5. 5
PS/JV/VU
MRT/2010
IRM & Security Management
Organisatorische ophanging
• Volgende ophangingsmogelijkheden komen voor:
– Onderdeel Risico Management
– Integrale veiligheid
– Onder ICT
• Ophanging buiten ICT wenselijk maar niet
gebruikelijk.
• Directe rapportagelijn altijd buiten ICT
noodzakelijk
6. 6
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Chief information security officer
• Organisatiebreed
• Primaire taak is beleidsvorming
• Richt zich op “ wat”
• Uniforme / organisatiebrede trajecten.
7. 7
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Information Security Architect
• Primaire taak is onderhouden
informatiebeveiligingsarchitectuur
• Richt zich op “hoe” op hoogste abstractieniveau.
• Efficiency en haalbaarheid oplossingen
• Veelal ook als controlling architect betrokken bij
realisatietrajecten
8. 8
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Information Security Officer
• Onderdeel van Business organisatie
• Normstellend voor ICT applicaties
• Functioneel van aard
• Naleving in businessprocessen
• Naleving gebruikersorganisatie
9. 9
PS/JV/VU
MRT/2010
IRM & Security Management
Functies: Information Security Manager
• Onderdeel ICT organisatie
• Sturend op informatiebeveiliging voor gehele ICT
organisatie
• Naleving ICT applicaties
• Normstellend ICT infrastructuur
• Naleving ICT organisatie
• Technisch van aard
• Functionele sturing op
Informatiebeveiligingsspecialisten
• Integrale risicobeheersing => onderdeel taken
risicomanager
10. 10
PS/JV/VU
MRT/2010
IRM & Security Management
Information Security Specialist
• Onderdeel van lijnorganisatie
• Primaire focus is naleving in ICT producten en
processen.
• Veelal een rol (niet full time)
• Specialisatie is deels betrekking op beveiliging en
deels op aandachtsgebied waar werkzaam.
14. 14
PS/JV/VU
MRT/2010
IRM & Security Management
Relatie met Compliance (officer) :
• Compliance =
Het voldoen aan wet- en regelgeving,
of het proces om daar (terug) te komen
• Wetten, regelgeving, regulators – Security
• SOx enzo, zucht
• WCC II (Computervredebreuk..?)
• Privacy
• Bewaarplicht
• Auteursrecht, licenties, …
• Sectorspecifiek (ROB/ROC-WTK, Basel-II, Mifid, …)
• Vage regels, harde boetes (tsja, juristen…)
15. 15
PS/JV/VU
MRT/2010
IRM & Security Management
Compliance – IT-security
• Regels: zie vorige
• Impact op IT-security: Afhankelijk van scope
• IT, operationeel gericht: Weinig merkbaar
• IT, geïntegreerd met ‘de business’: Alles anders
• Wet- en regelgeving komt uit kokers ‘zonder’
begrip van dagelijkse IT-werkelijkheid
• Technisch/economisch onmogelijk, onhaalbaar
(NB: Soms smoesje! Zie webverkeersgegevens)
• In 1 regeltje mogelijk veel impact óf
• Veel regeltjes, gaat nergens over
• Goed Huisvaderschap versus Fort Knox
16. 16
PS/JV/VU
MRT/2010
IRM & Security Management
Compliance -- standaard
• Afdwingen van Management Control Cycle
• Nadruk op proces en rapportage
• Doel is aantoonbare volledigheid => Omissies
worden zichtbaar zodat ze opgelost kunnen worden
• Gevaar van aandacht voor administratieproces ten
koste van risicoreductie.
17. 17
PS/JV/VU
MRT/2010
IRM & Security Management
Informatiebeveiligingsplan
• Jaarlijks beveiligingsplan als basis PDCA
cyclus.
• Middel om beveiliging bespreekbaar te
maken.
• Jaarlijkse toets van organisatie aan beleid.
• Bevat veelal:
– Terugblik op vorig jaar
– Trends en risicoontwikkelingen
– Bijgesteld Risicoprofiel
– Bijgestelde Risk Appetite
– Informatiebeveiligingsactiviteiten komend jaar
– Schets beveiligingsorganisatie
• Is basis voor voortgangsrapportage (check)
18. 18
PS/JV/VU
MRT/2010
IRM & Security Management
Risicoprofiel
• Welk risicokader is relevant voor de bedrijfstak
• Welke risico’s zijn relevant voor het bedrijf
• Welke risico’s zijn relevant voor bedrijfsonderdeel
gegeven haar rol in bedrijf.
19. 19
PS/JV/VU
MRT/2010
IRM & Security Management
Risk Appetite
• Het beeld (op hoog abstractieniveau) van de
risicobereidheid van het bedrijfsonderdeel
• Wordt gebruik bij besluitvorming inzake
risicobeheersing
• Is instrument voor manager (niet voor werkvloer)
• Eventueel ondersteund door Riskboard.
