1. Veiliger door gezond verstand Naar een gentegreerde aanpak van IT-beveiliging Safe@school 27 mei 2014 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )

2. Wie ben ik ? Jan Guldentops (1973) Dit jaar bouw ik 19 jaar server en netwerk infrastructuren Oprichter Better Access (1996) en BA (2003) Open Source Fundamentalist (na mijn uren) Sterke praktische achtergrond op het vlak van ICT beveiliging Breng veel tijd in het testlab door R&D (vooral security) journalistiek Online te volgen via twitter (JanGuldentops), Linkedin, Slideshare 3. Bekentenis Ik was zo'n student die zijn overtollige vrije tijd gebruikte om security-problemen te zoeken in het KULnet(werk). Maar sindsdien veel verandert : Digital natives Google Moore's Law Doorgedreven digitalisering 4. Wat is security ? Het garanderen van CIA 5. Moeilijk evenwicht Balans tussen : veiligheid functionaliteit Gebruikersgemak 6. Veel blabla, weinig boemboem Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk, de marketing en de sales. Security is vaak passe partout om je een doosje te verkopen dat al je problemen oplost. #not En pas helemaal op als het in de genadeloze handen van politici valt... 7. Cirkel van Deming 8. Plan (1) Vat alles samen in een policy Wat je wil / moet bereiken o.a. Risico analyse Inventaris Business Continuity Plan Recovery Time Objective ( RTO ) Recovery Point Objective ( RPO) Hou ook rekening met de wettelijke vereisten ! Hoe je dit gaat doen en volgens welke procedures 9. Plan(2) Creer een bewustzijn/kennis dat security belangrijk is bij : Je directie Het personeel, zelfs bij de leerlingen / studenten Maak goeie afspraken met iedereen : Leveranciers Duidelijke leesbare contracten met NDA, SLA, etc. Studenten / personeel Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !) 10. Plan(3) Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer... Plan for the worst zorg dat je al weet wat je gaat doen als er iets misgaat Zorg voor een overleg / communicatiestructuur Security comit met overleg op vaste tijdstippen Hou cijfers, gegevens bij voor latere analyse 11. DO De eigenlijke implementatie van de security- infrastructuur Verschillende elementen en componenten Zorg altijd voor documentatie en kennisoverdracht Geen lockin van een leverancier ! Outsource de dingen die te complex zijn, insource de rest om het betaalbaar te houden... 12. Degelijke netwerkbeveiliging Veilig opgezet lokaal netwerk Vlans ( layer 2 ) Voldoende vlans maar niet teveel Access Control Lists tussen vlans en buitenwereld ( layer 3) Beveilig je netwerkinfrastructuur : Wachtwoorden Correcte SNMP Veilig beheer via een encrypted verbinding Overweeg Port security met dynamische VLANS ( 802.1x) 13. Draadloze netwerken Let op : Stel client isolation in Duidelijk opgedeelde SSID's met achterliggende vlans of 802.1x dynamische vlans Zet wireless netwerken af buiten lesuren... Geen single toegangskey voor iedereen Integreer met bestaande authenticatiesystemen Opgepast voor Rogue Access Points 14. Cloud Hype du jour Technologie die de gebruiker meer controle geeft. Eigen set van problemen : Connectiviteit Veiligheid van die applicaties ? Beschikbaarheid van de applicaties 15. BYOD Gebruikers willen hun eigen toestel gebruiken in plaats van de standaard die de ICT- beheerder voorstelt. Veel verschillende aanpakken, op dit moment de meeste efficinte die ik ken is : Degelijke antivirus licenties en controle op de devices Een thin client omgeving a la Awingu ( http://www.awingu.com ) 16. Authenticatie / rechten Password of token Als je passwoorden gebruikt, zet een stevige wachtwoordpolicy ! Geen triviale wachtwoorden Alle 3 maanden veranderen Leer desnoods de mensen werken met een kluisje als Keeppass Tokens : EID, digipass/onetime, Biometrie Maar grotere complexiteit / kost Zorg ervoor dat je n centraal gebruikerssysteem hebt dat je voor alle toegangsrechten gebruikt. Werk met rollen en groepen, geen rechten la tte du client 17. Encryptie Gebruik zoveel mogelijk encryptie ! Versleutelen van gevoelige bestanden Alle verbindingen moeten versleuteld zijn (https ipv http b.v.) Liefst ook de opslag van mobiele devices ( smartphone, laptops, tablets, usb) Gebruik encryptie ook op de juiste manier Geen Self-signed certificates 18. Backups Gebruik je gezond verstand Offline / online / cloud ? Hoe lang hou je backups bij ? ( retentie ) Hoe en hoe lang duurt het om ze te restoren ? Is mijn backup-medium wel betrouwbaar ? Past dit alles in mijn RTO / RPO ? Volumes worden een probleem 19. Open Source Kijk altijd eerst naar open source als je een oplossing zoekt Flexibel, best-of-breed, goedkoop of zelfs gratis Veel eenvoudiger geworden door de komst van virtuele appliances Ongeloofelijke schatkist aan tools: firewalls, antivirus, etc. 20. CHECK (1) Controlleer / Audit op vaste tijdstippen je security Met een extern consultant Automatische vulnerability Assessment tools Zelf ( gebruik bv Kali Linux ) Vergeet zeker je wireless niet ! Controlleer je Business Continuity Plan Op vaste tijdstippen een volledige test ( restore of failover) Check ook de logs van je backups 21. CHECK (2) Monitor Zorg ervoor dat je een proactief monitoringsysteem hebt met historische cijfers Noodzakelijk om je SLA te monitoren en te weten hoe het gaat. Hiervoor kan je bij bij BA een gestandardiseerd monitoringsysteem aanschaffen. Log alle interventies in een ticketing systeem Voorzie de nodige procedures om alles op te volgen 22. ACT Los de problemen die je hebt op Structureel geen brandjes blussen met tijdelijke oplossingen Change Management Doe het gestructureerd Stuur bij Documenteer Zorg dat je alles documenteert 23. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/