Security Continuity KPN ISACA Briefing Breukelen september 2010

Security & Continuity @ KPN ISACA Briefing Breukelen, september 2010 September 2010 Johan Bakker MSc CISSP Chief Information Security Officer KPN Corporate Security

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen 1 ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De missie… Het managen van risico’s t. a. v. bedrijfsmiddelen: – Mensen – Tastbare bedrijfsmiddelen – Niet tastbare bedrijfsmiddelen 2 ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De focus… 3 ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De context… • Algemeen – – • Zakelijke markt – – • Toenemende, complexe, fraude gerichte aanvallen op Internet gebaseerde services Groeiend maatschappelijk bewustzijn in relatie tot bescherming van persoonsgegevens Leverketens – – • Grootzakelijke klanten eisen aantoonbare security and continuity compliance (ISO, SAS 70, TPM) Security & Continuity management zijn niet langer een USP(*), maar een uitgangspunt Consumenten markt – – • Transformatie van KPN naar een ALL IP (Internet georiënteerd) gebaseerd bedrijf Relevante wetgeving neemt toe, wordt specifieker en het toezicht wordt nadrukkelijker Outsourcing van delen van KPN introduceert nieuwe security and continuity uitdagingen Fusies en consolidatie vergroten de afhankelijkheid van specifieke leveranciers Economische situatie – – Leidt tot verhoogde risico’s t. a. v. prestaties en continuïteit leveranciers Vraagt intern om extra nadruk op kostenefficiëntie * USP = Unique selling point 4 ISACA Briefing - Security & Continuity @ KPN September 2010

Security & Continuity @ KPN De uitdaging… • Het beveiligen van de informatie van 38 miljoen klanten en het borgen van de continuïteit van honderden producten en diensten – geleverd door ~35. 000 medewerkers – vanuit 14 landen – draaiend op > 2000 systemen, platformen en netwerken – met ruim 125 jaar (telefonie) historie • in een dynamische omgeving van mergers, outsourcings, technische innovatie, nieuwe wetgeving en economische druk… Besturing vanuit de Raad van Bestuur is randvoorwaardelijk! 5 ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen 6 ISACA Briefing - Security & Continuity @ KPN September 2010

Beleid KPN Business Control Framework (BCF) 7 ISACA Briefing - Security & Continuity @ KPN September 2010

Beleid Security & Continuity zijn onderdeel KPN Corporate Governance • KPN Security & Continuity Charter – Onderdeel van het Business Control Framework – Rv. B portefeuillehouder (Baptiest Coopmans) – Vormt de basis voor de KPN Corporate Security Policy • KPN Corporate Security Policy framework – Door de Rv. B geaccordeerd – Bestaat uit: 8 • Corporate Security policy • Governance & Compliance model • Verklaring toepassingsgebied ISACA Briefing - Security & Continuity @ KPN September 2010

Beleid KPN Group BCF Security & Continuity charter <snip> • Therefore, units shall: – Implementeer de KPN Baseline In line with the Corporate Security Policy, implement and maintain: • a mandatory minimum set of security measures (the Security Baseline); • a security management framework consisting of a risk-based plan/do/check/act process eenfraud Security concerning information security, physical security, personal security. Richt & safety, and Risk management business continuity. proces in – Determine and implement their own additional security policies, when required by: • – </snip> 9 specific (operational) risks within their domain; • Manage business contracts and agreements with customers, partners and/or suppliers; Security risico’s • applicable legal and/or regulatory requirements. In line with the Corporate Security Policy, determine and report compliance and noncompliance to this policy to Chief Information Security Officer (CISO). Demonstreer Compliance (GRIP) ISACA Briefing - Security & Continuity @ KPN September 2010

Beleid KPN Corporate Security Policy • Omvat ondermeer… 10 – Security & Continuity Management (organisatie en processen) – Fysieke toegangsbeveiliging (gebouwen, terreinen en opbergmiddelen) – Security & Continuïteit Awareness – Veiligheid van medewerkers (ARBO, BHV) – Betrouwbaarheid en integriteit van medewerkers – Justitieel Aftappen en gegevensverstrekking – Telecom Fraude en abuse – Incidentmanagement ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen 11 ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Corporate Security KPN Group – Raad van Bestuur KPN Security (CSO) (Integriteit & analyse) Security Policy, Governance & Compliance (CISO) Security Operations (incidenten & consultancy) Communicatie & Awareness Justitieel aftappen & Monitoren Telecom Fraude & Abuse • Bestaat uit 54 medewerkers • Hoofdkantoor in Utrecht, met dependances in Den Haag en Groningen 12 ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Group – Raad van Bestuur KPN NL GRIP Getronics KPN GB E-Plus KPN Security (Governance, Risk & Incontrol processes) KPN CERT i. Basis • Allen voldoen aan de Corporate Security policy • Diversiteit in besturing en rapportage 13 ISACA Briefing - Security & Continuity @ KPN September 2010