• Gelijk voor heel het bedrijfsonderdeel. Geen
vertaling per afdeling
20. 20
PS/JV/VU
MRT/2010
IRM & Security Management
2. ITIL Security Management
• Laatkomer in de ITIL-reeks
• Nederlands product
• No nonsense, KISS
• … hoewel: alleen hoofdlijnen
• Best Practice is ook maar
een mening
21. 21
PS/JV/VU
MRT/2010
IRM & Security Management
Plaatje
PLAN:
• Service level agreement
• Underpinning contracts
• Operational Level agreements
• Policy statements
PLAN:
• Service level agreement
• Underpinning contracts
• Operational Level agreements
• Policy statements
IMPLEMENT:
• Create awareness
• Classification & registration
• Personnel security
• Physical security
• Security management computers,
networks, applications ...
• Control & management of access
rights
• Security incident handling,
registration
• … (in fact: this is ISO/IEC 17799)
IMPLEMENT:
• Create awareness
• Classification & registration
• Personnel security
• Physical security
• Security management computers,
networks, applications ...
• Control & management of access
rights
• Security incident handling,
registration
• … (in fact: this is ISO/IEC 17799)
CONTROL:
• Get organised
• Establish management
framework
• Allocate
responsibilities
CONTROL:
• Get organised
• Establish management
framework
• Allocate
responsibilitiesEVALUATE:
• Internal audits
• External audits
• Self assessments
• Security incidents
EVALUATE:
• Internal audits
• External audits
• Self assessments
• Security incidents
REPORT
• conform SLA
REPORT
• conform SLA
MAINTENANCE:
• Learn
• Improve
• plan
• implementation
MAINTENANCE:
• Learn
• Improve
• plan
• implementation
Service Level Agreement / Security section
• agreed between customer and provider
Service Level Agreement / Security section
• agreed between customer and provider
IT SERVICE PROVIDER implements
Security Management to comply with SLA
CUSTOMER defines requirements
based on business needs
ITIL security management
SECURITY
23. 23
PS/JV/VU
MRT/2010
IRM & Security Management
Omgang met incidenten
Waarom incidentbeheer:
• Schade minimaliseren
• Incidenten zijn indicatoren voor falende of
ontbrekende maatregelen
• Bijsturen beveiliging
Problemen:
• Volume van incidenten (incident versus problem)
• Bijna schades vs schades
• Schade minimaliseren vs fraudeur pakken
24. 24
PS/JV/VU
MRT/2010
IRM & Security Management
Incidentbeheer
• Labeling van alle incidenten is gewenst.
• Periodieke trendanalyse op gelabelde “kleine
incidenten”
• Ernstige verstoringen op beveiliging analyseren.
• Bij fraude: managementbeslissing tussen schade
minimaliseren en dader pakken, voor de zekerheid
gegevens veiligstellen.
25. 25
PS/JV/VU
MRT/2010
IRM & Security Management
Computer Emergency Response Team
• Waarschuwingen over kwetsbaarheden van
verschillende bronnen.
• Urgentie en betrouwbaarheid niet altijd duidelijk.
• Snelheid patchen afhankelijk van urgentie
• Uniformiteit in patchmanagement wenselijk
• Waarschuwingsdienst centraliseren = CERT
• Inkopen mogelijk
• Generiek (platformen etc) of branche gerelateerde
info.
26. 26
PS/JV/VU
MRT/2010
IRM & Security Management
Security Operations Center
Diverse uitvoerende beveiligingstaken:
• Event monitoring
• Coordinate Patch-proces
• Vulnerability scanning
• Key Management
• Autorisatiebeheer
• Beheer firewall rules
=> Bundeling (enkele van) deze taken in SOC kan
volume creëren voor nette processen en bezetting
met hoge beschikbaarheid
27. 27
PS/JV/VU
MRT/2010
IRM & Security Management
Autorisatiebeheer: Rol based access control
• Relatie gebruiker (n) – applicatiefunctie (m)
• Aantal autorisaties = n*m
• Role based access control:
• Gebruiker (n) – rol (x) – applicatiefunctie (m)
• Aantal autorisaties = n * x + x * m
28. 28
PS/JV/VU
MRT/2010
IRM & Security Management
Autorisatiebeheer: Identity Management
Veel applicaties eigen gebruikers en
autorisatiebeheer:
• Volume onbeheersbaar en inefficient
• Slecht beheer
Identity management
• Enkelvoudige opslag van identiteiten en
autorisaties (b.v. rollen).
• Nette procedures (koppeling HR etc)
29. 29
PS/JV/VU
MRT/2010
IRM & Security Management
ORM & IRM
• IRM is onderdeel ORM
• Gestructureerde IRM heeft vaak langere historie
– ORM profiteert van IRM
• ORM heeft aandacht en aansluiting businessdoelen
– IRM profiteert van ORM
• Processen samenvoegen uit efficiency:
– Omgang met incidenten en schades
– Risico analyses en acceptatie
– Voortgangsbewaking
• Integraal risicomanagement = ORM, IRM en BCM
gecombineerd
30. 30
PS/JV/VU
MRT/2010
IRM & Security Management
Samenwerking lijn en staf
Verantwoordelijkheid en merendeel uitvoering is in
de lijn maar specialistische deskundigheid vaak in
staf.
