1. Van brandweerman tot
brandpreventieadviseur
TIPS VOOR EEN BETERE, GESTRUCTUREERDE EN
GECONTROLEERDE AANPAK VAN ICT IN LOKALE BESTUREN.
V-ict-or Shopt IT 2017
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
4. ICT uitdagingen vandaag
● MEER
● ICT en software infrastructuur
● Complexiteit
● Veiligheidsvereisten
● Nood aan beschikbaarheid
● MINDER
● Middelen en medewerkers
● Budgetaire druk
● Maar: “Je moet niet besparen op ICT, je
moet besparen met ICT”
● En dit is nog maar het begin...
5. ICT-volgt een eigen hypecyclus
● ICT industrie verkoopt met “de hype van het
moment”
● “cloud”, midoffice, GDPR
● Termen de beginnen als heel duidelijk maar na een
tijd heel vaag worden
● Wordt als verkoopsterm voor om het even wat
gebruikt.
● Fear, uncertainty & Doubt
6. De juiste doelstellingen
● ICT is een middel geen doel
● Leg de doelstellingen vast in een masterplan
bepaald door :
● Wat je moet bereiken ?
– Wettellijke vereisten
– Afspraken met externe partijen
● De management doelstellingen van je bestuur
● Dit alles duidelijk beschrijven !
● Geen paraplu’s
7. Wat is de rol van de ICT’er?
● In / Outsourcing ?
● Wat kunnen we het meest rendabel zelf doen,
wat laten we door leveranciers doen ?
● Bv. eindgebruikers ondersteuning zelf, firewall en
virtualisatieinfrastructuur geoutsourced
● Bv. Enkel coordinatie en alles geoutsourced naar
één, liefst meerdere partijen
● Zoeken naar het juiste evenwicht
8. Wat is informatieveiligheid ?
Beschermen van informatie en informatiesystemen tegen :
Ongeautoriseerde toegang / gebruik / bekendmaking
Integriteit an die gegevens
Beschikbaarheid / verlies van gegevens of systemen
Kortom : Garanderen van CIA
Confidentiality
Integrity
Availibility
10. Waarom aandacht besteden aan
informatieveiligheid?
Omdat het moet !
Huidige privacy wetgeving
Richtlijnen Vlaamse overheid en KSZ
Nieuwe EU privacy webgeving :
Van kracht sinds mei 2016
Afdwingbaar in mei 2018 ! (-> 1,5 jaar)
Wet met tanden !
Boeteclausules( 4% turnover tot €
20.000.000)
Meldingsplicht binnen 72 uur!
DPO
Etc.
11. Informatieveiligheid: de praktijk
● Pro forma :
● Informatieveiligheidsconsulent
– Geoutsourced aan een intercommunale
– Gebeurt quasi niks
● Informatieveiligheidscel
– Komt nooit samen of komt samen zoals een Waalse intercommunale op papier
● Resultaat :
– Weinig besturen hebben dit echt op punt
– Wil je dit wel outsourcen of zelf doen ?
● Mijn advies: doe het zelf en geef het aan de Kwaliteitsambtenaar
● In het andere geval wil je wekelijks met je informatieveiligheidsconsulent praten !
– 4 uur per week !
12.
13. Onveilige gemeentelijke websites
● Beveiliging van de website : HTTPS
● Test het zelf ! https://www.ssllabs.com/ssltest/
● Opvragen van veel persoonsgegevens !
● Formulieren voor jobstudenten, etc.
● Vragen heel veel
● Hoe gaat de leverancier met deze gegevens en
de site op?
14.
15. Authenticatie
● Geintegreerde Authenticatiesystemen voor alle
toepassingen
● Één ( active ) directory
● Degelijke wachtwoord policies
● Waarom gebruiken we nog wachtwoorden ?
● 2factor authenticatie – zeker voor remote access
17. Beschikbaarheid
● Bepaal welke beschikbaarheid elke dienst nodig heeft.
● Is niet voor iedere dienst hetzelfde
● Recovery Time Objective ( RTO)
– Hoe lang mag de omgeving maximaal plat liggen ?
