aanpak met visie gastvrij en alert

AANPAK MET VISIEAANPAK MET VISIE

30-06-2015

GASTVRIJ EN ALERT

VU SECURITY OPERATIONS CENTER

1. Voorstellen2. Risicoanalyse of Best Practice3. Informatiebeveiliging op de VU (in vogelvlucht)4. De Surfaudit5. Toch een product……

6. Laatste 5 minuten

AGENDAAGENDA

2 TOEKOMST MET VISIE

VU SECURITY OPERATIONS CENTER3 TOEKOMST MET VISIE

Even voorstellen


Hans Alfons62 jaar

Gezin:In september 40 jaar getrouwdVader van 2 dochters (met aanhang)Opa van kleindochter en – zoon

Hobby's:Kinderboerderij (30 jaar)Gemeentepolitiek (14 jaar)Informatiebeveiliging ( 7 jaar)

EVEN VOORSTELLENEVEN VOORSTELLEN



EVEN VOORSTELLENEVEN VOORSTELLEN


Ministerie van Defensie (21-05-1973 t/m 31-03-2009)vanaf 1995 informatiebeveiliging:

Expertise Centrum Koninklijke Landmacht. - Projectleider(1200 systemen / 100 kazernes / 300 eenheden)

Staf Legerkorps Projectleider Informatiebeveiliging - Operationele eenheden, Joegoslavië, Irak en Afghanistan

Hoofd Bureau Informatiebeveiliging Koninklijke Landmacht - CISO rol

PENSIOEN


EVEN VOORSTELLEN; WAARDERINGENEVEN VOORSTELLEN; WAARDERINGEN


2005 Winnaar Risk Analyse Award

2005 2e Plaats Joop Bautz Award

2009 Lid in de orde van Oranje Nassau



EVEN VOORSTELLEN: MIJN 1E MOTTO ISEVEN VOORSTELLEN: MIJN 1E MOTTO IS





bandbreedte


Risicoanalyse of Best Practice


Mijn opdracht bij de Koninklijke Landmacht (1998):

1. Voer een risicoanalyse uit per systeem, op iedere kazerne en bij iedere eenheid (operationeel).

2. Implementeer de maatregelen.

3. Laat deze maatregelen auditen.

RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE



fl 34.620.000.000.000RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE


13.000.000 inwoners van 0-100 jaar

+ 1,5 jaar, 24 uur per dag werk




1. Identificatie en authenticatie

Wachtwoordlengte Wachtwoorden moeten zo lang zijn dat ze moeilijk kunnen worden geraden of afgeleid uit de versleutelde vorm.

Wachtwoorden moeten zo lang zijn dat het moeilijk is om ze te ontcijferen.

1.1 Wachtwoorden moeten uit minstens 6 tekens bestaan. LAAG

1.2 Wachtwoorden moeten uit minstens 8 alfanumerieke tekens bestaan, met minstens één letter en één cijfer.

MIDDEN

1.3 Wachtwoorden moeten uit minstens 10 alfanumerieke tekens bestaan, met minstens één letter en één cijfer.

HOOG

ISO 27002 WAT

HOE




Module uit KL risicoanalyse en implementatie systeem


Per maatregel het “Hoe” ingevuld (keuze is de vindplaats)




Voor ieder van de 27 BIV classificaties is een risicoanalyse uitgevoerd en het resultaat is dat de maatregelenset (ISO 27002) nagenoeg gelijk zijn.

Het verschil wordt gemaakt in de implementatiewijze: “Hoe zwaarder het niveau, hoe zwaarder de maatregel”.

Risico analyses zijn tijdrovend en best practices onmiddellijk uitvoerbaar.



Conclusie


Maak gebruik van een best practice (ISO 27002) – het “hoe”

Voeg hier aan toe (in beleidsdocumenten) het “wat”

Laat de instellingen gezamenlijk een basisniveau op “hoe” niveau uitwerken



Aanbeveling:


BEST PRACTICE OP DE VUBEST PRACTICE OP DE VU


Voorbeeld OTAP beleid:


Informatiebeveiliging op de VU


• 6 bedrijven of personen (6 tot 12 maanden werkzaam op de VU)

• Resultaten• Plan van aanpak• Strategisch- en informatiebeveiligingsbeleid

INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………


Geschiedenis




• Is gelijk aan de voorgangers.

• ISO 27001 en ISO 27002

• ISMS op basis van PDCA cyclus

• Bewustwording medewerkers en studenten

Mijn visie

Toegevoegd:

• Benaderen als een cultuur veranderingstraject

• Waar wil je heen stip op de horizon




1. Het beïnvloeden van anderen begint bij jezelf.2. De verandering moet leuker zijn dan de huidige situatie

Cultuurverandering

1. Informatiebeveiligingsorganisatie georganiseerd2. IT beveiligen (ik schrijf procedures ………….)

1. Informatiebeveiligingsorganisatie georganiseerd en IT beveiligd2. Instelling beveiligen ( Wij leveren beveiligde diensten………….)




