN21
Maatregelen
INNOVATIE
OPERATIËN
BEDRIJFSMIDDELEN
EIGENAREN
DIENSTEN
LEVERANCIERS
INCIDENTEN
PERSONEEL
SM / BCMORGANISATIE
SM / BCMBELEID
KLANTEN
SM / BCMBESTURING
9
15
171
2
3
4
RISICOMANAGEMENT
CONTINUÏTEITSPLANNEN6 14
HR PROCES16 AWARENESS
13
TOEGANG5
TESTEN VANMAATREGELEN
7VERBETER
MANAGEMENT8
DIENSTAANBIEDINGEN
10
ASSURANCE
OVEREENKOMSTEN 11
12
MAATREGELEN
Beheersdoelen
CO-01 Beleid
CO-02 Organisatie
CO-03 Security management (PDCA)
CO-04 Beheer van informatie(middelen)
CO-05 Toegangsverlening (fysiek & logisch)
CO-06 Risicomanagement
CO-07 Testen van maatregelen
CO-08 Monitoren van verbeteringen
CO-09 Vernieuwingsproces
CO-10 Dienstaanbiedingen
CO-11 Interne en externe overeenkomsten
CO-12 Management van leveranciers
CO-13 Bewustzijn
CO-14 Continuïteitsplanning
CO-15 Management van incidenten
CO-16 HR-proces
CO-17 Security in operatiën
Security Control Framework
September 2010ISACA Briefing - Security & Continuity @ KPN22
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Assurance
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN23
Security Control Framework – Internal compliance
Risks, customers
requirement, incidents,law and
regulations
ISO 27001 annex A (133 potential Security and BCM controls)
• (Strategische) Security risico’s worden gemitigeerd middels control objectives
• Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig)
• Een deel van deze ISO controls zijn “Baseline” en dus verplicht
• De relatie tussen control objectives en baseline controls is gedefinieerd (x-list)
• Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ control
73 baseline controls 60 risk based controls
Security & BCM
Control objectives
(17)
GRC+ controls
CO-1 Policy Control 1CO-2 Organisation Control 2 Control 3CO-3 Security mgmnt Control 4 Etc….
Assurance
September 2010ISACA Briefing - Security & Continuity @ KPN24
Assurance
Intern vs Extern
BCF beleid
Corporate Security policy– Security: ISO 27001/27002 based
– Business Continuity: BS25999 based
• Assurance via quarterly DOR proces, GRC+
Compliancedemands BCF
Specific
BCF & BUOverlap
BUspecific
KPN BusinessControlFramew
Market demands
Customer demands
Customerspecific
Market demands Bepalen de basis van het compliance framework:
– ISO 9001– ISO 27001 (certification)– ITIL security & BCM elements – Assurance (SAS70 & TPM)– Cobit – VCA (Health)
Customer demands Leiden tot addtionele eisen en assurance
formaten:
─ Specific customer scope assurance such as TPM & SAS70
─ Audit reports & certifications─ PCI, ISO 14000, NEN 7510, etc.─ Real-time monitoring, SOC/SIEM
• Het Integrated Control Framework (ICF) beoogt
synergie tussen interne- en externe assurance
• Pilot is uitgerold bij GTN, doorontwikkeling in 2010-2011
IntegratedControl
Framework
IntegratedControl
Framework
September 2010ISACA Briefing - Security & Continuity @ KPN25
Maatregelen
Assurance middels ISO 27001 certificaten
– Certificaten met generieke scope Certificaat #
• Hosting Services 2098139
• Application Services 2106391
• Cybercenter Services ICS 008
• Business Continuity Services 2098145
• Local Area Network Services 2078860
• Integrated & Outsourcing services 2126960
• Operations Internationaal 2119991
– Certificaten met specifieke scope Certificaat #
• Office Access & EVPN 2087166
• KPN MTI SDU Transport ISC 017
• Osiris (Support team tooling) 2018483
September 2010ISACA Briefing - Security & Continuity @ KPN26
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN27
Lessons learned
Transparantie en duidelijkheid
• Plot Security & Continuity op de meerjarige business strategie
• Schets belangen en risico’s in de “taal van de business”
• Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit
Verantwoordelijkheden
• Haal security implementatieverantwoordelijkheid uit de financiële kolom
– Breng de “business” in haar rol t.a.v. policy implementatie en
– geef de financiële kolom de controlerende bevoegdheid t.a.v. voortgang en compliance
Strategie
• Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan)
• Plan iteratief binnen die strategie
– Wees wendbaar en flexibel
– Plan tijd voor correctieve actie (Demming’s C&A-fasen)
• Integreer waar mogelijk met bestaande processen en structuren
September 2010ISACA Briefing - Security & Continuity @ KPN28
Agenda
• Security & Continuity @ KPN
• Beleid
• Organisatie
• Besturing
• Maatregelen
• Lessons learned
• Vragen
September 2010ISACA Briefing - Security & Continuity @ KPN29
Vragen…
?
