Cloudbaseret IT-løsning til GAP analyser, risikovurdering, procesforandring og sikkerhedsstyring.

Transkript

1 Cloudbaseret IT-løsning til GAP analyser, risikovurdering, procesforandring og sikkerhedsstyring. Funktionel beskrivelse af enablorløsningen i anvendelse til f.eks. EU GDPR projekter m.v. S. 1

2 Information om enablor platformen til informationssikkerhedsstyring 1. Bag om enablor I-Trust har i mange år arbejdet for på bedste måde at hjælpe organisationer til at leve op til både dansk og europæisk lovgivning på informationssikkerhedsområdet. For at skabe det bedste overblik og den mest overskuelige fremgangsmåde, har vi skabt enablor og placeret det i skyen. enablor er et compliance- og styringsværktøj udviklet til at give organisationer mulighed for målrettet og effektivt at styre informationssikkerheden. I enablor kan organisationen måle status ift. gældende lovgivning, få værktøjer til at analysere, forbedre og styre informationssikkerhed samt dele viden og benchmarke med andre. enablor understøtter organisationers arbejde med implementeringen af EU s persondataforordning såvel som ISOstandarder. Gennem benchmark-værktøjer kan organisationen følge sin indsats f.eks. i forhold til ressourceindsats eller effekt af tiltag. enablors logo benchmark-mærket rummer fire funktioner: status, sammenligning, vidensdeling og værktøjer 1.1. Hvorfor vælge enablor? enablor understøtter organisationens arbejde med lovgivning og branchestandarder. Samtidig giver platformen adgang til direktions- og ledelsesrapportering, styring og implementering af anbefalede processer i organisationen samt analyse-, forbedrings- og kontrolværktøjer til IT-chef og informationssikkerhedsleder. Den cloudbaserede løsning er baseret på en moderne brugergrænseflade, der gør arbejdet med persondataog informationssikkerhed effektivt. Så længe alting er at finde i skyen, er organisationen ligeledes sikret mod tab enablor understøtter et overblik over hele organisationens informations-sikkerhedsindsats Fra direktørens strategiske overblik til den daglige ledelses praktiske opgaver prioritering af organisationens indsatser dokumentation af tiltag og status en platform i skyen hvor alt arbejdet med organisationens informationssikkerhed foregår på. Det er slut med mapper og uoverskuelige faneblade. Alt kan findes med få klik og er altid ved hånden. styring og rapportering i et let tilgængeligt, intuitivt system effektive kontroller og ændringer i IT-organisationen På enablor er det nemt at finde de oplysninger man skal bruge, se grafer over fremskridt og følge med i vedligeholdelse af tiltag i organisationen. Med enablor er svaret sikkert og præcist, når nogen spørger om organisationen overholder den gældende lovgivning. enablor leveres til enkelt organisationer som styringsværktøjer og i større projekter som samarbejds- og vidensdelingsplatform. S. 2

3 1.3. Governance enablor gør det muligt at involvere relevante personer og niveauer i organisationen igennem rapportering og inddragelse i sikkerhedsprocesserne: Den øverste ledelse kan se opfyldelsen af rammekrav og den indsats, der gøres for compliance. Den daglige ledelse kan se, om der er indført de relevante og anbefalede processer. IT-ledelsen har indblik sammenhængen mellem IT-processer og sikkerhedstiltag. Den sikkerhedsansvarlige kan se om alle relevante kontroller er indført og hvor vidt de vedligeholdes. Corporate Governance Enterprise Governance IT Governance Infosec Governance Kodeordet for god governance er samarbejde eller alignment mellem de forskellige aktører. enablor understøtter at de relevante aktører er involveret og informeret gennem delegerings-, rapporterings- og samarbejdsværktøjer Anskaffelse af enablor enablor anskaffes som pay as you scale. Det vil sige at man aldrig betaler for mere end man bruger. Ved køb af enablor laves der en plan over organisationens behov og startniveauet aftales. Organisationen kan med fordel begynde med gap-analyser ift. EU s Persondataforordning og/eller ISO27001, og herefter kan der bygges der på enablor, efterhånden som organisationens optimering skrider frem. Alt afhængig af hvor langt i processen organisationen er, vil der være forskellige områder at tage fat på. Fleksibiliteten gælder funktioner og samarbejdsområder såvel som det antal brugere, der oprettes. Det er muligt at anvende enablor som medlemsplatform, hvor en brancheorganisation ønsker at støtte medlemsorganisationerne med services i forhold til overholdelse af anbefalinger for god praksis og lovkrav og samtidig repræsenterer medlemmerne en indsigt i branchens forhold. Omfanget af services og funktioner aftales i et samarbejde med brancheorganisationen. S. 3