● Recovery Point Objective (RPO)
– Hoeveel data mag ik maximaal kwijt raken ?
● Retentie tijd
– Hoe ver moeten we terug kunnen gaan in de tijd
● Steek dit in een Business continuity plan
● Wat moet er bereikt worden en hoe gaan jullie dit bereiken ?
● Test, test, test!
– Schrodingers law on backups
18. Belangrijke tools : inventaris
● Maak een inventaris van alles wat u heeft :
● OCSinventory
● Zenmap
● Lansweeper
● Controlleer ze en werk ze bij
● Belangrijk :
● Informatieveiligheidsplan
● Software licenties
19.
20. Belangrijke tools: ticketsysteem
● Support is brandjes blussen
● 20% van de gebruikers, genereren 80% van de problemen
● Traditioneel :
– Wie het hardste roept, krijgt het snelste support.
– Vaak dezelfde problemen.
– Geen idee wat er gebeurd
– Telefoon : alles laten vallen en oplossen !
– Geen overzicht
● Alles in een ticketingsysteem
● Alle support ( ook opvolging uit de omgeving )
● Alle problemen zijn gedocumenteerd
– Statistieken
– Documentatie
● Structureel opvolgen
● Minder stress
● Type oplossing maakt niet uit :
● Topdesk, OTRS, etc.
21. Degelijke afspraken met
leveranciers
● Spreek duidelijk af en zet dit op papier
● Informatieveiligheidsaspecten
● Non-disclosure agreement
● Service Level Agreement
● Zorg dat je begrijpt wat er in het contract staat !
● Vraag geen onmogelijke dingen !
● Zorg dat de SLA tanden heeft !
● Bespreek procedures
● Plan overleg
22. Documentatie
● Leer uw ICT’ers documenteren !
● Geef hen een online tool om alles bij te houden
● Folder
● Wiki
● Liefst niet in de cloud
● Zorg dat je de documentatie altijd snel
beschikbaar hebt
23. Change management
● Ad hoc interventies
● Zorg dat u altijd weet als externe of interne ict-partijen iets gaan
wijzigingen
● Updates
● Herconfiguraties
● Tests
● Change management document
● Wat ga je doen ? ( liefst exact beschreven )
● Wanneer ga je dat doen ? ( Periode )
● Wat is de impact ? ( en dus ook wie moet er gewaarschuwd worden ?)
● Hoe keer ik terug naar de oude situatie als het mis gaat ?
24. Aankopen
● Moeilijke evenwicht tussen insourcing / outsourcing
● Aanbestedingen
● Beschrijf de functionaliteit en minimale vereisten niet de techniek !
● Beschrijf altijd de SLA !
● Coditel-arrest
● Aankopen bij een intercommunale
– Infrax
– Cipal
● Raamcontracten / aankoopcentrales
● Brugge, Vlaams-Brabant, Vito
26. ● Iets of iemand permanent alles in de gaten houdt:
● Exact, realtime weten wat er gebeurt in je ICT
– Stavaza
– Status Questionis in een oogopslag
● Historisch alles bijhoudt en zichtbaar maakt
– Helpt strategische beslissingen te nemen
– Proactief te werken
– SLA rapporting
– Meten is weten !
● Alarm slaat op de juiste gestructureerde manier naar de juiste mensen
27. Bouwstenen
● Open Source gereedsschapskoffer
● Enterprise Linux besturingssysteem
● Nagios monitoring
● Hele toolbox aan tools en checks
● MAAR: verpakt als appliance
● Full service
● Initiële configuratie / training
● Alle dienstverlening om alles up en running
te houden
– Automatische updates
● Security / systeem
● Nieuwe features
– Backups`
– Support
28. Gebaseerd op de praktijk
● Ontwikkelen eigenlijk in stilte, ad hoc al 12 jaar
de monitoring
● Referenties in lokale overheid : Bilzen, Gial,
Lummen, Machelen, Grimbergen, Provincie
Limburg, SKW,Tervuren
● 2014-15 Raamcontract Proactieve monitoring
VERA
30. Wat houden we in de gaten ?
● Alles
● (wat we op een gestructureerde manier via het
netwerk kunnen bevragen)
● Netwerk, server, verbindingen, bandbreedtes,
latency, systeemgebruik, diskruimte, hardware
(temperatuur, status), stroomvoorziening,
webgebaseerde software-toepassingen, airco, pc's,
services, etc.
