Cloud en ISO27000

Presentatie: Wim Muller

Management Trainer in Personal DevelopmentService-, Security- and Process ManagementACTASITIS

Veilig de Cloud in met ISO 27000?Topics:

Waarde van informatieDe Cloud & InformatiebeveiligingRol ISO 27000Relevante opleidingen

Waarde van Informatie

De waarde van informatie wordt bepaald door de verschillende belanghebbenden bij die informatie

Informatie

Managers

Verkopers

Werkvloer

Bestuur

Waarde van Informatie

De waarde van informatie wordt bepaald door de verschillende belanghebbenden bij die informatie

Informatie

Managers

Onbedoeldebelanghebbenden

Verkopers

Werkvloer

Bestuur

Eigenaars

Klanten

Wetgeving

Politiek

Belang van Informatie

Verschillende perspectieven, verschillende belangenOmgevingsvariabelen van de organisatie veranderen en daarmee de businessvereisten aan informatieOrganisaties zijn steeds meer onderdeel van ketens waardoor informatie steeds meer extern nodig is“Het Nieuwe werken” verandert eisen van businessOntwikkelingen Cloud en “As A Service”

Organisaties kunnen niet zonder informatie

Informatie en businessInformatie is het bloed van de organisatie ....

Directiebestuur

AfdelingAfdeling

Team Team TeamTeam

........ de servers vormen het kloppende hart

Informatie en business

Onderverdeling van business vereisten in drie betrouwbaarheidsaspecten:

BeschikbaarheidWaar, wanneer en bij wie het nodig is.

IntegriteitCorrect, authentiek en tijdig.

VertrouwelijkheidExclusief en gewaarborgde privacy

BIV

De cloud beschouwd vanuit BIV

Uitgebreidere beschikbaarheid mogelijk middels de cloud, maar vereist goede afsprakenNieuwe vereisten vanuit de business, de 3 A’s:

AnytimeAnyplaceAnyway

Beschikbaarheid

De cloud beschouwd vanuit BIV

De cloud vormt een grotere bedreiging voor de aspecten rondom de integriteit van gegevens

Hoe en waar worden ze opgeslagen?Via welke weg komen ze bij ons?Wie kan er bij?

Integriteit

De cloud beschouwd vanuit BIV

De bedreigingen wat betreft vertrouwelijkheid worden talrijker en groter in de Cloud.

Hoe is de opslag beveiligd?Hoe is de communicatie afgeschermd?Hoe groter de omgeving, des te groter het aantal potentiële (cyber)criminelen!

Vertrouwelijkheid

De cloud

Bron: Kurttronics

De cloud

Letterlijk betekent Cloud wolk

In de Cloud

integriteitvertrouwelijkheidbeschikbaarheid

Sturen op business vereisten

In de cloud

Zoeken naar zekerheden:

Dat er conform de BIV-eisen van de business met informatie wordt omgegaanDat de juiste maatregelen worden genomen t.o.v. de algemene bedrijfsrisico's van de organisatie Dat er geen wetten worden overtredenDat lokale wetgeving geldt (bijvoorbeeld privacy)Dat er aantoonbaar continue verbetering isDat er altijd objectieve meting mogelijk isDat ...............

In de cloud

Vertalen van eisen, regels, richtlijnen, principes van business naar aanbiedersBehoefte aan onafhankelijke audits van de verschillende aanbiedersZoeken naar zekerheden middels certificeringBijvoorbeeld via de normen ISO/IEC 27000 .........

ISO/IEC 27000 “familie”

ISO/IEC 27001: specificaties en richtlijnen voor een Information Security Management System (ISMS) (vh BS7799-2)ISO/IEC 27002: praktische richtlijnen voor maatregelen “de code” (vh ISO 17799, BS7799-1)ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 270............

De ISO 27000 “familie” is nog volop in ontwikkeling. Bijvoorbeeld:ISO/IEC 270017 :Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002. (stage 20.20 Working draft study initiated )

ISO/IEC 27001

Internationale norm opgesteld om een model te bieden voor het vaststellen, implementeren,

uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een managementsysteem voor

informatiebeveiliging (ISMS).

ISO/IEC 27001

Doelstellingen:inzicht in de eisen van de organisatie met betrekking tot informatiebeveiliginginzicht in de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging implementeren en uitvoeren van beheersmaatregelen om risico's te beheren voor informatiebeveiliging ten opzichte van de algemene bedrijfsrisico's van de organisatie continue verbetering, gebaseerd op objectieve meting

ISO/IEC 27001:Procesbenadering

Bron: NEN-ISO/IEC 27001

ISO 27002:2007

Bekend als de “Code voor informatiebeveiliging” Praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatiePraktische richtlijn voor het ontwerpen van effectieve methoden voor het bereiken van veiligheidsstandaarden. Handleiding voor het opstellen van beveiligingsnormen en doeltreffend beheer van informatiebeveiliging voor de organisatieHelpt vertrouwen te scheppen in relaties tussen organisaties

ISO 27002:2007 Structuur

11 hoofdstukken met 39 hoofdbeveiligingscategorieën:

Beveiligingsbeleid (1); Organisatie van de informatiebeveiliging (2); Beheer van bedrijfsmiddelen (2); Personele beveiligingseisen (3); Fysieke beveiliging en beveiliging van de omgeving (2); Beheer van communicatie- en bedieningsprocessen (10); Toegangsbeveiliging (7); Aanschaf, ontwikkeling, onderhoud van informatiesystemen (6); Beheersen van informatiebeveiligingsincidenten (2); Beheerproces bedrijfscontinuiteit (1); Naleving (3).