4 2. Workflow og procesmodel Med enablor arbejder organisationer ud fra en procesmodel, der giver mulighed for at styre sikkerheden, identificere specifikke indsatsområder og målrette arbejde med forbedringsprocesser på en måde, der involverer de enkelte nøglepersonerne i organisationen. 1: Identificér Gaps 2: Prioriter indsatser 3: Juster og implementer 4: Styringsproces Samarbejder Delegering Vidensdeling 1.1: Statusvurdering 2.1: Risikovurdering 3.1: Fastlæg ændringer 4.1: Statusopdatering Dokumentation 1.2: Gap-analyse 2.2: Best practice 3.2: Ændringsproces 4.2: Status Management Workflowet og procesmodellen er baseret på erfaringer med Plan-Do-Check-Act-modellen, Carnegie Mellon Universitys IDEALmodel og den kontinuerlige måling i Six Sigma-modellen for at opnå et workflow, der dækker alle parametre og processer. I veldefinerede skridt kan organisationer arbejde med processer for at opnå compliance på de ønskede områder. Dette gøres ved: Identificering af gaps ift. love og standarder med afsæt i afprøvede kontroller og spørgsmål. Gapanalysen stiller en række spørgsmål, som er med til at afdække organisationens compliance-niveau på forskellige områder. Spørgsmål og svar overlapper, så man afdækker behov for ISO og EU's persondataforordning på samme tid. Prioritering af indsatsen mod fundne gaps ud fra risikovurderinger og andre organisationers praksis, dokumentation af sikkerhedsniveauet i et Statement of Applicability-dokument til revision, ejere og bestyrelse. Igangsætning af ændringsprocesser i organisationen ud fra fundne gaps og andre behov. Administrering af sikkerheden med afsæt i et årshjul med regelmæssige kontroller og opfølgninger på sikkerhedsniveauet. 3. Værktøjer Alle værktøjer i enablor er samlet i en toolbox. Toolboxen udbygges og værktøjerne anvendes som det passer ind i organisationens projekt og sikkerhedsledelse Vurdering af compliance og status enablor giver mulighed for vurdering af status i forhold til EU s persondataforordning, ISO-standarder og best practice-kontrolrammer. Statusvurderingen gennemføres fleksibelt ift., hvad der skal vurderes og kan udfyldes i etaper. Kontroller og områder der måtte være overlappende mellem forskellige rammekrav, står som vurderet, hvis de vurderes i et område og bruges i andre. Dette nedsætter den tid, organisationen skal bruge på statusvurderingen og sikre en ensartet vurdering på tværs af rammekrav. enablor gør det muligt at arbejde med flere rammekrav uden overlap i data og processer S. 4

5 3.2. Gap-analysen Det første skridt mod compliance er at lokalisere gaps og prioritere hvilke områder, der skal sættes ind på først. Selvom organisationen ikke nødvendigvis har bearbejdet alle fokusområder, kan man i enablor dokumentere, hvad der er planlagt. Denne dokumentation er vigtig, da selve planlægningen også viser at organisationen arbejder hen imod compliance og dermed også mod at leve op til lovgivningen. I enablor registreres opgaverne under Analysis og under SoA en og det er muligt at se dokumentation på, hvem der varetager den enkelte opgave, og hvor langt organisationen er i processen Dashboard I enablors Dashboard ses organisationens aktuelle compliance-niveau, og der kan foretages sammenligning med tidligere scores eller med benchmark-grupper. Dashboardet giver organisationens ledelse adgang til at se organisationens opfyldelse af krav med enkle KPI på centrale områder. Dette giver et let og overskueligt overblik Prioritering af indsatser enablor understøtter prioritering af organisationens indsatser med værktøjer til registrering af dataflow og Risk Management og ved benchmark med organisationer med best practice. Dette bruges til vurdering af ønsket niveau for informationssikkerhed og vurdering af forventet effekt ud fra andre organisationernes niveau Benchmark I enablor kan organisations indsats måles og sammenlignes med andre organisationer for blandt andet at afklare om organisationen arbejder cost-effektivt. I toolbox finder man redskabet Analysis, hvor der gennem søgefiltrering kan laves sammenligninger med tidligere målinger, datterselskaber eller lignende organisationer af samme størrelse. enablor har en række business intelligence-funktioner, der gør det muligt at analysere og bearbejde status for planlægning af effektive indsatser. Herunder gap-analyse, BestInClass/WorstInClass, effekten af indsatsen mm. Resultatet af benchmarken giver organisationen gode muligheder for at lokalisere forbedringsområder og bruge best practice erfaringer fra andre organisationer Statement of Applicability - SoA I forbindelse med gap-analysen, og evt. støttet af risikovurdering og benchmark med andre, kan organisationen sammenfatte sin status i et SoA-dokument, der trækker data ind fra andre dele af systemet. Opstillingen af SoA bygger på og indeholder Digitaliseringsstyrelsens anbefalede principper og sammenfatter nuværende status med organisationens compliance-mål og -delmål. Dette medvirker til at gøre sikkerhedsarbejdet mere overskueligt og tilgængeligt. Dokumentet er centralt ift. ISO SoA en fungerer som en hensigtserklæring for organisationen og gør det muligt at dokumentere de videre skridt mod compliance ift. Lovgivningen. I SoA en kan organisationen notere de overvejelser, der er gjort i forhold indsats og mål. Et godkendt SoAdokument garanterer, at sikkerhedskoordinatoren kender ledelsens prioriteringer og er lavet, så det kan udleveres til revision eller personer i bestyrelse eller ledelse. S. 5