• Verantwoordelijkheden duidelijk uitschrijven
(ACP)
• Afwijkingen en voorbereiden besluitvorming in
Risk Board
37. 37
PS/JV/VU
MRT/2010
IRM & Security Management
Samenhang II
I&A-middelen
• User-ID per
doelsysteem
• Wachtwoord
• Token
• Certificaat etc.
Aanvraag voor nieuw
of mutatie
Toestemming
Distributie naar
personen of systemen
Mutaties op personen
en functies
Verificatie blijvende
actualiteit en integriteit
Nee
Deelproces 1: I&A-middelen
Gebruiker Bedrijfsvoering
Centraal
Distributie naar
harde middelen zoals
tokens en apparatuur
Ja
Logging
Deelproces 2: Identiteitcontrole en connectie
Aanvraag voor
toegang tot user-ID
Gebruiker of systeem
Active
Directory
Doelsysteem
Veilig pad
Validatie
I&A-middelen
• Lokaal
Distributie naar decentraal
Functies
Nee
Autorisaties binnen
systeem
Autorisatie tot gebruik user-ID?
Ja
Logging Logging
• Aanmaken
• Actualiseren
• Muteren
• Verwijderen
44. 44
PS/JV/VU
MRT/2010
IRM & Security Management
Afsluiting: Identity = ?
• Een stukje abstracter…
• Wat is identiteit?
• Tijdgebonden
Wie lijkt er nog op zijn/haar paspoortfoto?
Van 9 tot 5 of Het Nieuwe Werken ..? →
• → Situatiegebonden
• Reputatie, moral hazard, herstel na boetedoening ..?
• Bootstrappen of marge van onzekerheid ..?
45. 45
PS/JV/VU
MRT/2010
IRM & Security Management
3. Classificatie als instrument voor Security management
Classificatie:
• Waarom classificatie
• Vormen van classificatie
• Classificatie in beveiligingsbeleid
• Classificatie van toepassingen
• Classificatie van infrastructuur
46. 46
PS/JV/VU
MRT/2010
IRM & Security Management
Waarom Classificatie
Probleem:
• Business moet leidend zijn bij beveiliging
• Business moet norm stellen
• Business heeft geen kennis van
beveiliging(smaatregelen)
• Beveiligingsnorm moet eenduidig zijn
Classificatie als instrument om business eenduidig
de norm te laten bepalen.
47. 47
PS/JV/VU
MRT/2010
IRM & Security Management
Vormen van classificatie
Op basis waarvan classificeer je:
• Aard van de gegevens
• Business impact van de bedrijfsprocessen
Wat label je:
• Data(stromen)
• Documenten
• Applicaties
• Bedrijfsprocessen
• ICT producten
48. 48
PS/JV/VU
MRT/2010
IRM & Security Management
Identificatie verantwoordelijken
Classificatie
Risico analyse
Vaststellen maatregelset
Implementatie
BIV-code
concept maatregelset
definitieve maatregelset
Omgaan met incidenten en afwijkingen
taktische&operationelestandaarden
Classificatie in strategie
49. 49
PS/JV/VU
MRT/2010
IRM & Security Management
6.3 De authenticatie dient in
overeenstem m ing te zijn
m et de classificatie.
1. Er kan worden vastgesteld dat de herkomst
van de sessie afkom stig is van een
netwerkdom ein behorende bij de
Rabobankgroep.
- 1 1
2. De identiteit van de individuele gebruiker
wordt vastgesteld door controle van een
geheim (statisch) wachtwoord
- 2 2
3. De identiteit van de individuele gebruiker
wordt vastgesteld door controle van een
m iddels sterke authenticatie gegenereerde
eenm alig geldige code. (b.v.
tijdsafhankelijke code of “challenge
response” op basis van encryptie.)
- 3 3
B I V
Classificatie in standaarden
50. 50
PS/JV/VU
MRT/2010
IRM & Security Management
De commercieel verantwoordelijke van het product of de
dienst:
• Specificeert de norm in de vorm van classificatie (BIV-
code)
• Is opdrachtgever risico analyse
• Accepteert restrisico’s en stelt maatregelenset vast
• Faciliteert (betaalt) implementatie maatregelen
Indien risico’s de reikwijdte van de commercieel
verantwoordelijke overstijgen is afstemming
noodzakelijk.
Identificatie verantwoordelijken
51. 51
PS/JV/VU
MRT/2010
IRM & Security Management
De ICT dienstverlener:
• Implementeert maatregelen uit risicoanalyse in
applicaties
• Informeert business eigenaar over omissies in
maatregelen
• Classificeert standaard ICT producten
• Implementeert maatregelen in standaard ICT
producten.
