Sessie 1 Samenwerking loont integrale veiligheid bij KPN
-
Upload
veiligheidenrisico -
Category
Business
-
view
716 -
download
0
Transcript of Sessie 1 Samenwerking loont integrale veiligheid bij KPN
Dit congres is een initiatief van:
Meer winst uit
samenwerking
Samenwerking loont:
integrale veiligheid bij KPN
Even voorstellen
• John van Leeuwen
• KPN Group Business Continuity Manager
• Ervaring: Swift, Heineken, ArcelorMittal, Getronics
• KPN Ambassadeur op continuïteit, vitale infrastructuren, terrorisme en
cybersecurity/continuity en crisismanagement
• Verantwoordelijk voor BCM beleid binnen KPN
• Marcel van Leent
• Security manager KPN Wholesale & Operations
• Ervaring: Redwood Services, KPMG
• Verantwoordelijk voor informatiebeveiliging en business continuity
management binnen Wholesale & Operations (netwerkbedrijf).
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
• Introductie KPN
• KPN organisatie
• Security & BCM organisatie
• Waarom van belang
• Besturing
• Inbedding in processen
• De uitdaging in de keten
• Publiek Private Samenwerking
• Tips
Agenda
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Introductie KPN
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
KPN organisatie
Raad van Bestuur
Consumentenmarkt
Zakelijke Markt
Corporate Market
Wholesale & Operations
Mobile International
iBasis
Overige activiteiten
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Security & BCM organisatie
Strategisch
Tactisch
Operationeel
Group BCM & Security
W&O ITNLCM
STO WSN&S
Product
management
Innovatie Performance
CO Finance HR RES
Capacity Mobiel TV & Media
ZMCorporate
Market
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Vitale diensten
Cluster Mobiel Internet Telefonie TV Multiplay Data
Diensten Voice,
data, SMS
Internettoegang,
e-mail, OPIB, ZI, corporate internet
PSTN/ISDN,
IPB WLR, VoIP, VoiP connect,
OPIB
iTV,
Digitenne
Combinatie
van IPB en iTV
WBA, MDF
(backhaul), EVPN, Epacity, vaste
verbindingen
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Welke Security & BCM risico’s loopt KPN?
?
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
06-12-2011Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent
Waarom van belang
Stakeholders
Overheid (wet- en
regelgeving)
• Overheid gaat strakker reguleren op onderwerp security & continuity (bijv. nieuwe wetgeving meldplicht continuïteitsincidenten)
• Toenemende regeldruk uit Europa
Telecommunicatiewet
Hoofdstuk 14. Buitengewone omstandigheden
Artikel 14.6
1Onze Minister kan na overleg met Onze Ministers van Binnenlandse Zaken en
Koninkrijksrelaties en van Defensie regels stellen ten aanzien van de te nemen
organisatorische en personele maatregelen en de te treffen bijzondere
voorzieningen met betrekking tot de voorbereiding van het verzorgen van
elektronisch transport van gegevens in buitengewone omstandigheden als
bedoeld in art. 14.2, alsmede omtrent de aan Onze Minister daaromtrent te
verstrekken informatie.
Maatschappij
(klanteisen,
leveranciers en
reputatie)
• Iedereen vertrouwt op de veerkracht van KPN en verwacht dat zaken in de dienstketens goed op orde zijn
• Klanten in met name finance en publieke sector stellen steeds meer en hogere eisen aan de dienstketens
KPN• KPN wil de beste thuisspelende telco-
ICT dienstverlener in Europa worden• Het beste netwerk is hierbij een van de
3 belangrijke klantbeloftes
De beste
dienstverlener
Ik help u graagIk hou het
eenvoudig
Wij bieden u het
beste netwerk
Concurrenten• Hoe gaan belangrijke concurrenten
zoals BT, FT, Belgacom en Deutsche Telekom om met security & Continuity?