Bron: NEN-ISO/IEC 27002

ISO 27002:2007 Structuur

Elke hoofdbeveiligingscategorie bevat:een beheersdoelstellingeen of meer beheersmaatregelen

Een beheersmaatregel is als volgt gestructureerdBeheersmaatregelDefinieert de specifieke maatregel om aan de beheersdoelstelling te voldoen.

ImplementatierichtlijnenNadere informatie voor implementatie van de beheersmaatregel

Overige informatieVerdere informatie waarmee rekening moet worden gehouden, zoals juridische overwegingen en verwijzingen naar andere normen.

Bron: NEN-ISO/IEC 27002

Voorbeeld ISO27002

Hoofdstuk 6: Organisatie van de informatiebeveiligingHoofdbeveiligingscategorie 6.2: “Externe partijen”

Doelstelling: Beveiligen van de informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.

De beveiliging van de informatie en IT-voorzieningen van de organisatie behoort niet te worden verminderd door het invoeren van producten of diensten van externe partijen.

Bron: NEN-ISO/IEC 27002

Voorbeeld ISO27002

Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregelen:

Identificatie van risico's die betrekking hebben op externe partijenBeveiliging behandelen in de omgang met klantenBeveiliging behandelen in overeenkomsten met een derde partij

Bron: NEN-ISO/IEC 27002

Voorbeeld ISO27002

Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregel:

Beveiliging behandelen in overeenkomsten met derde partij.

Bron: NEN-ISO/IEC 27002

Omschrijving:In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan IT- voorzieningen waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.

Voorbeeld ISO27002

6.2: “Externe partijen” Beheersmaatregel:

Beveiliging behandelen in overeenkomsten met derde partij.

Bron: NEN-ISO/IEC 27002

Waarin onder andere opgenomen:• beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen, • verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en

programmatuur; • een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage; • een duidelijk en gespecificeerd proces voor het beheer van wijzigingen; • afspraken over toegangsbeleid• waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten

van informatiebeveiliging; • opleiding voor gebruikers en beheerders op het gebied van methoden, procedures en

beveiliging;

Awareness, training en opleiding

Opleiding en training is het geijkte middel voor beveiligingsbewustzijnDiverse trainingen voor diverse rollen en niveaus binnen de organisatie.

Bewustwording van alle medewerkers is ongetwijfeld de belangrijkste van alle

beveiligingsmaatregelen.

Relevante trainingen

Ocean’s 99 GameEen business simulatie op het gebied van (informatie) beveiliging en risico managementDoelgroep:

Iedereen die maar enigszins met informatie werkt.(Vooral effectief op security awareness en samenwerking)

Relevante trainingen

Information Security Foundation op basis van ISO27002Geeft inzicht in de basis principes van informatiebeveiliging en ISO 27000Doelgroep:

Senior informatiewerkerAfdelingsmanagerTeamleiderAdviseurKwaliteitsmedewerkerApplicatiebeheerderSysteembeheerder

Relevante trainingen

Information Security Advanced op basis van ISO27002Gaat uitvoerig in op de code of practice ISO 27002.Doelgroep:Professionals die bezig zijn met het implementeren, evalueren en rapporteren van infrormatie risico’s

Information Security ManagementInformation Security ConsultantInformation Security SpecialistProject ManagerService Manager

Relevante trainingen

Cloud Technology ProfessionalEssentiële concepten en terminologie van Cloud Computing, met voor- en nadelen en de impact van beslissingen om op Cloud Computing over te gaan.Doelgroep:Professionals die bezig zijn met beslissingen over of het inrichten van Cloud Computing

Cloud Technology ProfessionalsCloud ArchitectenCloud Specialisten

Relevante trainingen

Certified Cloud Architectcombinatie tussen Cloud technologie concepten en architectuur.Doelgroep:

Cloud ArchitectenCloud Specialisten

Relevante trainingen

SABSA Foundation, A1- en A3-moduleFramework voor Enterprise Security Architectuur en aanpak voor risicomanagement binnen zowel het bedrijfsleven als de overheid.Doelgroep:

CIO / CISO / CTO / CIROIT Strategy ConsultantsIT ArchitectenIT Programma ManagerSoftware ArchitectenNetwerk ArchitectenService Delivery Managers

Meer Informatie?

Pink Elephant NederlandGooimeer 181411 DE Naarden

Telefoon: 088 – 0107 400E-mail: info@pinkelephant.nl

Bedankt voor uw aandacht

U kunt deze en alle andere presentaties terug zien op:

www.cloudxperience.nl