2018 CMM4

2014 CMM3

2017 CMM3


- op basis van jaarplan en meer jaren begroting- oplossen managementletter aanbevelingen- Privacy (SOC richtsnoer, PO juridisch deel)- Advies en ondersteuning - Kennis delen en halen- Vu breed uitvoeren (SURF) audit

- CISO,- Directeuren diensten of bedrijfsvoering bij faculteiten,- IT operatien, functioneel beheer en projecten,- Fysieke beveiliging



Gekozen werkwijze


- Integrale beveiligingsaanpak- Security Operations Center (5 fte’n)- proactief CERT- virtueel CERT- CISO verantwoordelijk (directeur IT/CIO)- ISO coördinator (uitvoerende werkzaamheden CISO) - Geen systeem of change operationeel zonder toestemming

CISO- Verantwoordelijkheid daar waar hij thuis hoort.- Besluitvormingsproces documenten risicoacceptatie ingericht- Budget M€ 1,5 per jaar



Wat hebben we bereikt




onderdelenBOVU

ISO AD

VBICT BoardCISO

CvB informeert informeert

informeert

adviseert adviseert

ICT business

voorstel

adviseertvoorstel

ter besluit-vorming

informeert

advies

Besluitvormingsproces i.p.v. stuurgroep informatiebeveiliging


De Surfaudit


DE SURFAUDITDE SURFAUDIT



CvB / CISO (29 vragen)

Directeuren Diensten (45 vragen)

Directeuren BV Faculteiten (38 vragen)

Afdelingsmanager IT (56 vragen)

Systemen (51 vragen)

Projecten / onderzoeken (afhankelijk object)



Vragen / maatregelensets


DE SURFAUDIT MET EIGEN SYSTEEMDE SURFAUDIT MET EIGEN SYSTEEM



VU AANPAK – MET EIGEN SYSTEEMVU AANPAK – MET EIGEN SYSTEEM


VU

ISO27002

SURF- setVolwassenheidsniveauseigen maatregelsetsCBP richtsnoerexterne auditorcloudmaatregelen CSA

dreigingen HO

RISICO’S

systemendataclassificatiePIA

incidenten

beheer impact

man rapportenaudit rapportenverbeterplannenbenchmarkengrafiekenoverzichten

beveiligingsplan

incident Q rappstatus:- risico’s- dreigingen


VU AANPAK - WENSENVU AANPAK - WENSEN


SOC

Interne auditdienst

Externe auditor

Directeuren

Systeemeigenaren

Benchmark HO- Surf- Privacy

Dreigingsbeeld HO

Peeraudits

Beheer normenkaders

VU

ISO27002

WEBBASED(pc en tablet)


- geen product op de markt dat aan de wensen voldeed- werkwijze product volgen -- geen maatwerk- wijzigen door leverancier kosten veel tijd- geen mogelijkheid om eigen onderdelen te vergelijken- geen eigen maatregelsets kunnen maken- maatregelsets lastig aan te passen- soms functioneel beheer in buitenland- langdurige implementatie trajecten- niet uit te breiden met incidentbeheer- complex- duur

VU AANPAK - WAAROM EIGEN SYSTEEMVU AANPAK - WAAROM EIGEN SYSTEEM



Toch een product……….


VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA



de maatregel



de maatregel

c



de maatregel



Audit

c



Audit



Audit

c



Constateringen directeur 1e grafiek – CMM per hoofdstuk

1

2

3

4

5

1

2

4

5

1

2

3

4

5



Constateringen directeur 2e grafiek – Benchmark instelling



Constateringen directeur 3e grafiek – gemiddeld CMM per hoofdstuk



0

0,5

1

1,5

2

2,5

3

3,5

4

4,5

5

2012 2013 2014 2015

Gem

idde

ld C

MM

Jaar

Gemiddeld CMM per jaar

Constateringen directeur 4e grafiek – gemiddeld CMM per jaar



DE INSTELLINGEN



Constateringen Instelling 1e grafiek – dreigingsniveau



Constateringen Instelling 2e grafiek – gemiddeld CMM, per hoofdstuk, per jaar



Constateringen Instelling 3e grafiek – dreigingen per CMM niveau



Constateringen Instelling 3e grafiek – drill down


Laatste 5 minuten


VU AANPAK - WENSENVU AANPAK - WENSEN


SOC

Interne auditdienst

Externe auditor

Directeuren

Systeemeigenaren

Dreigingsbeeld HO

Benchmark HO- Surf- Privacy

Peeraudits

Beheer normenkaders

VU

ISO27002

WEBBASED(pc en tablet)



Beheer normenkaders



Vrije Universiteit Amsterdam

Eventueleandere

Universiteiten

Smile voor informatiebeveiliging Smile koppelvlak

Benchmark structuur

SURFDatabase

Peeraudits


Benchmark settings

Universiteiten geven zelf aan:

- Of ze data willen oversturen

- Welke data ze willen oversturen

- Hoe ze data willen oversturen- Webservices (WDDX, JSON)- Email (XML)- Excel (CSV, XLS(X))- SQL- …




Benchmark rapportages

- Real-time

- Diverse output formats:- PDF of Word documenten- E-mails - CockPIT




Benchmark CockPIT (Dreigingsbeeld)




Graag betrekken we jullie bij onze benchmark ideeën!

- Het Nieuwe Auditen inzetten voor Informatiebeveiliging: - dinsdag 6 oktober 2015

- Kijk op: http://www.smile.nl/informatiebeveiliging



Dialoogcafe


Vragen

Hans [email protected] 4242 1858

aanpak met visie gastvrij en alert

Documents