Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Transkript

1 Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring på Roskilde Universitet 9. Hvilke fordele har vi af risikostyring på universitetet 10. Opsummering 11. Tips & tricks

2 Præsentation Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør I dag it-sikkerhedskonsulent på Roskilde Universitet (RUC) Informations sikkerhed

3 Roskilde Universitet Ca studerende Ca ansatte (undervisere og administrativt personale) Ca. 200 administrative og statiske medarbejdere Universitetet ligger samlet på én campus i Roskilde, ved Trekroner Roskilde Universitet (RUC) er en forsknings-, formidlings- og uddannelsesinstitution Forskning (administration af resultater og økonomi) Formidling og uddannelse (administration af studerende) Administration (lov- og myndighedskrav) RUC s fornemmeste opgave er at bidrage til eksperimenterende, nyskabende former for læring og videnskabelse

4 Risikostyring, hvorfor? Hvad risikere vi og findes der en Silverbullit? Kompromittering af fortroligheden Indvirkning på tilgængeligheden af systemer og/eller processer Påvirkning af integriteten (pålideligheden) af vores data og informationer Motiver for risikostyring Revision Gør vi det for revisionens skyld? Driftsstabilitet Gør vi det for at sikre driftsstabilitet (af alle forretningsområder)? Compliance Gør vi det for at efterleve lov- og myndighedskrav? Struktur, struktur, struktur

5 Ledelsesopbakning Universitetsdirektøren er meget fokuseret på informationssikkerhed Kvartalsmæssig afrapportering om rigets tilstand til ledelsen Risikobilledet er kommunikationsmidlet mellem mig og ledelsen Der udarbejdes handlingsplaner for opnåelse af et acceptabelt sikkerhedsniveau (opfølning) Det er vigtigt at jeg sidder hvor jeg gør, jeg er forretningens vagthund over for IT Varetager RUC s interesser i forbindelse med it-revisionen Står på mål for, at lov- og myndighedskrav er implementeret på RUC På RUC er det ledelsen som træffer beslutning om risikoniveauet (eks. DDOS)

6 ISO27001 Vi er som offentlig institution underlagt sikkerhedsstandarden ISO27001 Hvad siger ISO27001 om risikostyring: Koordinerede aktiviteter til at lede og styre en virksomhed med hensyn til risiko (handlingsplaner) Identificere en metodik til risikovurdering, der passer til ISMS-systemet (rød, gul, grøn scenarier) Udarbejde kriterier for risikovillighed og identificere de risikoniveauer, der kan accepteres (accept, nedbringelse, eliminering eller forsikre sig) Den valgte metodik til risikovurdering skal sikre, at risikovurderinger giver sammenlignelige og reproducerbare resultater (og det er så her Control Manager kommer ind i billedet).

7 Forretningsmæssige perspektiv Processer CRM, Løn, Mail og kalendere, ERP Administrativ Kan vi agere som vi plejer Operationelt Kan vi levere det vi skal (i alle led af værdikæden ) Teknisk Har vi sårbarheder i forhold til F I T

8 It-teknisk Tekniske sårbarheder (eller basal og grundlæggende it-sikkerhed) Adgangskontrolsystemer (RBAC) Fysisk indretning Infrastrukturmæssige sammensætning HW og SW Netværk (Firewall, Routere, kryptering og VPN) Sikkerhedskopier AntiVirus, IDS, IPS Hvad med overensstemmelsen med klassificering samt lov- og myndighedskrav (informationssikkerhed)?

9 Risikostyring på RU Sikkerhedsmæssige implementeringer foretages KUN i forhold til det aktuelle risikobillede: Risikovurderinger foretages på periodisk basis, typisk 1 gang om året eller der foretages væsentlige ændringer Risikovurderinger foretages både på det administrative, operationelle og tekniske niveau Risikovurderingerne inddrager aspekter som sårbarheder i allerede foretagne sikkerhedsmæssige implementeringer, sårbarheder i kontroller og ved manglende operationelle rutiner Risikovurderinger er dynamiske og reflektere altid ændringer i den teknologiske udvikling (BYOD), manglende kontroller (lov- og myndighedskrav) og adfærdsmæssige ændringer (DropBox) Risikovurderinger præsenteres altid som stoplys scenarier og gerne præsenteret i kvartaler, hvilket gør dem lettere at forholde sig til Risikovurderinger bruges som værktøj til at præsentere rigets tilstand over for ledelsen, og skaffer som regel velvillige sponsorer (hvis risiciene præsenteres i et forretningsmæssigt perspektiv) (f.eks. DDOS = NG firewalls på RU)

10 Fordele Risikostyring som værktøj til værditilførsel? Giver hverken for lidt eller for meget sikkerhed Fokus på risici i processerne (f.eks. ændringsstyring = mindre brandslukning) Vi arbejder med risici i forbindelse med services, processerne og projekterne (hurtigere i mål med aktiviteterne) Vi vælger eller fravælger ud fra et sikkerhedsmæssigt perspektiv (FIT) altså ingen investering i sikkerhed uden at denne er forretningsmæssigt begrundet (det vi beskytter har større værdi end den sikkerhedsmæssige implementering der foretages)

11 Opsummering Dokumentationskrav til ISO ISMS: Plan Afs etablering og styring af ISMS Dokumenteret ISMS politik Dokumenterede anvendelsesområder (SOA) for ISMS Procedurer og foranstaltninger til støtte for ISMS Beskrivelse af metodikken til risikovurdering Risikovurderingsrapporten Risikohåndteringsplanen Risici: Ledelsesansvar Afs. 5.1 Ledelsens forpligtelser Afs Ressourcestyring og bevidsthed Act Afs Vedligeholdelse og forbedring af ISMS Forbedring af ISMS (Afs. 8) Afvigelser fra kravene i ISMS Er alle forebyggende foranstaltninger identificeret Ændrede risici Eksempelvis: Eksterne som lovkrav, hackere, miljømæssige, forsyningsmæssige m.v. Interne som forretningsprocesser, immaterielle (omdømme, pålidelighed), medarbejdere m.v. Overordnet: Risici der kan have indvirkning på virksomhedens mål og strategier Check Afs Overvågning og revurdering af ISMS Kontrol med ISMS (Afs. 6) Opfyldes alle sikkerhedskrav? Er ISMS effektivt implementeret og vedligeholdt? Fungere ISMS som forventet? Do Afs Implementering og drift af ISMS Ledelsens evaluering af ISMS (Afs. 7) Metrikker Risikoreducering CSF KPI KGI

12 Tips & tricks BIA Sårbarheder Handlingsplaner Kontrol af implementeringer Korrigerende handlinger Struktur, struktur, struktur

13 Q & A?