aanpak met visie gastvrij en alert
TRANSCRIPT
AANPAK MET VISIEAANPAK MET VISIE
30-06-2015
GASTVRIJ EN ALERT
VU SECURITY OPERATIONS CENTER
1. Voorstellen2. Risicoanalyse of Best Practice3. Informatiebeveiliging op de VU (in vogelvlucht)4. De Surfaudit5. Toch een product……
6. Laatste 5 minuten
AGENDAAGENDA
2 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER3 TOEKOMST MET VISIE
Even voorstellen
VU SECURITY OPERATIONS CENTER
Hans Alfons62 jaar
Gezin:In september 40 jaar getrouwdVader van 2 dochters (met aanhang)Opa van kleindochter en – zoon
Hobby's:Kinderboerderij (30 jaar)Gemeentepolitiek (14 jaar)Informatiebeveiliging ( 7 jaar)
EVEN VOORSTELLENEVEN VOORSTELLEN
4 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLENEVEN VOORSTELLEN
5 TOEKOMST MET VISIE
Ministerie van Defensie (21-05-1973 t/m 31-03-2009)vanaf 1995 informatiebeveiliging:
Expertise Centrum Koninklijke Landmacht. - Projectleider(1200 systemen / 100 kazernes / 300 eenheden)
Staf Legerkorps Projectleider Informatiebeveiliging - Operationele eenheden, Joegoslavië, Irak en Afghanistan
Hoofd Bureau Informatiebeveiliging Koninklijke Landmacht - CISO rol
PENSIOEN
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN; WAARDERINGENEVEN VOORSTELLEN; WAARDERINGEN
6 TOEKOMST MET VISIE
2005 Winnaar Risk Analyse Award
2005 2e Plaats Joop Bautz Award
2009 Lid in de orde van Oranje Nassau
6 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN: MIJN 1E MOTTO ISEVEN VOORSTELLEN: MIJN 1E MOTTO IS
7 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN: MIJN 2E MOTTO ISEVEN VOORSTELLEN: MIJN 2E MOTTO IS
8 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
EVEN VOORSTELLEN: MIJN 3E MOTTO ISEVEN VOORSTELLEN: MIJN 3E MOTTO IS
9 TOEKOMST MET VISIE
bandbreedte
VU SECURITY OPERATIONS CENTER10 TOEKOMST MET VISIE
Risicoanalyse of Best Practice
VU SECURITY OPERATIONS CENTER
Mijn opdracht bij de Koninklijke Landmacht (1998):
1. Voer een risicoanalyse uit per systeem, op iedere kazerne en bij iedere eenheid (operationeel).
2. Implementeer de maatregelen.
3. Laat deze maatregelen auditen.
RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
11 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
fl 34.620.000.000.000RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
12 TOEKOMST MET VISIE
13.000.000 inwoners van 0-100 jaar
+ 1,5 jaar, 24 uur per dag werk
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
13 TOEKOMST MET VISIE
1. Identificatie en authenticatie
Wachtwoordlengte Wachtwoorden moeten zo lang zijn dat ze moeilijk kunnen worden geraden of afgeleid uit de versleutelde vorm.
Wachtwoorden moeten zo lang zijn dat het moeilijk is om ze te ontcijferen.
1.1 Wachtwoorden moeten uit minstens 6 tekens bestaan. LAAG
1.2 Wachtwoorden moeten uit minstens 8 alfanumerieke tekens bestaan, met minstens één letter en één cijfer.
MIDDEN
1.3 Wachtwoorden moeten uit minstens 10 alfanumerieke tekens bestaan, met minstens één letter en één cijfer.
HOOG
ISO 27002 WAT
HOE
VU SECURITY OPERATIONS CENTER
RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
14 TOEKOMST MET VISIE
Module uit KL risicoanalyse en implementatie systeem
VU SECURITY OPERATIONS CENTER
Per maatregel het “Hoe” ingevuld (keuze is de vindplaats)
RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
15 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
Voor ieder van de 27 BIV classificaties is een risicoanalyse uitgevoerd en het resultaat is dat de maatregelenset (ISO 27002) nagenoeg gelijk zijn.
Het verschil wordt gemaakt in de implementatiewijze: “Hoe zwaarder het niveau, hoe zwaarder de maatregel”.
Risico analyses zijn tijdrovend en best practices onmiddellijk uitvoerbaar.
RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
16 TOEKOMST MET VISIE
Conclusie
VU SECURITY OPERATIONS CENTER
Maak gebruik van een best practice (ISO 27002) – het “hoe”
Voeg hier aan toe (in beleidsdocumenten) het “wat”
Laat de instellingen gezamenlijk een basisniveau op “hoe” niveau uitwerken
RISICOANALYSE OF BEST PRACTICERISICOANALYSE OF BEST PRACTICE
17 TOEKOMST MET VISIE
Aanbeveling:
VU SECURITY OPERATIONS CENTER
BEST PRACTICE OP DE VUBEST PRACTICE OP DE VU
18 TOEKOMST MET VISIE
Voorbeeld OTAP beleid:
VU SECURITY OPERATIONS CENTER19 TOEKOMST MET VISIE
Informatiebeveiliging op de VU
VU SECURITY OPERATIONS CENTER
• 6 bedrijven of personen (6 tot 12 maanden werkzaam op de VU)
• Resultaten• Plan van aanpak• Strategisch- en informatiebeveiligingsbeleid
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
20 TOEKOMST MET VISIE
Geschiedenis
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
21 TOEKOMST MET VISIE
• Is gelijk aan de voorgangers.
• ISO 27001 en ISO 27002
• ISMS op basis van PDCA cyclus
• Bewustwording medewerkers en studenten
Mijn visie
Toegevoegd:
• Benaderen als een cultuur veranderingstraject
• Waar wil je heen stip op de horizon
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
22 TOEKOMST MET VISIE
1. Het beïnvloeden van anderen begint bij jezelf.2. De verandering moet leuker zijn dan de huidige situatie
Cultuurverandering
1. Informatiebeveiligingsorganisatie georganiseerd2. IT beveiligen (ik schrijf procedures ………….)
1. Informatiebeveiligingsorganisatie georganiseerd en IT beveiligd2. Instelling beveiligen ( Wij leveren beveiligde diensten………….)
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
23 TOEKOMST MET VISIE
2018 CMM4
2014 CMM3
2017 CMM3
VU SECURITY OPERATIONS CENTER
- op basis van jaarplan en meer jaren begroting- oplossen managementletter aanbevelingen- Privacy (SOC richtsnoer, PO juridisch deel)- Advies en ondersteuning - Kennis delen en halen- Vu breed uitvoeren (SURF) audit
- CISO,- Directeuren diensten of bedrijfsvoering bij faculteiten,- IT operatien, functioneel beheer en projecten,- Fysieke beveiliging
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
24 TOEKOMST MET VISIE
Gekozen werkwijze
VU SECURITY OPERATIONS CENTER
- Integrale beveiligingsaanpak- Security Operations Center (5 fte’n)- proactief CERT- virtueel CERT- CISO verantwoordelijk (directeur IT/CIO)- ISO coördinator (uitvoerende werkzaamheden CISO) - Geen systeem of change operationeel zonder toestemming
CISO- Verantwoordelijkheid daar waar hij thuis hoort.- Besluitvormingsproces documenten risicoacceptatie ingericht- Budget M€ 1,5 per jaar
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
25 TOEKOMST MET VISIE
Wat hebben we bereikt
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
26 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
INFORMATIEBEVEILIGING OP DE …………INFORMATIEBEVEILIGING OP DE …………
27 TOEKOMST MET VISIE
onderdelenBOVU
ISO AD
VBICT BoardCISO
CvB informeert informeert
informeert
adviseert adviseert
ICT business
voorstel
adviseertvoorstel
ter besluit-vorming
informeert
advies
Besluitvormingsproces i.p.v. stuurgroep informatiebeveiliging
VU SECURITY OPERATIONS CENTER28 TOEKOMST MET VISIE
De Surfaudit
VU SECURITY OPERATIONS CENTER
DE SURFAUDITDE SURFAUDIT
29 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
DE SURFAUDITDE SURFAUDIT
30 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
CvB / CISO (29 vragen)
Directeuren Diensten (45 vragen)
Directeuren BV Faculteiten (38 vragen)
Afdelingsmanager IT (56 vragen)
Systemen (51 vragen)
Projecten / onderzoeken (afhankelijk object)
DE SURFAUDITDE SURFAUDIT
31 TOEKOMST MET VISIE
Vragen / maatregelensets
VU SECURITY OPERATIONS CENTER
DE SURFAUDIT MET EIGEN SYSTEEMDE SURFAUDIT MET EIGEN SYSTEEM
32 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER
VU AANPAK – MET EIGEN SYSTEEMVU AANPAK – MET EIGEN SYSTEEM
33 TOEKOMST MET VISIE
VU
ISO27002
SURF- setVolwassenheidsniveauseigen maatregelsetsCBP richtsnoerexterne auditorcloudmaatregelen CSA
dreigingen HO
RISICO’S
systemendataclassificatiePIA
incidenten
beheer impact
man rapportenaudit rapportenverbeterplannenbenchmarkengrafiekenoverzichten
beveiligingsplan
incident Q rappstatus:- risico’s- dreigingen
VU SECURITY OPERATIONS CENTER
VU AANPAK - WENSENVU AANPAK - WENSEN
34 TOEKOMST MET VISIE
SOC
Interne auditdienst
Externe auditor
Directeuren
Systeemeigenaren
Benchmark HO- Surf- Privacy
Dreigingsbeeld HO
Peeraudits
Beheer normenkaders
VU
ISO27002
WEBBASED(pc en tablet)
VU SECURITY OPERATIONS CENTER
- geen product op de markt dat aan de wensen voldeed- werkwijze product volgen -- geen maatwerk- wijzigen door leverancier kosten veel tijd- geen mogelijkheid om eigen onderdelen te vergelijken- geen eigen maatregelsets kunnen maken- maatregelsets lastig aan te passen- soms functioneel beheer in buitenland- langdurige implementatie trajecten- niet uit te breiden met incidentbeheer- complex- duur
VU AANPAK - WAAROM EIGEN SYSTEEMVU AANPAK - WAAROM EIGEN SYSTEEM
35 TOEKOMST MET VISIE
VU SECURITY OPERATIONS CENTER36 TOEKOMST MET VISIE
Toch een product……….