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Besturing: we doen het samen
KPN NL – Segmentdirectie
Tactical
Security
Board
Technische unit (Segment)
Segment MT’s en Corporate Center
Tactisch Security
ManagerOperationele unit
Proces, service of
product eigenarenOperationeel Security
Manager
Operational
Security
Board
Security Steering
Committee
KPN Security
&
BCM
Manager
GRIP
board
KPN Group – Raad van Bestuur
KPN
CERT
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Verantwoording afleggen
• GRIP staat voor Governance & compliance, Risk management en Internal control
Processes
• Samenvatting van de belangrijkste deficiencies en activiteiten aangaande GRIP
• Heeft betrekking op SOx (reliable financial reporting), CRA (compliance risk
assessments, regulatory compliance), Security & continuity, Fraude en SBRA
(strategic and business risk assessments)
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Document of Representation
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Wie heeft een geïntegreerd Management
systeem voor security en BCM?
?
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Besturing: management systeem
• Inrichten van de besturing van security management en business continuity management als één geheel
• Eén geïntegreerd management systeem: ISMS + BCMS
• Op basis van Plan-Do-Check-Act cyclus
Information Security Management System (ISMS)
Bron: ISO27001:2005
Business Continuity Management System (BCMS)
Bron: BS25999:2007
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Inbedding in processen
• De besturing (op basis van PDCA) bestuurt (operationele) processen.
• In deze processen wordt gemeten en op basis van deze informatie bijgestuurd.
• In de Do-fase wordt het plan uitgevoerd dat éénmalige acties bevat (die evt. projectmatig uitgevoerd worden)
Besturing
Projecten
- Templates ontwikkelen
- Processen implementeren
- Beleid uitschrijven
- Inventarisatie bedrijfsmiddelen
Processen
- Risicomanagement
- Logische en fysieke toegang
- Awareness acties
- Innovatie
- Change management
- Contract management
MetenBijsturen Inbedden in
processen
Eénmalige acties
kaders
excepties
rapportages
excepties
rapportages
kaders
Strategisch
Tactisch
Operationeel
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Wat is het nadeel van de KPN + KPN
security organisatie voor Security & BCM?
?
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
• A chain is as strong as its weakest link.
De uitdaging in de keten
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
Publiek Private Samenwerking (PPS)
• SOVI Strategisch Overleg voor Vitale infrastructuren
• NCO–T Nationaal Continuïteits Overleg Telecom Sector
(Telecom Wet Artikel14)
• VNO-NCW Commissie vitaal (Platform voor continuïteit met
andere vitale sectoren)
Commissie informatiebeveiliging
• ICT-Office Platform voor Nederlandse belangen van de
ICT sector
• NCTV Nationale Coördinator voor Terrorismebestrijding
en Veiligheid
• ISAC Telecom ISAC – publiek-private informatie-
uitwisseling cybersecurity.
• NCSC Nationaal Cyber Security Centre
Nationale Cyber Security Raad
• IRB Nationale ICT Response board
• Internationaal EU en andere grote internationale telco’s
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011
• Een geïntegreerd management systeem zorgt voor samenwerking en voorkomt dat
zaken dubbel worden gedaan.
• Zorg dat security en continuïteit in de targets van het management worden
opgenomen en dat zij hierover verantwoording afleggen.
• Werk samen aan geïntegreerde security en continuïteit.
(Het is zinloos om een hek om het gebouw te maken als er geen enkele controle
op geautoriseerde medewerkers of leveranciers is.)
• Werk zoveel mogelijk met best practices.
(Het wiel hoef je niet zelf uit te vinden)
• Bouw vertrouwensrelaties op met anderen in je werkveld
– Werk samen met je partners. 1+1 = 3
– Leer van elkaars ervaringen
(deel incidenten en help anderen dit te voorkomen)
Tips
Congres Veiligheid & Risico
John van Leeuwen en Marcel van Leent06-12-2011