Sessie 1 Samenwerking loont integrale veiligheid bij KPN

Dit congres is een initiatief van:

Meer winst uit

samenwerking

Samenwerking loont:

integrale veiligheid bij KPN

Even voorstellen

• John van Leeuwen

• KPN Group Business Continuity Manager

• Ervaring: Swift, Heineken, ArcelorMittal, Getronics

• KPN Ambassadeur op continuïteit, vitale infrastructuren, terrorisme en

cybersecurity/continuity en crisismanagement

• Verantwoordelijk voor BCM beleid binnen KPN

• Marcel van Leent

• Security manager KPN Wholesale & Operations

• Ervaring: Redwood Services, KPMG

• Verantwoordelijk voor informatiebeveiliging en business continuity

management binnen Wholesale & Operations (netwerkbedrijf).

Congres Veiligheid & Risico

John van Leeuwen en Marcel van Leent06-12-2011

• Introductie KPN

• KPN organisatie

• Security & BCM organisatie

• Waarom van belang

• Besturing

• Inbedding in processen

• De uitdaging in de keten

• Publiek Private Samenwerking

• Tips

Agenda



Introductie KPN



KPN organisatie

Raad van Bestuur

Consumentenmarkt

Zakelijke Markt

Corporate Market

Wholesale & Operations

Mobile International

iBasis

Overige activiteiten



Security & BCM organisatie

Strategisch

Tactisch

Operationeel

Group BCM & Security

W&O ITNLCM

STO WSN&S

Product

management

Innovatie Performance

CO Finance HR RES

Capacity Mobiel TV & Media

ZMCorporate

Market



Vitale diensten

Cluster Mobiel Internet Telefonie TV Multiplay Data

Diensten Voice,

data, SMS

Internettoegang,

e-mail, OPIB, ZI, corporate internet

PSTN/ISDN,

IPB WLR, VoIP, VoiP connect,

OPIB

iTV,

Digitenne

Combinatie

van IPB en iTV

WBA, MDF

(backhaul), EVPN, Epacity, vaste

verbindingen



Welke Security & BCM risico’s loopt KPN?

?



06-12-2011Congres Veiligheid & Risico

John van Leeuwen en Marcel van Leent

Waarom van belang

Stakeholders

Overheid (wet- en

regelgeving)

• Overheid gaat strakker reguleren op onderwerp security & continuity (bijv. nieuwe wetgeving meldplicht continuïteitsincidenten)

• Toenemende regeldruk uit Europa

Telecommunicatiewet

Hoofdstuk 14. Buitengewone omstandigheden

Artikel 14.6

1Onze Minister kan na overleg met Onze Ministers van Binnenlandse Zaken en

Koninkrijksrelaties en van Defensie regels stellen ten aanzien van de te nemen

organisatorische en personele maatregelen en de te treffen bijzondere

voorzieningen met betrekking tot de voorbereiding van het verzorgen van

elektronisch transport van gegevens in buitengewone omstandigheden als

bedoeld in art. 14.2, alsmede omtrent de aan Onze Minister daaromtrent te

verstrekken informatie.

Maatschappij

(klanteisen,

leveranciers en

reputatie)

• Iedereen vertrouwt op de veerkracht van KPN en verwacht dat zaken in de dienstketens goed op orde zijn

• Klanten in met name finance en publieke sector stellen steeds meer en hogere eisen aan de dienstketens

KPN• KPN wil de beste thuisspelende telco-

ICT dienstverlener in Europa worden• Het beste netwerk is hierbij een van de

3 belangrijke klantbeloftes

De beste

dienstverlener

Ik help u graagIk hou het

eenvoudig

Wij bieden u het

beste netwerk

Concurrenten• Hoe gaan belangrijke concurrenten

zoals BT, FT, Belgacom en Deutsche Telekom om met security & Continuity?