Identificatie verantwoordelijken
52. 52
PS/JV/VU
MRT/2010
IRM & Security Management
BIV-code: specificatie van vereiste
beveiligingsniveau
Laag Midden Hoog
Beschikbaarheid 1 2 3
Integriteit 1 2 3
Vertrouwelijkheid 1 2 3
Door middel van Business Impact Analyse
eenduidige
Classificatie
53. 53
PS/JV/VU
MRT/2010
IRM & Security Management
Bepaal soort gegevens en belang applicatie
B: Maximale uitvalsduur in geval calamiteiten en
storingen
I : Noodzakelijke volledigheid, juistheid en
onweerlegbaarheid, kans op /belang bij inbreuk.
V: Imagoschade of aansprakelijkheid bij
onbedoelde onthulling, kans op/belang bij inbreuk
Classificatie criteria
56. 56
PS/JV/VU
MRT/2010
IRM & Security Management
Risicoanalyse proces: Uitvoering
7
Normen check
Risico's volledig
afgedekt?
8
Uitgebreide risico analyse
9
Maatregelen analyse
10
Maatregelen
selectie
11
Maatregelen
beschrijving
12
Restrisico bepaling
13
Risico strategie
bepaling
Start
Naar afsluiting
Ja
Nee
Rule Based
Normenkader
beschikbaar?
Ja
Nee
14
Kwaliteitscontrole
Akkoord?
Naar eerdere fase ...
Nee
Ja
57. 57
PS/JV/VU
MRT/2010
IRM & Security Management
Risico Analyse
• BIV-code is basis voor risicoanalyse
• Risicoanalyse vertaalt BIV-code naar
maatregelen.
• Primair kijken naar beschikbare standaarden
• Secundair analyse van bedreigingen die niet
door standaarden worden afgedekt en analyse
compenserende maatregelen
• Risico analyse bevat maatregelpakket en
restrisico’s
58. 58
PS/JV/VU
MRT/2010
IRM & Security Management
Alternatief voor kwantitatieve risico analyse
• Kwantiatief:
• Annualized Rate of Occurrence, ARO = Kans
• Single Loss Expectancy, SLE = Schade per keer
• Annual Loss Expectancy = Schade per jaar
• ARO x SLE = ALE = max budget maatregelen?
• Maar:
• Waarden zijn vaag => uitkomst is erg vaag
• Classificatie kan helpen eenduidigheid te behouden
zonder foutgevoeligheid als gevolg van
vermenigvuldiging vage waarden
59. 59
PS/JV/VU
MRT/2010
IRM & Security Management
Doelen:
• Expliciet vaststellen (te implementeren) maatregelset
• Accepteren restrisico door opdrachtgever en
eventueel andere partijen die “risico lopen”
• Informeren van hoger echelon ter toetsing van de
acceptatie
• Zorgt ervoor dat lijnafdelingen
verantwoordelijkheid voelen en dragen.
• Verlenen “decharge” aan projectleider en security
manager.
Vaststellen maatregelset
60. 60
PS/JV/VU
MRT/2010
IRM & Security Management
Implementatie
• Fase waarbij er in principe geen wijzigingen
optreden in functioneel maatregelpakket:
• Technisch ontwerp
• Coderen
• Testen
• Inrichten infrastructuur
• Wel terugkoppeling (iteratie) indien maatregelen niet
haalbaar blijken.
• Testen van effectiviteit beveiliging in testfase.
• Testen van werking maatregelpakket
• Testen op bekende kwetsbaarheden (pen.test vuln.scan)
61. 61
PS/JV/VU
MRT/2010
IRM & Security Management
Classficatie van infrastructuur
• Infrastructuur bestaat uit standaard producten met standaard
beveiliging
• ICT Productmanager bepaalt classificatie van ICT product op
basis van:
• Gewenste beveiliging door (merendeel van) afnemers
• Verkoopbare prijs voor product.
• Applicatieeigenaar toetst of Classificatie van standaard ICT
componenten voldoende is om applicatieclassificatie te halen.
Zo niet:
• Applicatieve maatregelen
• Maatwerk infrastructuur
63. 63
PS/JV/VU
MRT/2010
IRM & Security Management
Leerpunten
• Classificatie gaat pas leven als:
• Duidelijk is hoe verschillende classificaties leiden tot
verschillende maatregelpakketten.
• Iedereen erom vraagt, dus verankeren in
systeemontwikkelings en projectmethodieken.
• Standaard ICT producten ook geclassificeerd zijn.
• Dankzij classificatie ook wel eens duidelijk wordt dat
maatregelen niet nodig zijn (en het dus goedkoper kan)
64. 64
PS/JV/VU
MRT/2010
IRM & Security Management
Slot classificatie
• Consistent inzetten van classificatie zorgt ervoor
dat veel beveiligingsvraagstukken gewoon “ af te
lezen zijn”:
• Voor 80% van de beveiligingsvraagstukken hoef je
dus niet meer “na te denken” en heb je minder
“administratieve last” .
• Die 80% is (deels) uit te voeren door niet-specialisten.