● Zelfs: spam blacklist checks, certificaten controles,
rogue snapshot detectie, etc.
31. Checks / controles
Server-, storage en hypervisor infrastructuur afhankelijk van de gebruikte technologie monitoren we deze :
– via SNMP (bijvoorbeeld hp servers)
– via check_mk een extra plugin die ons in staat stelt de systeemstatus uit te lezen van de desbetreffende server
– via nrpe
– via remote ssh-commando's
– via maatwerk waarbij een specifiek checkscript voor deze of gene infrastructuur geschreven wordt.
● Netwerk-infrastructuur
– ICMP en UDP test door middel van ping
– houdt de beschikbaarheid in de gaten, meet latency en package loss
– geeft ook een idee van de beschikbare bandbreedte
– actief op de componenten via snmp pulls en traps
– via de centrale syslogserver door het analyseren van de logfiles van deze componenten
– met checkscripts.
– Optioneel kan ook RMON gebruikt worden
● Virtuele machines / infrastructuur
– Via monitoring via de hypervisor / Vcenter
– Via SNMP
– Via check_mk, nrpe, remote ssh
● Services
– Controleren of bepaalde services nog draaien gebeurt via eigen check-plugins.
● Cloud
32. Checks / controles
● Infrastructuur
● Stroom / UPS :
– via de SNMP
– via een seriële kabel
– via de meegeleverde software van de leverancier
● Temperatuur / humidity-sensors werken meestal via snmp.
● Videobewaking en motion-detection via maatscripts
● Loganalyses
● Bepaalde aspecten van het werk van een systeembeheerder kunnen overgenomen worden door analyse-scripts :
– analyseren van logfiles
– backups omvat de backuplogs checken op eventuele foutmeldingen en daarbij de status van de backup aanpassen.
– Anomalieën door rare entries in de logfiles
● security
● Speciale mogelijkheden :
● Hostbased IDS-controle
● scans van het netwerk
● check of je niet in blacklists zit
● checks voor snapshots
33. Visualisatie / alarmen
● Webinterface
● Eigenlijke webinterface
● Statussen op beelden
● Visualisaties
● Groot scherm
● Mobiel
● Alarm
● SMS
● E-mail
● Supportsystemen
● Plugin Firefox
● Apps op Android en IOS
34. Dit is een tool die je dagelijks
moet gebruiken !
35. Ideeën nu in het lab
● Er zijn verschillende stukken nu in test / ontwikkeling
● Security checks
– Hostbased IDS / Integriteitscontroles
– Loganalyses ( Logstash / Kibana integratie)
● Doel te evolueren naar een SIEM light
– Vulnerability Assessment
– SSL certificaat test ( Qualsys / ssl certificaten )
– What's new in my network ?
● Toegangscontroles / camera's
● Cloud SAAS monitoring
● Backupcontroles
● Nieuwe hardware
– Bv Maitel telefooncentrale
● Mobile apps
– IOS
– Android
● Integraties
● Met helpdesksystemen
– Topdesk
– Omnitracker
36. Ecosysteem
● Work in progress
● Alle lokale besturen doen eigenlijk hetzelfde, net een beetje anders
● 95-99% out-of-the-box hetzelfde, af en toe maatwerk voor specifieke SAN,
switch, telefooncentrale, etc.
● Doen gezamelijke ontwikkeling
● Checks worden ontwikkeld op basis van vragen van nieuwe klanten en dan
teruggegeven aan het hele ecosysteem
● Vast stramien:
– DEV -> ACCEPTANCE / TESTING -> PRODUCTIE
– Automatisch via updates beschikbaar aan het hele ecosysteem
37. Samengevat
● Loop de hype niet achterna !
● Masterplan
● Informatieveiligheid !
● Tools !
● Support
● Inventaris
● Monitoring
● Documentatie