mobile-it secure by development in alle aspecten
TRANSCRIPT
ERIK HEILAD KINT
MOBILE-IT
SECURE BY DEVELOPMENT
IN ALLE ASPECTEN
WAS HET VROEGER BETER?
1981: DE PC
1995: INTERNET
2009: WINDOWS 7
2007: DE MIND-SHIFT
April 30, 2017TITLE PRESENTATION
2010
2012: THE NEXUS
April 30, 2017TITLE PRESENTATION
2016: DIGITAL TRANSFORMATION
April 30, 2017TITLE PRESENTATION
NIEUWE TECHNIEK > NIEUWE PROBLEMEN
April 30, 2017TITLE PRESENTATION
MOBILE: ANDERE KIJK OP VEILIGHEID
• Geen zekerheid over device status
• BYOD• Privé gebruik:
• apps en data• onbekende gebruikers
• Shadow IT• Informatie kan
eenvoudig gaan ‘zwerven’
• Platform beheer ligt bij leverancier / gebruiker
• iOS, Android en Windows Phone wel anders dan Windows Desktop
IOS SECURITY – FROM THE GROUD UP
• Secure Boot• Containerized apps• Standaard data-encryptie op basis van hardware
en pin• Standaard pincode policy met full-wipe
– Met vingerprint naar 6 cijfers• Updates gedurende meerdere jaren• Geen externe poorten• CodeSigning• ‘Curated’ AppStore• Uitgebreide set MDM security policies• Supervised Mode• Verplicht TLS 1.2 protocol• Duidelijke richtlijnen richting ontwikkelaard (SSD)
April 30, 2017TITLE PRESENTATION
MOBILE DEVICES: DE ROL VAN MDM
• Besturen van de ‘management API’ van het device– Apple, Android, Windows: ieder zijn eigen smaak– De ‘Management API’ bepaald de mogelijkheden
• In het kort: complicancy afdwingen voor zakelijke gebruik– Gebruikers instellingen afdwingen
• Pincode • Device encryptie
– Zakelijke applicaties publiceren / installeren• Iedereen dezelfde – eventueel betaalde – applicaties • Exchange Active Sync policy
– Automatische acties uitvoeren• Jailbreak detectie• check op OS-versie
• Correctieve acties:– Lock / unlock, Wipe, selective wipe– Locate– Handmatig beheer over devices (reporting)
April 30, 2017TITLE PRESENTATION
MOBILE DEVICES: SECURE CONTAINERS
• Third parties: XenMobile, Good,
MobileIron, Airwatch– Cross-platform (iOS / Android)
• Google: Android for Work
• Samsung: Knox Workspace / Knox
Enabled Apps– Momenteel ‘best in class’
• Apple: ‘Managed Open In’ integraal over
standaard apps– iOS 10.3 > 11: nieuw multi-key file-system
April 30, 2017TITLE PRESENTATION
TUSSENSTAND MOBILITY:
• Secure by Design OS
• Afdwingen van security policies (“MDM”)
• Toepassing van scheiding tussen zakelijk en privé (“MAM”)
• Back-end met device compliancy check (“CASB”)
• Secure Software Design
• Betrokken gebruikers…
April 30, 2017TITLE PRESENTATION
TRANSFORMATIE: ALTIJD LASTIG
April 30, 2017TITLE PRESENTATION
Samen – werken aan Informatieveiligheid en privacybescherming
(Overheid en Marktpartijen)
De kracht van samenwerken in de CIP communities!
Aanleiding voor de overheid
• Toenemende afhankelijkheid van het internet, mobile devices,ed.