• Schaarse tijd besteden aan spannende 20 %
65. 65
PS/JV/VU
MRT/2010
IRM & Security Management
Classificatie en auditor
• Classificatie zorgt ervoor dat beveiligingsnorm
eenduidig gespecificeert wordt.
• Beveiligingsstandaarden bieden gedetailleerde
vertaling naar maatregelen. ( toetsingsnorm )
• Biedt instrument om bevindingen te kunnen
bespreken met hogere echelons zonder technisch
jargon.
66. 66
PS/JV/VU
MRT/2010
IRM & Security Management
Beleid in de lijn
• Abstractiniveau 27001 is vaak te hoog voor
eenduidigheid voor de lijn.
• 27001 controls toewijzen aan lijnafdelingen.
• Lijn moet zelf een vertaling doen naar details zoals
parameters, systeeminstellingen en dergelijke.
• Volume van vertaling (= parameterlijsten etc) is
gigantisch, noodzaak voor:
• Geautomatiseerde configuratie
• Geautomatiseerde toetsing
67. 67
PS/JV/VU
MRT/2010
IRM & Security Management
Geautomatiseerde configuratie
• Vroeger vaak platformstandaarden opgesteld door
bedrijven.
• Nu komen platformstandaarden vaak mee als
onderdeel van systemen.
• Onderhoud bij leverancier = specialist
• Beheerprogrammatuur kan direct de norm toepassen
• De “ afnemer” maakt soms selecties en bekrachtigd
leveranciersnorm als standaard.
68. 68
PS/JV/VU
MRT/2010
IRM & Security Management
Geautomatiseerde toetsing
• Op detailniveau parameters zijn een paar
afwijkingen vaak nodig.
• Toetsingssysteem moet om kunnen gaan met
afwijkingen:
• Geautomatiseerde systemen of scripts voor toetsing.
• Afwijkingen detecteren.
• Afwijkingen accorderen.
• Daarna geaccordeerde afwijkingen als
systeemspecifieke toetsingsnorm.
69. 69
PS/JV/VU
MRT/2010
IRM & Security Management
Slot risk organisation & risk analysis
• Enisa heeft veel info over het onderwerp:
• http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory/rm-process/risk-assessment/
71. 71
PS/JV/VU
MRT/2010
IRM & Security Management
Traditioneel gescheiden werelden
• (Fysieke) Beveiliging v.v. IT Security
• Operational Risk Management
• Business Continuity Management
• Ieder een eigen silo
Fre
quen
tie
Schade
Opera
tio
nele
ver
liezen
Beveiligings-
incidenten
Continuïteitsbedreigingen
Veel kleine foutjes; gemakkelijk herstelbaar
of insignificant
Materiële (significante) schade; komt met enige
regelmaat voor (maar is geen ‘routine’)
Break-the-business incidenten;
organisatie overleeft klap niet
73. 73
PS/JV/VU
MRT/2010
IRM & Security Management
Ingewikkeld - II
• Threats, vulnerabilities, controls van de soorten
• People (extern, intern)
• Materials
(Input, Output = products)
• Real Estate
• Process
• Money
• Information
• Mensen, Apparatuur,
Programmatuur,
Gegevens, Organisatie,
Omgeving, Diensten (MAPGOOD)
Fre
quen
tie
Schade
Opera
Tio
nele
ver
liezen
Beveiligings-
incidenten
Continuïteitsbedreigingen
Veel kleine foutjes; gemakkelijk herstelbaar
of insignificant
Materiële (significante) schade; komt met
enige regelmaat voor (maar is geen ‘routine’)
Break-the-business inci-denten;
organisatie over-leeft klap niet
74. 74
PS/JV/VU
MRT/2010
IRM & Security Management
Integratie (Convergentie)
• Organisatie:
• Naar elkaar toe → aan elkaar → in elkaar migreren
• Strategisch, tactisch, operationeel niveau
• Fysieke beveiliging, fraude-onderzoek, Infosec (zie BAH-onderzoek)
• Volwassenheid:
0: Alles ad hoc
1: IT-security en fysieke beveiliging (en BCM en …) in silo’s
2: Kennismaking, overleg en samenwerking op operationeel gebied
(bijvoorbeeld fraude-onderzoek)
3: Aan elkaar ritsen (overlap en gaten voorkomen); overleg over projecten
4: Tactische projecten samen doen, overleg over strategie, aparte reporting
5: Geïntegreerde organisatie (in elkaar geritst)
75. 75
PS/JV/VU
MRT/2010
IRM & Security Management
ERM/ORM/IRM als business
• Integrated security, de ‘harde’ kant van ORM
• Maar ORM, de onbegrepen kant van COSO
• Security business cases blijven moeilijk:
• Als het goed is, is er niks te merken van verkregen security ..?
• Opbrengsten vaag, maar kosten ook
• Metrics: Zijn er niet. Te slecht gedefinieerd.
• Nodig: Metrics en trendanalyses.
Operationeel, tactisch, strategisch
• Zou BAU moeten zijn (reporting)
• Aansluitend op Key Risk Indicators etc. binnen ORM!
