View
252
Download
0
Tags:
Embed Size (px)
Citation preview
Seminar Simplified Security 18 juni 2015
2
Agenda Simplified Security
17:00 Welkom en Introductie
17:10 Security Maturity Model
18:00 Diner
19:00 Security en IAM Roadmap Oracle
20:00 Demo Simplified Security processen
20:45 Discussie en conclusie
21:00 Borrel
4
5
6
7
Identiteit
19-juni-1972BSN:186587485
23-12-1993KvK 30114159Vestigingsnr. 000017515769
8
Is onder de motorkap complex, maar….
leg dit niet neer bij de eindgebruiker, want…
dan wordt techniek misbruikt
Management van Security / Identity / Acces
9
10
Simplified Security Event 18-juni
Gertjan van het Hof
Security Maturity Evaluation
12
IT-security thema’s Nederlandse organisaties 2015
Bron: Nationale IT Security Monitor
13
Beveiligingsmaatregelen Cybercrime
Bron: Nationale IT Security Monitor
14
Klaar voor EU Data Protectie Verordering?
Bron: Nationale IT Security Monitor
15Hoe krijg ik de eisen helder?
Uitstellen kan eigenlijk niet
meer!
Hoe bepaal ik de
prioriteiten?
Welke wetten zijn van
toepassing?
Hoe hou ik de kosten in de
hand?
Waar haal ik de kennis vandaan?
Welke technology?
Hoe haak ik de business
aan?Welke best practices zijn
er?
Wat is de beste aanpak?
16
Welke security aanpak?
NIST ISO/IEC OCTAVECOBIT
• Complex
• Intensief en langdurig traject
• Kostbaar
• Resultaten laten lang op zich wachten
• Technology mapping ontbreekt
17
AMIS Simplified Security Aanpak
Security Maturity
EvaluationAdvies
SecurityArchitectuur
Implementatievan
maatregelen
Best Practices / Ref. Architecture
Doorlooptijd: 1 maand
18
Waarom deze aanpak?
• Methode is technologie onafhankelijk
• Overzichtelijke aanpak
• Korte doorlooptijd
• Geeft snel inzicht in huidige Security Maturity en de te nemen stappen
• Prioritering / Roadmaps
• Laagdrempelige manier presentatie van resultaten
• Goede basis voor Security Architectuur en Implementatie
• Goede voorbereiding op NIST/ISO/enz.
19
Wat gaan we doen?
4-5 INTERVIEWS
1 PRESENTATIE
20
Interview’s met 9 verschillende rollen
• Interview 1:– CISO– HR– Informatie Managers– Enterprise Architect
• Interview 2:– Lead Developer / Applicatie Architect– Beheer (Operations)– Database Administrator
• Interview 3:– Risk & Compliance– Audit
• 1 tot 2 verdiepingsinterview’s
Presentatie aan interviewteam en CIO
21
Security Maturity EvaluationOverview
Analyse
Business Area’s
TechnicalArea’s
22
Analyse
Security Maturity EvaluationOverview
Business Area’s
TechnicalArea’s
Presentatie van resultaten
Opportunities EnablersRecurring Benefits
Priorities
23
Analyse
Business Area’s
Business Area’s
Business Context
Technical Context
Digital Transfor-mation
24
Business Context
Vragen:• Gebruikers van de diensten• Type implementatie• Kritieke processen• Kritieke data• Bestaande gebreken• Beschikbaarheid• Vertrouwelijkheid• Integriteit• Sabotage• Operationele risico's• Reputatieschade• Compliance
25
Technical Context
Vragen:• Data Centers• Data Center Organisatie• Data Center AS IS and TO BE Technology• Evolution plans and priorities• High Availability, Business Continuity, Disaster recovery • CMDB Configuratie Item’s• Technology architectuur
26
Digital Transformation
27
Analyse
Security Maturity EvaluationOverview
BusinessArea’s
TechnicalArea’s
Presentatie van resultaten
Opportunities EnablersRecurring Benefits
Priorities
28
Technical Area’s
Dat
a S
ecu
rity
Lo
gic
al
Sec
uri
ty
29
Analyse
Security Maturity EvaluationOverview
Business Area’s
TechnicalArea’s
Presentatie van resultaten
Opportunities EnablersRecurring Benefits
Priorities
30
van Analyse naar Business Resultaten
Opportunities Enablers
Recurring Benefits
Analyse
CIA
Business Technical
31
Opportunities
Op basis van de Analyse worden Opportunities gevonden.
Voorbeeld van Analyse resultaten:• There is no process for approval process delegation• The user provision is performed manually for all applications• There is no central department with responsibility to “enroll” and “un-
enroll”• Very few cases are notified for accounts de-provisioning (leave and move) • Privileges are accumulated when users change division / job
Voorbeeld van Opportunities:• Define and adopt a policy about the user creation management, role and
responsibilities including de-provisioning• Start a regular process to check rogue accounts in applications and
databases• Make provisioning and deprovisioning automatic
32
Enablers
Voorbeelden:
• Policy and organization• Extractors and reconciliation tools and/or Identity Analytics capabilities• Identity Management technology • Single Sign On tools
33
Recurring Benefits
Voorbeelden:
• Risk of data leakage and frauds reduced• Better compliance through full accountability• Better user experience and improved productivity• Reduced number of call to help desk to reset passwords• Reduced costs for Identity and Access Management
34
Van Enablers naar Capabilities
Enablers Capabilities
Voorbeelden van Capabilities:• Data Encryption• RBAC• Automate Provisioning en De-provisioning• Data Masking• Auditing• Single Sign On
35
Prioritering
36
Security Maturity (voorbeeld)
37
Oracle Product Mapping Advice(voorbeeld)
38
AMIS Simplified Security Aanpak
Security Maturity
EvaluationAdvies
SecurityArchitectuur
Implementatievan
maatregelen
Best Practices / Ref. Architecture
Doorlooptijd: 1 maand
39
SABSA
ASSETS (what)
MOTIVATION (why)
PROCESS (how)
PEOPLE (who)
LOCATION (where)
TIME (when)
40
Conceptual Security Architecture
41
Conceptual Security Architecture
42
Component Security Architecture
43
AMIS Simplified Security Aanpak
Security Maturity
EvaluationAdvies
SecurityArchitectuur
Implementatievan
maatregelen
Best Practices / Ref. Architecture
Doorlooptijd: 1 maand
44
Security Implementation Partner
Middleware
• Oracle Identity & Access Manager (OAM, OIM)
• Oracle Identity Federation (OIF)• Oracle Web Service Security
(OWSM)• Oracle Unified Directory (OUD)• Oracle Privileged Account Manager
(OPAM)• Oracle Key Vault (OKV)• Oracle API Gateway
Database
• Oracle Database Firewall (DBFW)• Oracle Database Vault (ODV)• Oracle Data Masking• Oracle Database Advanced Security
options (OAS)– Transparent Data Encryption– Oracle Data Redation
• Oracle Virtual Private Database (VPD)
• Oracle Real Application Security (RAS)
• Oracle Audit Vault (AV)
45
Wij staan er klaar voor!U ook?
AMIS Security Practice
46
Dank voor uw aanwezigheid!
Gertjan van het Hof Security Architect
AMIS
M +31 6 29 54 06 19 E [email protected]
I amis.nl
B technology.amis.nl
47