• Toenemende (organisatiegraad van) cyber crime
Aanleiding en doelen
De overheid organiseert zich en CIP faciliteert dit door:
• Bundeling kennis/krachten: door het bouwen aan een IB-community in de overheid
• Aanbieden/toegankelijk maken van kennis en practices
• Werken aan gezamenlijke afspraken en normatiek
Besturing
• Bestuurlijk Overleg Compacte Uitvoering
• Jaarplancyclus
Besturing en werkwijze
Werkwijze/principes
• Voor allen, door allen
• Gesloten beurs
• Zuivere netwerkorganisatie – met structuur
• Sterke persoonlijke communicatie
Samenstelling van het CIP-Netwerk
Overheidsparticipanten en -relaties
Kennispartners
De PDC in
ContextCIP-activiteiten en producten
HerstelvermogenWeerbaarheid
> 5 Domeingroepen,
> Kennissessies,
> Conferenties
> Cip.pleio.nl
> Snelle onderllinge bereikbaarheid in CIP-netwerk via cip.peio.
> Verbinding met NCSC.> Moderatie Crisisoefening
> SSD-producten, KSL, div. handreikingen> BIR-OP en Thema-uitwerkingen> Grip op Privacy + Priv.Normenkader> PIA-paper en practices> Grip op Veilige Inkoop > e-Learningmodules, > CIP-Casts, etc
Bevorderen
SAMEN DOEN
Product
Aanbod
Basis-
werkvormen
Kennisdeling
> Practitioners Communities voor:
SSD, BIR, Awareness, Veilige Inkoop
> Diverse werkgroepen
> Workshops: SSD, Grip op Privacy
> Privacy Vraagbaak
> Serious game: Crisis Rijksdienst
> Serious game: Crisis Gemeente
> Subcommunity Cyber Security
Platform (Sinds Opzet Rijks-ISAC
slapend)
> Opgezet: Rijks-ISAC
Bundeling van kennis en kunde IB & Privacy
• SSD practitioner community Beveiligingsrichtlijnen, Testraamwerk, kennissessie SSD(keten)testen, NCSC richtlijnen
• BIR practitioner community Best practices
• Privacy practitioner community dialoog met AP, Privacy Baseline, Privacy by Design en Privacy Maturity model
• Inkoop IB & Privacy community recent adoptie van RWS model
• Werkgroep GRC ervaring implementatie GRC, tooling GRC
• Werkgroep SSD-IOT Verkennen, bewustwording, maatregelen
• Werkgroep AVG-Privacy AVG compliant maken van privacy producten
• Werkgroep keten-verwerkers samenwerking BDOovereenkomst (Privacy)
De vernetwerkte wereld is te complex om dit stand-alone te betrachten. Samenwerking is een must!!
Samenwerken is een deel van je eigen autonomie opgeven in de hoop er meer voor terug te krijgen
Bundeling van kennis en kunde IB & Privacy
• CIP community ontwikkelt SSD beveiligingsrichtlijnen met markt- en overheidsorganisaties.
• SSD gaat over het WAT, de interne/externe leverancier bepaalt het hoe. SSD is enabler voor dialoog opdrachtgever en opdrachtnemer.
• Na selectie neemt Centric het besluit om SSD bij alle Europese vestigingen te implementeren.
• Centric deelt implementatie aanpak en ervaringen in de SSD practitioner bijeenkomst.
• Centric heeft 10 aanvullende SSD normen vanuit hun view produktleverancier.
• 10 aanvullende normen worden bediscussieerd in de community(markt en overheid) om deze op te nemen bij SSD beveiligingseisen.
• Resultaat van de discussie/dialoog is input voor een nieuwe release van SSD beveiligingseisen. Plan-Do-Check-Act cycle!
Vertrouwen bouwen = betrouwbaar gedrag + transparantie + oprechte interesse in belangen + gelijke informatie + zelfbewustzijn
De Secure Software Development (SSD) Centric casus
Win voor Centric is aantoonbaar nivo van beveiliging van software met input van overheid- en marktorganisaties
Win voor CIP community is verrijking en kennisdeling over de SSD beveiligingseisen(ontwikkeling en implementatie).
Websites
https://cip.pleio.nl/
www.cip-overheid.nl