(maar: begrip en/of inzicht van elkaars terreinen ??)
• Grote samenkomst van alle ERM-functies …? Dromen …
76. 76
PS/JV/VU
MRT/2010
IRM & Security Management
Voorbeelden
• Voorbeelden (nu populair):
• Integrated access = 1 pasje voor fysieke en logische toegang
• Whistleblowing-systeem
• Forensisch onderzoek
• Beveiliging portable media (laptop, tapes, USB, PDA)
• Tegengaan Information leakage via shoulder surfen, loslippigheid
(stoer!), casual mail
• Nogmaals: Let op (f)actoren kunnen zowel kwetsbaarheid als
bedreiging vormen! Voorbeeld: personeelsbeveiliging
• Beveiliging van personeel
• Beveiliging tégen personeel (screenen -- herhalen);
denk aan functieclassificatie ->
IT’ers en dan zeker IT-security staff en, nog erger, IT-auditors ?
• Wat te doen met externen … outsourcing van IT?
77. 77
PS/JV/VU
MRT/2010
IRM & Security Management
IT Fraude/forensics
• Fraude door IT (personeel)
• Fraude door inzet IT hulpmiddelen
• Fraude door aanval IT processen
• IT forensics
78. 78
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude en forensics
• IT als belangrijk(st)e informatiemedium →
• IT als belangrijkste kwetsbaarheid én bedreiging →
• IT als belangrijkste onderzoeksterrein
• IT als belangrijkste terrein voor controls
• ‘Security’ en forensisch werk sterk gerelateerd
maar pas op: forensics zijn specialisme
79. 79
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude: Oude wijn
• Been there, done that; slechts
definitiekwestie
plus paar nieuwe technieken
• Maar hoe effectief waren we
(..!) eigenlijk?
81. 81
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude, een Inleiding
• Fraude = een vorm van
• Bedrog (een derde ontdaan van geld / waardevolle goederen)
• Met betrekking tot (wettelijke) controles
• Externe fraude = door externen gepleegd
• Interne fraude = …
• Mediawaarde neemt toe (fraude of reputatie?)
• Bedrijfsspionage of Information Leakage
84. 84
PS/JV/VU
MRT/2010
IRM & Security Management
Fraudedriehoek - II
• Gelegenheid
• Degenen met functioneel hun vingers aan het geld
• … allen die zich in zo’n positie kunnen manoeuvreren
→ IT’ers, IT-security, IT-audit…
• Druk
• Positief: Bij groep willen horen, schulden,
targets moeten halen (of anders..)
• Negatief: Afpersing, bedreiging (familie)
• Rationalisering: Stillen van het geweten
• Ik heb het verdiend
• De rest doet het ook
• … veronderstelt dat de dader een geweten heeft of een moraal die
dezelfde is als de onze
85. 85
PS/JV/VU
MRT/2010
IRM & Security Management
Technische ontwikkelingen; gelegenheid…
• RFID, smartcardtechnologie
• Web 2.0 (MySpace, Flickr, Google Earth, Ajax),
Ubiquitous Computing, Ambient Intelligence
• Identificatie en Authenticatie
• ID-theft
• (Social engineering)
• Man-in-the-Middle (trojans)
• Autorisatie
• Zoals geïmplementeerd, en/of
• Zoals bedoeld door wetgever ..?
• Integriteit van verwerking?
• Zero-day verandering in wetgeving; software netjes getest?
• De-perimetrisatie →
• Keten van verwerking
88. 88
PS/JV/VU
MRT/2010
IRM & Security Management
Steeds vaker beide
Bron: De Telegraaf, 28 september 2004, p. 11
GLAZENWASSERS BETRAPT BIJ INBRAAK IN COMPUTER ING
• Twee glazenwassers hebben geprobeerd op een buitengewoon
doortrapte manier ING te beroven. Gezien hun werk konden zij
overal rondlopen. Zij drongen door tot een centrale
computerruimte en plaatsten daar een kastje onder de computer.
Hiermee konden zij zowel informatie aftappen als valse informatie
invoeren.
• Het apparaat was onder andere in staat te achterhalen wat er op de
toetsenborden werd ingetypt, inclusief wachtwoorden. Vervolgens
werden die gegevens via een zendertje naar buiten gestuurd.
• Een bewakingscamera zag de glazenwassers, waardoor zij tegen de
lamp liepen. Hen wordt poging tot oplichting en onbevoegd
binnendringen in de computerruimte en computer ten laste gelegd.
91. 91
PS/JV/VU
MRT/2010
IRM & Security Management
Oplossingen
• More of the same ..!
• Plus een béétje
techniek
• Biometrie
• Encryptie rond data-elementen
• Tegen voornoemde problemen
• Identificatie, authenticatie
• Wegnemen factor uit driehoek: gelegenheid
• Helpt het? (… trojans)
• Maar autorisatie, integriteit van verwerking..?