37 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
38 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
39 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
40 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
41 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
42 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
c
43 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
de maatregel
44 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Audit
c
45 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Audit
46 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Audit
c
47 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
48 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen directeur 1e grafiek – CMM per hoofdstuk
1
2
3
4
5
1
2
4
5
1
2
3
4
5
49 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen directeur 2e grafiek – Benchmark instelling
50 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen directeur 3e grafiek – gemiddeld CMM per hoofdstuk
51 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2012 2013 2014 2015
Gem
idde
ld C
MM
Jaar
Gemiddeld CMM per jaar
Constateringen directeur 4e grafiek – gemiddeld CMM per jaar
52 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
DE INSTELLINGEN
53 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 1e grafiek – dreigingsniveau
54 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 2e grafiek – gemiddeld CMM, per hoofdstuk, per jaar
55 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 3e grafiek – dreigingen per CMM niveau
56 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 3e grafiek – drill down
57 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 3e grafiek – drill down
58 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 3e grafiek – drill down
59 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Constateringen Instelling 3e grafiek – drill down
VU SECURITY OPERATIONS CENTER60 TOEKOMST MET VISIE
Laatste 5 minuten
VU SECURITY OPERATIONS CENTER
VU AANPAK - WENSENVU AANPAK - WENSEN
61 TOEKOMST MET VISIE
SOC
Interne auditdienst
Externe auditor
Directeuren
Systeemeigenaren
Dreigingsbeeld HO
Benchmark HO- Surf- Privacy
Peeraudits
Beheer normenkaders
VU
ISO27002
WEBBASED(pc en tablet)
62 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Beheer normenkaders
VU SECURITY OPERATIONS CENTER63 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Vrije Universiteit Amsterdam
Eventueleandere
Universiteiten
Smile voor informatiebeveiliging Smile koppelvlak
Benchmark structuur
SURFDatabase
Peeraudits
VU SECURITY OPERATIONS CENTER
Benchmark settings
Universiteiten geven zelf aan:
- Of ze data willen oversturen
- Welke data ze willen oversturen
- Hoe ze data willen oversturen- Webservices (WDDX, JSON)- Email (XML)- Excel (CSV, XLS(X))- SQL- …
64 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
VU SECURITY OPERATIONS CENTER
Benchmark rapportages
- Real-time
- Diverse output formats:- PDF of Word documenten- E-mails - CockPIT
65 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
VU SECURITY OPERATIONS CENTER
Benchmark CockPIT (Dreigingsbeeld)
66 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
VU SECURITY OPERATIONS CENTER67 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
VU SECURITY OPERATIONS CENTER68 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
VU SECURITY OPERATIONS CENTER69 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
VU SECURITY OPERATIONS CENTER70 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
VU SECURITY OPERATIONS CENTER71 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Benchmark CockPIT (Dreigingsbeeld)
VU SECURITY OPERATIONS CENTER
Graag betrekken we jullie bij onze benchmark ideeën!
- Het Nieuwe Auditen inzetten voor Informatiebeveiliging: - dinsdag 6 oktober 2015
- Kijk op: http://www.smile.nl/informatiebeveiliging
72 TOEKOMST MET VISIE
VRIJE UNIVERSITEIT - SECURITY MANAGAMENT PROGRAMMA
Dialoogcafe