Besturing: we doen het samen

KPN NL – Segmentdirectie

Tactical

Security

Board

Technische unit (Segment)

Segment MT’s en Corporate Center

Tactisch Security

ManagerOperationele unit

Proces, service of

product eigenarenOperationeel Security

Manager

Operational

Security

Board

Security Steering

Committee

KPN Security

&

BCM

Manager

GRIP

board

KPN Group – Raad van Bestuur

KPN

CERT



Verantwoording afleggen

• GRIP staat voor Governance & compliance, Risk management en Internal control

Processes

• Samenvatting van de belangrijkste deficiencies en activiteiten aangaande GRIP

• Heeft betrekking op SOx (reliable financial reporting), CRA (compliance risk

assessments, regulatory compliance), Security & continuity, Fraude en SBRA

(strategic and business risk assessments)



Document of Representation



Wie heeft een geïntegreerd Management

systeem voor security en BCM?

?



Besturing: management systeem

• Inrichten van de besturing van security management en business continuity management als één geheel

• Eén geïntegreerd management systeem: ISMS + BCMS

• Op basis van Plan-Do-Check-Act cyclus

Information Security Management System (ISMS)

Bron: ISO27001:2005

Business Continuity Management System (BCMS)

Bron: BS25999:2007



Inbedding in processen

• De besturing (op basis van PDCA) bestuurt (operationele) processen.

• In deze processen wordt gemeten en op basis van deze informatie bijgestuurd.

• In de Do-fase wordt het plan uitgevoerd dat éénmalige acties bevat (die evt. projectmatig uitgevoerd worden)

Besturing

Projecten

- Templates ontwikkelen

- Processen implementeren

- Beleid uitschrijven

- Inventarisatie bedrijfsmiddelen

Processen

- Risicomanagement

- Logische en fysieke toegang

- Awareness acties

- Innovatie

- Change management

- Contract management

MetenBijsturen Inbedden in

processen

Eénmalige acties

kaders

excepties

rapportages

excepties

rapportages

kaders

Strategisch

Tactisch

Operationeel



Wat is het nadeel van de KPN + KPN

security organisatie voor Security & BCM?

?



• A chain is as strong as its weakest link.

De uitdaging in de keten



Publiek Private Samenwerking (PPS)

• SOVI Strategisch Overleg voor Vitale infrastructuren

• NCO–T Nationaal Continuïteits Overleg Telecom Sector

(Telecom Wet Artikel14)

• VNO-NCW Commissie vitaal (Platform voor continuïteit met

andere vitale sectoren)

Commissie informatiebeveiliging

• ICT-Office Platform voor Nederlandse belangen van de

ICT sector

• NCTV Nationale Coördinator voor Terrorismebestrijding

en Veiligheid

• ISAC Telecom ISAC – publiek-private informatie-

uitwisseling cybersecurity.

• NCSC Nationaal Cyber Security Centre

Nationale Cyber Security Raad

• IRB Nationale ICT Response board

• Internationaal EU en andere grote internationale telco’s



• Een geïntegreerd management systeem zorgt voor samenwerking en voorkomt dat

zaken dubbel worden gedaan.

• Zorg dat security en continuïteit in de targets van het management worden

opgenomen en dat zij hierover verantwoording afleggen.

• Werk samen aan geïntegreerde security en continuïteit.

(Het is zinloos om een hek om het gebouw te maken als er geen enkele controle

op geautoriseerde medewerkers of leveranciers is.)

• Werk zoveel mogelijk met best practices.

(Het wiel hoef je niet zelf uit te vinden)

• Bouw vertrouwensrelaties op met anderen in je werkveld

– Werk samen met je partners. 1+1 = 3

– Leer van elkaars ervaringen

(deel incidenten en help anderen dit te voorkomen)

Tips



Sessie 1 Samenwerking loont integrale veiligheid bij KPN

Business

Transcript of Sessie 1 Samenwerking loont integrale veiligheid bij KPN