seminar simplified security

Seminar Simplified Security 18 juni 2015

2

Agenda Simplified Security

17:00 Welkom en Introductie

17:10 Security Maturity Model 

18:00 Diner

19:00 Security en IAM Roadmap Oracle

20:00 Demo Simplified Security processen

20:45 Discussie en conclusie

21:00 Borrel

4

5

6

7

Identiteit

19-juni-1972BSN:186587485

23-12-1993KvK 30114159Vestigingsnr. 000017515769

8

Is onder de motorkap complex, maar….

leg dit niet neer bij de eindgebruiker, want…

dan wordt techniek misbruikt

Management van Security / Identity / Acces

9

10

Simplified Security Event 18-juni

Gertjan van het Hof

Security Maturity Evaluation

12

IT-security thema’s Nederlandse organisaties 2015

Bron: Nationale IT Security Monitor

13

Beveiligingsmaatregelen Cybercrime

Bron: Nationale IT Security Monitor

14

Klaar voor EU Data Protectie Verordering?

Bron: Nationale IT Security Monitor

15Hoe krijg ik de eisen helder?

Uitstellen kan eigenlijk niet

meer!

Hoe bepaal ik de

prioriteiten?

Welke wetten zijn van

toepassing?

Hoe hou ik de kosten in de

hand?

Waar haal ik de kennis vandaan?

Welke technology?

Hoe haak ik de business

aan?Welke best practices zijn

er?

Wat is de beste aanpak?

16

Welke security aanpak?

NIST ISO/IEC OCTAVECOBIT

• Complex

• Intensief en langdurig traject

• Kostbaar

• Resultaten laten lang op zich wachten

• Technology mapping ontbreekt

17

AMIS Simplified Security Aanpak

Security Maturity

EvaluationAdvies

SecurityArchitectuur

Implementatievan

maatregelen

Best Practices / Ref. Architecture

Doorlooptijd: 1 maand

18

Waarom deze aanpak?

• Methode is technologie onafhankelijk

• Overzichtelijke aanpak

• Korte doorlooptijd

• Geeft snel inzicht in huidige Security Maturity en de te nemen stappen

• Prioritering / Roadmaps

• Laagdrempelige manier presentatie van resultaten

• Goede basis voor Security Architectuur en Implementatie

• Goede voorbereiding op NIST/ISO/enz.

19

Wat gaan we doen?

4-5 INTERVIEWS

1 PRESENTATIE

20

Interview’s met 9 verschillende rollen

• Interview 1:– CISO– HR– Informatie Managers– Enterprise Architect

• Interview 2:– Lead Developer / Applicatie Architect– Beheer (Operations)– Database Administrator

• Interview 3:– Risk & Compliance– Audit

• 1 tot 2 verdiepingsinterview’s

Presentatie aan interviewteam en CIO

21

Security Maturity EvaluationOverview

Analyse

Business Area’s

TechnicalArea’s

22

Analyse

Security Maturity EvaluationOverview

Business Area’s

TechnicalArea’s

Presentatie van resultaten

Opportunities EnablersRecurring Benefits

Priorities

23

Analyse

Business Area’s

Business Area’s

Business Context

Technical Context

Digital Transfor-mation

24

Business Context

Vragen:• Gebruikers van de diensten• Type implementatie• Kritieke processen• Kritieke data• Bestaande gebreken• Beschikbaarheid• Vertrouwelijkheid• Integriteit• Sabotage• Operationele risico's• Reputatieschade• Compliance

25

Technical Context

Vragen:• Data Centers• Data Center Organisatie• Data Center AS IS and TO BE Technology• Evolution plans and priorities• High Availability, Business Continuity, Disaster recovery • CMDB Configuratie Item’s• Technology architectuur

26

Digital Transformation

27

Analyse

Security Maturity EvaluationOverview

BusinessArea’s

TechnicalArea’s

Presentatie van resultaten

Opportunities EnablersRecurring Benefits

Priorities

28

Technical Area’s

Dat

a S

ecu

rity

Lo

gic

al

Sec

uri

ty

29

Analyse

Security Maturity EvaluationOverview

Business Area’s

TechnicalArea’s

Presentatie van resultaten

Opportunities EnablersRecurring Benefits

Priorities

30

van Analyse naar Business Resultaten

Opportunities Enablers

Recurring Benefits

Analyse

CIA

Business Technical

31

Opportunities

Op basis van de Analyse worden Opportunities gevonden.

Voorbeeld van Analyse resultaten:• There is no process for approval process delegation• The user provision is performed manually for all applications• There is no central department with responsibility to “enroll” and “un-

enroll”• Very few cases are notified for accounts de-provisioning (leave and move) • Privileges are accumulated when users change division / job

Voorbeeld van Opportunities:• Define and adopt a policy about the user creation management, role and

responsibilities including de-provisioning• Start a regular process to check rogue accounts in applications and

databases• Make provisioning and deprovisioning automatic

32

Enablers

Voorbeelden:

• Policy and organization• Extractors and reconciliation tools and/or Identity Analytics capabilities• Identity Management technology • Single Sign On tools

33

Recurring Benefits

Voorbeelden:

• Risk of data leakage and frauds reduced• Better compliance through full accountability• Better user experience and improved productivity• Reduced number of call to help desk to reset passwords• Reduced costs for Identity and Access Management

34

Van Enablers naar Capabilities

Enablers Capabilities

Voorbeelden van Capabilities:• Data Encryption• RBAC• Automate Provisioning en De-provisioning• Data Masking• Auditing• Single Sign On

35

Prioritering

36

Security Maturity (voorbeeld)

37

Oracle Product Mapping Advice(voorbeeld)

38

AMIS Simplified Security Aanpak

Security Maturity

EvaluationAdvies

SecurityArchitectuur

Implementatievan

maatregelen

Best Practices / Ref. Architecture

Doorlooptijd: 1 maand

39

SABSA

ASSETS (what)

MOTIVATION (why)

PROCESS (how)

PEOPLE (who)

LOCATION (where)

TIME (when)

40

Conceptual Security Architecture

41

Conceptual Security Architecture

42

Component Security Architecture

43

AMIS Simplified Security Aanpak

Security Maturity

EvaluationAdvies

SecurityArchitectuur

Implementatievan

maatregelen

Best Practices / Ref. Architecture

Doorlooptijd: 1 maand

44

Security Implementation Partner

Middleware

• Oracle Identity & Access Manager (OAM, OIM)

• Oracle Identity Federation (OIF)• Oracle Web Service Security

(OWSM)• Oracle Unified Directory (OUD)• Oracle Privileged Account Manager

(OPAM)• Oracle Key Vault (OKV)• Oracle API Gateway

Database

• Oracle Database Firewall (DBFW)• Oracle Database Vault (ODV)• Oracle Data Masking• Oracle Database Advanced Security

options (OAS)– Transparent Data Encryption– Oracle Data Redation

• Oracle Virtual Private Database (VPD)

• Oracle Real Application Security (RAS)

• Oracle Audit Vault (AV)

45

Wij staan er klaar voor!U ook?

AMIS Security Practice

46

Dank voor uw aanwezigheid!

Gertjan van het Hof Security Architect

AMIS

M +31 6 29 54 06 19 E gertjan.van.het.hof@amis.nl

I amis.nl

B technology.amis.nl

47