Sessie 1 Samenwerking loont integrale veiligheid bij KPN
1. Dit congres is een initiatief van:
Meer winst uit
samenwerking
Samenwerking loont:
integrale veiligheid bij KPN
2. Even voorstellen
• John van Leeuwen
• KPN Group Business Continuity Manager
• Ervaring: Swift, Heineken, ArcelorMittal, Getronics
• KPN Ambassadeur op continuïteit, vitale infrastructuren, terrorisme en
cybersecurity/continuity en crisismanagement
• Verantwoordelijk voor BCM beleid binnen KPN
• Marcel van Leent
• Security manager KPN Wholesale & Operations
• Ervaring: Redwood Services, KPMG
• Verantwoordelijk voor informatiebeveiliging en business continuity
management binnen Wholesale & Operations (netwerkbedrijf).
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
3. Agenda
• Introductie KPN
• KPN organisatie
• Security & BCM organisatie
• Waarom van belang
• Besturing
• Inbedding in processen
• De uitdaging in de keten
• Publiek Private Samenwerking
• Tips
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
4. Introductie KPN
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
5. KPN organisatie
Raad van Bestuur
Consumentenmarkt
Zakelijke Markt
Corporate Market
Wholesale & Operations
Mobile International
iBasis
Overige activiteiten
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
6. Security & BCM organisatie
Strategisch
Group BCM & Security
Tactisch
Corporate ZM ITNL
CM W&O
Market
Operationeel
STO CO N&S WS Finance HR RES
Product Innovatie Performance Capacity Mobiel TV & Media
management
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
7. Vitale diensten
Cluster Mobiel Internet Telefonie TV Multiplay Data
Diensten Voice, Internettoegang, PSTN/ISDN, iTV, Combinatie WBA, MDF
data, e-mail, OPIB, IPB WLR, Digitenne van IPB en (backhaul),
SMS ZI, corporate VoIP, VoiP iTV EVPN,
internet connect, Epacity, vaste
OPIB verbindingen
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
8. ?
Welke Security & BCM risico’s loopt KPN?
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
9. Waarom van belang
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
10. Stakeholders
De beste • KPN wil de beste thuisspelende telco-
KPN dienstverlener
ICT dienstverlener in Europa worden
• Het beste netwerk is hierbij een van de
Ik hou het Wij bieden u het
3 belangrijke klantbeloftes
Ik help u graag
eenvoudig beste netwerk
Telecommunicatiewet
Overheid (wet- en Hoofdstuk 14. Buitengewone omstandigheden • Overheid gaat strakker reguleren op
Artikel 14.6
regelgeving) 1Onze Minister kan na overleg met Onze Ministers van Binnenlandse Zaken en onderwerp security & continuity (bijv.
Koninkrijksrelaties en van Defensie regels stellen ten aanzien van de te nemen
organisatorische en personele maatregelen en de te treffen bijzondere nieuwe wetgeving meldplicht
voorzieningen met betrekking tot de voorbereiding van het verzorgen van
elektronisch transport van gegevens in buitengewone omstandigheden als continuïteitsincidenten)
bedoeld in art. 14.2, alsmede omtrent de aan Onze Minister daaromtrent te
verstrekken informatie.
• Toenemende regeldruk uit Europa
Maatschappij • Iedereen vertrouwt op de veerkracht
(klanteisen, van KPN en verwacht dat zaken in de
leveranciers en dienstketens goed op orde zijn
reputatie) • Klanten in met name finance en
publieke sector stellen steeds meer en
hogere eisen aan de dienstketens
Concurrenten • Hoe gaan belangrijke concurrenten
zoals BT, FT, Belgacom en Deutsche
Telekom om met security & Continuity?
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
11. Besturing: we doen het samen
KPN Group – Raad van Bestuur
KPN NL – Segmentdirectie
GRIP
Security Steering board
Technische unit (Segment)
Committee
Segment MT’s en Corporate Center
Tactical
Security
Board KPN Security
Tactisch Security
&
Operationele unit Manager
BCM KPN
Manager CERT
Proces, service of Operational
product eigenaren Security
Operationeel Security
Board
Manager
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
12. Verantwoording afleggen
• GRIP staat voor Governance & compliance, Risk management en Internal control
Processes
• Samenvatting van de belangrijkste deficiencies en activiteiten aangaande GRIP
• Heeft betrekking op SOx (reliable financial reporting), CRA (compliance risk
assessments, regulatory compliance), Security & continuity, Fraude en SBRA
(strategic and business risk assessments)
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
14. ?
Wie heeft een geïntegreerd Management
systeem voor security en BCM?
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
15. Besturing: management systeem
• Inrichten van de besturing van security management en business
continuity management als één geheel
• Eén geïntegreerd management systeem: ISMS + BCMS
• Op basis van Plan-Do-Check-Act cyclus
Information Security Management System (ISMS) Business Continuity Management System (BCMS)
Bron: ISO27001:2005 Bron: BS25999:2007
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
16. Inbedding in processen
• De besturing (op basis van PDCA) bestuurt (operationele) processen.
• In deze processen wordt gemeten en op basis van deze informatie bijgestuurd.
• In de Do-fase wordt het plan uitgevoerd dat éénmalige acties bevat (die evt.
projectmatig uitgevoerd worden)
Besturing
Eénmalige acties Projecten
- Templates ontwikkelen
- Processen implementeren
- Beleid uitschrijven
- Inventarisatie bedrijfsmiddelen
Bijsturen Inbedden in Strategisch
Meten
processen
kaders
Tactisch
Processen excepties
- Risicomanagement
- Logische en fysieke toegang kaders Operationeel
- Awareness acties rapportages
- Innovatie excepties
- Change management
- Contract management
rapportages
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
17. ?
Wat is het nadeel van de KPN + KPN
security organisatie voor Security & BCM?
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
18. De uitdaging in de keten
• A chain is as strong as its weakest link.
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
19. Publiek Private Samenwerking (PPS)
• SOVI Strategisch Overleg voor Vitale infrastructuren
• NCO–T Nationaal Continuïteits Overleg Telecom Sector
(Telecom Wet Artikel14)
• VNO-NCW Commissie vitaal (Platform voor continuïteit met
andere vitale sectoren)
Commissie informatiebeveiliging
• ICT-Office Platform voor Nederlandse belangen van de
ICT sector
• NCTV Nationale Coördinator voor Terrorismebestrijding
en Veiligheid
• ISAC Telecom ISAC – publiek-private informatie-
uitwisseling cybersecurity.
• NCSC Nationaal Cyber Security Centre
Nationale Cyber Security Raad
• IRB Nationale ICT Response board
• Internationaal EU en andere grote internationale telco’s
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent
20. Tips
• Een geïntegreerd management systeem zorgt voor samenwerking en voorkomt dat
zaken dubbel worden gedaan.
• Zorg dat security en continuïteit in de targets van het management worden
opgenomen en dat zij hierover verantwoording afleggen.
• Werk samen aan geïntegreerde security en continuïteit.
(Het is zinloos om een hek om het gebouw te maken als er geen enkele controle
op geautoriseerde medewerkers of leveranciers is.)
• Werk zoveel mogelijk met best practices.
(Het wiel hoef je niet zelf uit te vinden)
• Bouw vertrouwensrelaties op met anderen in je werkveld
– Werk samen met je partners. 1+1 = 3
– Leer van elkaars ervaringen
(deel incidenten en help anderen dit te voorkomen)
Congres Veiligheid & Risico
06-12-2011
John van Leeuwen en Marcel van Leent