6 3.7. Status Improvement De identificerede gaps og SoA-mål kan samles i ændringsopgaver, der beskrives, prioriteres og lægges i et årshjul. Hver opgave kan henføres til modtagere i organisationen, så den ansvarlige for opgaven modtager en invitation på mail, der giver adgang til en portal hvor alle personens opgaver er samlet. Dette mini-enablor indeholder personens egne opgaver. På denne måde kan man tildele opgaver til relevante personer i de forskellige afdelinger uden at give dem adgang til hele informationssikkerhedssystemet. Her kan der endvidere skrives kommentarer og løbende opdatere udviklingen frem til opgaven er løst. I takt med afviklingen af opgaver kan status for rammekravene opdateres og projektejeren har adgang til at se udviklingen og bearbejde status i Status Management værktøjet Status Management I Status Management oprettes der automatisk et årshjul, hvor man kan følge op på opgaver og kontroller og fastholde regelmæssighed. enablor giver ud over mulighed for oprettelse og planlægning af opgaver, også mulighed for oprettelse af kontroller af sikkerhed som tilbagevendende begivenheder. En kontrol skal sikre, at de planlagte og indførte sikkerhedstiltag er funktionelle ift. den lagte plan. Herunder får man dokumentation, så man altid kan se på hver enkelt opgave og kontrol, hvordan arbejdet skrider frem. I Status Management-værktøjet er det muligt at lave en filtrering, så fokus er på f.eks. ISO og de tilhørende områder. På den måde er den nemt at dykke ned og redegøre for fremskridt, helt ned i hvert spørgsmål. Gennem filtrering kan man sammenligne med andre organisationer eller med tidligere målinger og se fremskridt. Gennem planlægning og kommentarer her til, vil det være muligt at se kommende deadlines, hvor et delmål skal være opfyldt. Årshjulet kan også bruges som et overblik over ressourcer, så der ikke opstår perioder med ophobning af deadlines i en periode og sikre, at arbejdsopgaverne er jævnt fordelt mellem medarbejderne. I Status Management har organisationens it-sikkerhedsansvarlige eller ledelse et overblik over, hvor mange opgaver der er i gang, hvor mange kontroller, der skal udføres, og hvad status er Dokumentation I enablors Arkiv kan alle færdiggjorte aktiviteter gemmes som pdf-filer og bruges som dokumentation i dialogen med myndigheder og eksterne parter. 4. Risk Management Risk Management er et værktøj til handling, hvor man vurderer de risici, der knytter sig til gennemførelse af organisationens arbejdsprocesser. Risikovurderingsværktøjet er med til at sikre en mere overskuelig identifikation, oprettelse og beskrivelse af risikobilledet og dermed en langt nemmere vedligeholdelse af informationer Procesbeskrivelse I enablors Risk Management registreres og vurderes forretningsprocesser og deres betydning for organisationen. For at sikre, at forretningsprocesserne beskrives og vurderes korrekt understøtter enablor en opdeling af organisationens processer i 3 niveauer; procesområde (overordnet område), forretningsproces (typisk med tilhørende procesejer) og behandlingsproces (den konkrete handling, der S. 6