Organisatie KPN Nederland KPN Group – Raad van Bestuur (‘Rv. B’) KPN NL – Raad van Bestuur (‘NL Board’) Tactische eenheid (Segment) Segment MT’s en Corporate Center Operationele eenheid Tactical Security Managers Proces, dienst of product eigenaren Operational Security Managers 14 ISACA Briefing - Security & Continuity @ KPN Security Steering Committee Tactical Security Board Operational Security Board GRIP board KPN Security & BCM Manager KPN CERT September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen 15 ISACA Briefing - Security & Continuity @ KPN September 2010

Besturing Security Management - Strategisch Business Governance Financieel Compliance & strategische risico’s Compliance GRIP Board SSC Compliance & tactische risico’s Structurele verbeteringen Materieel Segment Management Business processen & diensten TSM Niet-materieel Audit (QA) RM Implementatie & bijstelling SSC = Security Steering committee RM = Risk Manager QA = Quality Assurance 16 ISACA Briefing - Security & Continuity @ KPN TSM = Tactisch Security Manager GRIP = Governance & Compliance, Risk & In control processes September 2010

Besturing Security Management – Tactisch en operationeel GRIP SSC Strategisch CISO Beleid, Organisatie & Besturing MT Tactisch RM TSM MT MT BCM Tactisch eenheden (Segment) Operationele eenheden Compliance en risico rapportage MT RM TSM MT MT (Reporting Unit) Operationeel OSM OSM Drie niveau’s van security management OSM OSM Business eisen & Service Level rapportage (Keten management) SSC = Security Steering committee RM = Risk Manager TSM = Tactisch Security manager 17 ISACA Briefing - Security & Continuity @ KPN CFO = Chief Financial Officer CISO = Chief Information Security Officier OSM = Operational Security manager September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen 18 ISACA Briefing - Security & Continuity @ KPN September 2010

Maatregelen KPN Baseline • Annex A van de ISO 27001 standaard vormt de basis voor de set maatregelen • Deze annex bevat in totaal 133 mogelijke security maatregelen (“security controls”) • De KPN Baseline is een selectie van 73 van deze maatregelen (54%) • De selectie bevat de vanzelfsprekende en randvoorwaardelijke security maatregelen • Het CSPF vereist naast de KPN Baseline het selecteren van additionele maatregelen: – • ISO 27001 - 133 controls 19 Op basis van business risico’s, klanteisen & verwachtingen en wet en regelgeving Ter indicatie, de Security controlset van een vijftal KPN diensten: WO OPS INT (38 controls) EVPN (53 controls) Cybercenters (45 controls) Office. Access (54 controls) Managed LAN (46 controls) Risk based CSP KPN Baseline (73 controls) ISACA Briefing - Security & Continuity @ KPN Baseline September 2010

Maatregelen Security Control Framework KLANTEN DIENST 10 AANBIEDINGEN Beheersdoelen SM / BCM BELEID CO-01 Beleid CO-02 Organisatie CO-03 Security management (PDCA) CO-04 Beheer van informatie(middelen) CO-05 Toegangsverlening (fysiek & logisch) CO-06 Risicomanagement CO-07 Testen van maatregelen CO-08 Monitoren van verbeteringen CO-09 Vernieuwingsproces CO-10 Dienstaanbiedingen Interne en externe overeenkomsten CO-12 Management van leveranciers CO-13 Bewustzijn CO-14 Continuïteitsplanning 17 OPERATIËN CONTINUÏTEITS PLANNEN 14 6 RISICO MANAGEMENT 3 SM / BCM BESTURING CO-11 DIENSTEN 1 VERBETER MANAGEMENT 8 TOEGANG MAATREGELEN TESTEN VAN MAATREGELEN 7 EIGENAREN 5 4 BEDRIJFSMIDDELEN 13 16 15 HR PROCES AWARENESS PERSONEEL INCIDENTEN 2 CO-15 Management van incidenten CO-16 HR-proces CO-17 Security in operatiën SM / BCM ORGANISATIE 9 INNOVATIE OVEREENKOMSTEN ASSURANCE 11 12 20 ISACA Briefing - Security & Continuity @ KPN LEVERANCIERS September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Assurance • Lessons learned • Vragen 21 ISACA Briefing - Security & Continuity @ KPN September 2010