92. 92
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude (extern)
• Wapenwedloop, ongelijke strijd
• Aantal, ID, localiteit (if any…) tegenstanders
• Aantal kwetsbaarheden
• Soms ‘onbeperkt’ tijd, geld
• Soms middel/doel immoreel (volgens ‘ons’)
• Defensief; terugslaan is immoreel / resultaat ..?
• Dus:
• Focus op controls in de processen:
Gelegenheid inperken
• ‘Forensics’ door anderen:
Audit is geen politiedienst (surveillance)?
93. 93
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude (intern)
• Kan wel, ‘in-house’ en organisatie versus eenling (?)
• (Maar let alsnog op moraliteit van defensie)
• Gelegenheid: Controls! Proces- en IT-gericht
• Dual control, etc…. Klassieke AO
• Controls in IT (klassieke AO implementeren; hw, sw)
• General IT controls
• Controls zijn niet perfect… fraudeurs zijn creatief
(samenspanning?)
• Audit! Waaronder stukje surveillance…
94. 94
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude (intern) - vervolg
• Druk: Ook controls, op personeel… zorg
• Screening → regelmatig
• Opvang; ook whistleblowing (anoniem vs. zwartmaken?)
• Exit
• Voorkom negatieve prikkels (w.o. targets…)
• Kán (IT-)audit wel vragen stellen? (uitlokking vs.
verdachtmaking?)
• Rationalisering: Ook controls, op personeel…
• ‘Tone at the top’ en publieke waardering / afkeuring
• Ook voor/door algehele moraal binnen organisatie
95. 95
PS/JV/VU
MRT/2010
IRM & Security Management
Tegengaan fraude – IT-middelen
• CAATs
• ‘It’s five o’clock; do you know where your data is?
→ Denk vanuit informatie!
• Processen, ‘systeem’ in brede zin
• Architectuur
• Deperimetrisatie, ketens…
• Beschikbaar stellen (faciliteren) veilig gebruik
• Secure telewerken
• Secure USB / PDA
• Mail screeners tegen information leakage
• Continuous Monitoring (!) / Auditing
98. 98
PS/JV/VU
MRT/2010
IRM & Security Management
Fraude en forensics
• Weest voorzichtig!
• (Herhaald) IT als belangrijkste onderzoeksterrein
• Ook al vanwege ‘pervasive’ IT → Spoorzoeken in IT
• Wet- en regelgeving dwingt tot voorzichtig werken
• Maar het grijze gebied is zeer groot ..!
• (Afwezig? Politie)
• Het zal nooit weggaan
• Be alert
100. 100
PS/JV/VU
MRT/2010
IRM & Security Management
Soorten outsourcing
• Wat outsourcen:
• Beheer
• Systeemontwikkeling
• Business Process
• ASP
• Etc
• Outsourcing van regie of niet
• Wel of geen (productie)gegevens
• Verantwoordelijkheid voor risicobeheersing kan
niet geoutsourced worden
101. 101
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Voorbereiding
• Brede risico analyse (incl inf bev risico’s) als
onderdeel van het hele traject
• Vroegtijdig starten met
• generieke risico’s verbonden aan outsourcing
• indentificatie van relevante regelgeving
• Verstrekken van relevante eisen aan potentiele partners
• Vroegtijdige start zorgt ervoor dat beveiligingskosten
nog meegenomen kunnen worden in businesscase
• Vroegtijdige start zorgt voor risico-awareness bij
betrokkenen
102. 102
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Risicoinventarisatie
• Risico’s van bedrijfsproces
• Afhankelijkheid bedrijfsprocessen
• Eisen vooraf voldoende helder
• Risico’s van partner / opdrachtnemer
• Locatie opdrachtnemer
• TPM / SAS70 ?
• Vergelijkbaar beleid (ISO 27001)
• Risico’s van outsouringsproces
• Onvoldoende zeggenschap over personeel
• Onvoldoende motivatie
• Minder mogelijkheid tot iteratie van beveiligingseisen
103. 103
PS/JV/VU
MRT/2010
IRM & Security Management
Selectie outsourcing partner
• Bij RFI reeds openheid over spelregels
• Opdrachtgever geeft aan wat essentiele spelregels zijn
• Opdrachtnemer geeft aan of compliance mogelijk is
• Bij RFP verklaart opdrachtnemer hoe omgegaan
wordt met spelregels
• Realiteit: spelregels zijn meestal geen breekpunt
maar bespreking in selectiefase vergemakkelijkt
vervolgtraject
104. 104
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: het contract
• Contract veelal op hoog abstractieniveau. => geen
gedetailleerde spelregels
• Wel verwijzingen mogelijk
• Detailniveau afhankelijk van aard uitbestede dienst
• Afspraken over nieuwe spelregels
• Afspraken over hoe om te gaan met non-compliance
105. 105
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Management en operations
• Hoe is de samenwerking
• mate van vertrouwen
• wederzijds belang bij succes
• duidelijkheid in verwachtingenpatroon
• Taken en verantwoordelijkheden
• Incidentbeheer
• Openheid om compenserende maatregelen mogelijk te
maken (geen afrekencultuur)
• Monitoring
• Rapportage over functioneren maatregelpakket
• Werking AO/IC binnen opdrachtnemer
106. 106
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: Omgang met veranderingen
• Outsourcingsdeals zijn lange termijn afspraken
• Zowel opdrachtgever als opdrachtnemer veranderen
• Dienstverlening verandert
• Niet elk detail is te overzien
• Afspraken over veranderingen
• In contract
• In periodieke bijstelling
• Exit strategie?