7 udføres). Denne struktur er baseret på modellen for risikovurdering, som oprindeligt blev udviklet af og indført i det danske finansministerium. Opdeling i niveauer sikrer at eventuelle organisationsforandringer (nye/opdaterede processer, nye systemer, etc.) effektivt kan registreres og indsættes i den eksisterende struktur. For hver behandlingsproces anføres afhængigheden af andre processer, de underliggende IT-ressourcer og fysiske forhold som bygninger og rum. Konsekvenser for forretningen, Business Impact Assessment (BIA), og den registrerede, Data Privacy Impact Assessment (DPIA), vurderes for behandlingsprocesser og konsekvensanalysen nedarves på såvel andre forretningsprocesser som de supporterende IT-aktiver. I forbindelse med gennemgangen af behandlingsprocesser identificeres de papirer og filer, som bliver behandlet med fokus på dem, der indeholder persondata og følsomheden ift. karakteren af data karakteriseres Dataflow og ressourceregistrering Dataflow og ressourceregistrering er et nyt krav som følge af EU s persondataforordning (EU GDPR). Der er påkrævet konsekvensanalyser i tilfælde af en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, behandling i stort omfang af særlige kategorier af oplysninger af personoplysninger vedrørende straffedomme og lovovertrædelser eller af systematisk overvågning af et offentligt tilgængeligt område i stort omfang. Ønsker organisationen at være ISO27001-compliant er det første skridt på vejen at registrere og vedligeholde dataflow samt lave en ressourceregistrering af de systemer og aktiver, der er involveret i databehandlingen. Dette er med til at give et overblik over organisationen og organiserer et ledelsessystem for informationssikkerhed. Dataflow og ressourceregistrering er en oversigt over alle de mulige steder et dokument kan findes og giver derfor et billede af, hvor der potentielt kan være et brud på persondatasikkerheden. Man dokumenterer placering og kvalificering af data i en organisationskortlægning Konsekvensvurdering Konsekvensvurderingen danner grundlag for konsekvensanalyser for processer såvel som for data og ressourcer. I denne vurdering indgår konsekvenser ved hændelser for både den registrerede og for forretning. Dette danner grundlag for, at organisationen kan danne og vedligeholde en Data Privacy Impact Assessment (DPIA) og en Business Impact Assessment, der dynamisk opdateres, når processer og systemer ændres. 5. Understøttelse af organisationsstrukturer enablor understøtter vidensdeling som et vigtigt element i udviklingen af organisations sikkerhedsforanstaltninger og processer. Der er en række muligheder for at involvere, delegere og vidensdele i organisationen og med andre organisationer Intern opgavedelegering Opgaver, kontroller og risikovurdering kan delegeres til de personer, der har det direkte ansvar. Hver opgave kan henføres til modtagere i organisationen, så de kan tilgås i mini-enablor. S. 7

8 Den ansvarlige for opgaven modtager en invitation og har adgang til en portal hvor alle personens opgaver er samlet. En såkaldt mini-enablor, som kun indeholder personens egne opgaver. På denne måde kan man tildele opgaver til relevante personer i de forskellige afdelinger uden at give dem adgang til hele informationssikkerhedssystemet. Her kan de endvidere skrive kommentarer og løbende opdaterer udvikling frem til opgaven er løst Chat enablors chat-funktion gør det muligt at holde dialogen om sikkerhedsforhold mellem de involverede aktører, frem for at sprede den ud på mail og/eller andre kanaler. Chatten opsættes, så den dækker forskellige niveauer: internt i organisationen samt blandt eventuelle fællesskaber og eksterne partner Bibliotek Biblioteksfunktionen giver mulighed for deling af filer anvisninger, guidelines, skabeloner m.v. internt i organisationen og med andre organisationer Koncernstrukturer Opsætning af organisationer med underliggende datterselskaber eller institutioner gør det muligt at dele fælles indsatser mellem hovedorganisationer og døtre. Benchmark kan udføres for koncernen generelt eller mellem datterselskaberne Fællesskaber Der kan laves fællesskaber og samarbejder på forskellige niveauer mellem organisationer, der samarbejder om sikkerhed, hvor man kan følge hinandens udvikling, udveksle informationer m.v Ekstern DPO Brug af eksterne rådgivere og Data Protection Officer understøttes af enablor. Den cloudbaserede løsning gør det muligt at give eksterne rådgivere og personer med DPO-ansvar adgang til enablor. 6. enablor til projekter med flere deltagere enablors funktioner understøtter projekter, hvor en central projektejer eller organisation understøtter en række organisationer. Gennem business intelligence-værktøjer kan projektejeren følge udviklingen i projektet og se om de opstillede mål realiseres. Den centrale projektejer har adgang til vidensdelingsværktøjer for chat og distribution af filer og kan således målrettet vejlede de deltagende organisationer enablor som samarbejds- og vidensdelingsværktøj enablor kan anvendes som vidensdelings- og surveyværktøj, hvor deltagerne har adgang til et eller flere spørgeskemaer. Det er muligt at følge sin egen besvarelse i enablors dashboard samtidig med at man kan se udviklingen ift. andre deltagende organisationer. Surveyen danner grundlag for den enkelte organisations statusvurdering og videre arbejde med informationssikkerhed, samtidig danner surveyen grundlag for de analyser og vejledninger som centralorganisationen kan støtte branchen med og samarbejde om. S. 8