Assurance Security Control Framework – Internal compliance • (Strategische) Security risico’s worden gemitigeerd middels control objectives • Control objectives worden gerealiseerd middels ISO controls (en aangevuld indien nodig) • Een deel van deze ISO controls zijn “Baseline” en dus verplicht • De relatie tussen control objectives en baseline controls is gedefinieerd (x-list) • Voor ieder control objective worden de relevante (ISO) controls geaggregeerd in een GRC+ controls Risks, customers requirement, incidents, law and regulations CO-1 Policy Control 1 CO-2 Organisation Control 2 Control 3 CO-3 Security mgmnt Control 4 Etc…. Security & BCM Control objectives (17) ISO 27001 annex A (133 potential Security and BCM controls) 73 baseline controls 22 ISACA Briefing - Security & Continuity @ KPN 60 risk based controls September 2010

Assurance Intern vs Extern BCF beleid • Het Integrated Control Framework (ICF) beoogt synergie tussen interne- en externe assurance Corporate Security policy – Security: ISO 27001/27002 based – Business Continuity: BS 25999 based • Assurance via quarterly DOR proces, GRC+ BCF Specific BCF & BU Overlap 23 Market demands Bepalen de basis van het compliance framework: Integrated Control Framework KPN Business Control Framew Compliance demands BU specific – – – ISO 9001 ISO 27001 (certification) ITIL security & BCM elements Assurance (SAS 70 & TPM) Cobit VCA (Health) ─ Specific customer scope assurance such as TPM & SAS 70 Audit reports & certifications PCI, ISO 14000, NEN 7510, etc. Real-time monitoring, SOC/SIEM Customer demands Leiden tot addtionele eisen en assurance formaten: Market demands Customer specific • Pilot is uitgerold bij GTN, doorontwikkeling in 2010 -2011 Customer demands ISACA Briefing - Security & Continuity @ KPN ─ ─ ─ September 2010

Maatregelen Assurance middels ISO 27001 certificaten – – 24 Certificaten met generieke scope Certificaat # • Hosting Services 2098139 • Application Services 2106391 • Cybercenter Services ICS 008 • Business Continuity Services 2098145 • Local Area Network Services 2078860 • Integrated & Outsourcing services 2126960 • Operations Internationaal 2119991 Certificaten met specifieke scope Certificaat # • Office Access & EVPN 2087166 • KPN MTI SDU Transport ISC 017 • Osiris (Support team tooling) 2018483 ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Lessons learned • Vragen 25 ISACA Briefing - Security & Continuity @ KPN September 2010

Lessons learned Transparantie en duidelijkheid • Plot Security & Continuity op de meerjarige business strategie • Schets belangen en risico’s in de “taal van de business” • Maak de werkelijke stand van zaken inzichtelijk middels een onafhankelijke audit Verantwoordelijkheden • Haal security implementatieverantwoordelijkheid uit de financiële kolom – Breng de “business” in haar rol t. a. v. policy implementatie en – geef de financiële kolom de controlerende bevoegdheid t. a. v. voortgang en compliance Strategie • Start op basis van een high-level strategie (ingevuld met bijv. een driejaren plan) • Plan iteratief binnen die strategie • 26 – Wees wendbaar en flexibel – Plan tijd voor correctieve actie (Demming’s C&A-fasen) Integreer waar mogelijk met bestaande processen en structuren ISACA Briefing - Security & Continuity @ KPN September 2010

Agenda • Security & Continuity @ KPN • Beleid • Organisatie • Besturing • Maatregelen • Lessons learned • Vragen 27 ISACA Briefing - Security & Continuity @ KPN September 2010

Vragen… ? 28 ISACA Briefing - Security & Continuity @ KPN September 2010