107. 107
PS/JV/VU
MRT/2010
IRM & Security Management
Offshoring: Corruption Perception Index 2004
Rang Land Index
1 Finland 9.7
10 Nederland 8.7
17 USA 7.5 (met België en Ierland)
90 India 2.8 (met Mozambique, Rusland, e.a.)
145 Bangladesh 1.5 (met Nigeria)
bron: Transparancy International
108. 108
PS/JV/VU
MRT/2010
IRM & Security Management
Offshoring: Privacy in EU
• Europese regelgeving verbiedt export
persoonsgegevens buiten de EU uit angst voor
mindere privacywaarborg
• Escape door strikte afspraken over
privacywaarborgen in verwerking
• Eenvoudiger oplossing bij bedrijven die Safe
Harbour onderschrijven (bedrijven op Safe
Harbour list) voor de dienstverlening
109. 109
PS/JV/VU
MRT/2010
IRM & Security Management
Screening van Personeel
• Personeel bij outsourcingspartner kan risico
vormen
• Opdrachtnemer kan screening niet uitvoeren
• Opdrachtgever mag niet beschikken over alle
screeningsinformatie (zwarte lijst etc)
• Wie wordt gescreend?
• Is vooraf duidelijk wie op welk moment gaat
meewerken aan het contract
• Combinatie van afspraken over screening en
aansprakelijk stellen opdrachtnemer
111. 111
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van systeemontwikkeling
Programmeer-
fouten
Ontwerp-
fouten
Achterdeur
Codeerstandaarden gebaseerd op OWASP x
Kennis & training x
Source Code Analyser x
Code review door collega x x
Penetratietest / vulnerability scan x x x
Risico analyse in functioneel en technisch
ontwerp.
x
Testen van werking van maatregelen x
Gedragscode + aansprakelijkheid x
112. 112
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van systeemontwikkeling;
Open Web Application Security Project (OWASP) top 10.
A1 - Cross Site Scripting (XSS)
A2 - Injection Flaws
A3 - Malicious File Execution
A4 - Insecure Direct Object Reference
A5 - Cross Site Request Forgery (CSRF)
A6 - Information Leakage and Improper Error Handling
A7 - Broken Authentication and Session Management
A8 - Insecure Cryptographic Storage
A9 - Insecure Communications
A10 - Failure to Restrict URL Access
113. 113
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing van beheer
• Inzage in live data en toegang tot netwerk vaak
onvermijdelijk
• Hoge beschikbaarheid van dienst en service
relevant. Tijd- en taalverschillen kunnen lastig zijn
• Application Service Providing (ASP) als specifieke
variant
115. 115
PS/JV/VU
MRT/2010
IRM & Security Management
Business Process Outsourcing
• Bedrijfsproces outsourcen, veelal als gevolg van
specialisatie (back to basics) of kostenreductie
• Altijd (productie)data
• Vaak concurrentiegevoelige gegevens betrokken
116. 116
PS/JV/VU
MRT/2010
IRM & Security Management
Toegang tot infrastructuur
• Outsourcing zorgt voor meer noodzaak tot externe
toegang door derden
• Waarborgen:
• Alleen van dat bedrijf
• Alleen die persoon
• Alleen naar die omgeving (netwerksegmentatie?)
• Alleen naar die applicatie
• Alleen noodzakelijke handelingen
117. 117
PS/JV/VU
MRT/2010
IRM & Security Management
Outsourcing: samenvatting
• Beveiligingscomplexiteit neemt toe door scheiding
tussen specificatie en uitvoering van beveiliging
• Contractuele afspraken vormen de brug, maar
moeten ook bestand zijn tegen veranderingen
• Outsourcing van beveiligingsfuncties kan helpen
functiescheiding of kwaliteit te halen voor
organisaties die daar standaard geen ruimte voor
hebben
120. 120
PS/JV/VU
MRT/2010
IRM & Security Management
Referenties
• Functies in de Informatiebeveiliging:
Blackboard
• Convergentie van security (op weg naar integrated security):
http://www.issa.org/PDF/ConvergenceStudyNov05.pdf
• Risk management en security:
http://www.noordbeek.com/publicaties.html
• Catch me if you can:
http://www.amazon.com/
• Oh ja: per 1 september nieuwe Wet computercriminaliteit van kracht.
Zie www.iusmentis.com/beveiliging/hacken/computercriminaliteit/
• Overige links:
• www.security.nl
• ENISA www.enisa.europa.eu
• PvIB www.pvib.nl
• NICC www.samentegencybercrime.nl
• ISSA www.issa-nl.org