KPN publiceert een app met zijn securitybeleid en richtlijnen voor de beveiliging van ict. De app is in eerste instantie gericht op eigen medewerkers die betrokken zijn bij ict-beveiliging. Daarnaast moet de app inspiratie bieden voor security-professionals bij andere organisaties. Zowel medewerkers als externen kunnen via de app suggesties voor verbeteringen indienen.
De app beschikt over functionaliteiten waarmee security-medewerkers hun beleid kunnen toetsen. Het maakt bijvoorbeeld gebruik van CVSS (Common Vulnerability Scoring System), een standaardmethode voor het beoordelen van kwetsbaarheden. Het wordt gebruikt om de urgentie van de respons op incidenten te bepalen. Phosi (Potential Harm Of Security Incident) wordt ingezet om bij een beveiligingsincident te berekenen wat de potentiële schade voor de organisatie is.
Naast informatie over de hoofdlijnen van het securitybeleid van KPN bevat de app gegevens over de beveiliging van persoonsgegevens, incidentmanagement en fysieke beveiliging.
KPN’s chief information security officer (Ciso) Jaya Baloo benadrukt dat het veiligheidsbeleid constant moet worden aangepast aan de actualiteit. ‘De sleutel tot een volwassen beveiliging ligt in constante verbetering. Daarmee is ons beleid meer een wiki dan een wet.’
Ciso
De informatiebeveiliging en bedrijfscontinuïteit worden binnen KPN gewaarborgd door een team aan beveiligingsexperts. Zij houden zich aan de levenscyclus voor beveiliging via preventie, detectie, respons en verificatie. Het team bestaat uit vier onderdelen. Dat zijn: Strategie & beleid (preventie), Ciso red-team (proactieve detectie met behulp van ethische hackers), KPN-CERT (Computer Emergency Response Team) (respons) en Senior security officers (verificatie).
KPN-CERT is geïntegreerd in het Security Operating Center (SOC) van KPN. Dat SOC draait om reactieve detectie. KPN: ‘Naast de inspanningen van de eigen ethische hackers werken we graag samen met iedere partij die een potentieel beveiligingslek identificeert.’ Het bedrijf benadrukt dat kennis en ervaring op verantwoordelijke wijze wordt gebruikt. Deelnemers moeten de zogenoemde responsible disclosureprocedure in acht nemen.
Goed initiatief! Zou een voorbeeld moeten zijn.