KPN publiceert securitybeleid in app voor professionals


KPN publiceert zijn securitybeleid en richtlijnen in een speciale app voor security professionals. KPN wil transparant zijn over zijn aanpak en verwacht hierdoor zijn securitybeleid verder te kunnen verbeteren. Feedback wordt gestimuleerd, alle suggesties voor verbetering kunnen worden
aangedragen. Daarnaast hoopt KPN hiermee andere security professionals te inspireren, zodat zij in de dagelijkse praktijk ook makkelijker, sneller en slimmer uitvoering kunnen geven aan hun werk.

"Bij KPN is het een doorlopend proces om het veiligheidsbeleid aan te passen aan de actualiteit. De sleutel tot security volwassenheid ligt in continue verbetering. Daarmee is ons beleid meer een wiki dan een wet", aldus Jaya Baloo, Chief Information Security Officer (CISO) bij KPN.

In de app is het KPN security beleid en een aantal tools beschikbaar gesteld waarmee security professionals hun eigen beleid kunnen toetsen maar ook de potentiele ernst van kwetsbaarheden en incidenten berekenen. Dit kan door de CVSS (Common Vulnerability Scoring System) te gebruiken. De
CVSS is de universele open en gestandaardiseerde methode voor het beoordelen van IT- kwetsbaarheden en om de urgentie van de respons te bepalen. Door de PHOSI (Potential Harm Of Security Incident) van ieder veiligheidsincident te berekenen wordt duidelijk wat de potentiele schade kan zijn van
een veiligheidsincident voor de organisatie.

Over KPN CISO
Binnen KPN waarborgt het Chief Information Security Office (CISO) de informatiebeveiliging en bedrijfscontinuiteit. Daarbij houdt zich aan de levenscyclus voor beveiliging via preventie, detectie, respons en verificatie. Het CISO-team bestaat uit vier teams: Strategie & Beleid-team
(preventie), CISO RED-team (proactieve detectie met behulp van ethische hackers), KPN-CERT (Computer Emergency Response Team) (respons) en Senior Security Officers (verificatie). KPN-CERT is operationeel sterk geintegreerd met het Security Operating Center (SOC) van KPN (reactieve detectie).
Naast de inspanningen van de eigen ethische hackers werkt KPN graag samen met iedere partij die een potentieel beveiligingslek identificeert, mits daarbij de expertise op verantwoordelijke wijze wordt gebruikt en de responsible disclosureprocedure in acht wordt genomen.