Hvor sikker er organisationen*? Hvad er de største risici? Er organisationen sikker nok? Hvor sikker skal organisationen være? Hvordan bliver vi det?

Transkript

1 Hvor sikker er organisationen*? Hvad er de største risici? Er organisationen sikker nok? Hvor sikker skal organisationen være? Hvordan bliver vi det? GDPR artikel GAP ANALYSE Målbar IT-Sikkerhed *Dette koncept vedrører digital IT-Sikkerhed og bygger på Center for Internet Security 20 Critical Security Controls TM

2 Dansk IT-Sikkerhedsbarometer Sikkerhedsprofil (GAP Analysen - 2 dage on-site med efterfølgende opsamling i præsentation og on-site gennemgang af resultatet) Definition af organisationens nuværende IT-Sikkerhedsprofil (A) Definition af den nye målsatte IT-Sikkerhedsprofil (B) Specifikation af hvordan organisationen kommer fra A til B Vurdering af implementeringstid og driftstid Parathed til persondataforordningens artikel Organisationsprofil (forklaring og samling af resultater i fælles dashboard. Organisationen gennemfører selv undersøgelsen i de relevante afdelinger. Vi hjælper med at samle resultatet i en samlet profil) Regneark med 33 spørgsmål til afdelingen ude i organisationen Viser afdelingens risikoprofil og afslører usikker adfærd Samlet i et fælles dashboard hvor alle afdelinger kan sammenlignes Ledelsesprofil (on-site gennemgang og om ønsket deltagelse i det første møde med ledelsen) Forankrer i praksis IT-Sikkerhed hos ledelsen og gør den målbar Ledelsen præsenteres for de vigtigste resultater fra GAP Analysen Ledelsen kan vurdere om den selv udgør en IT-Sikkerhedsrisiko Risikoprofil (En on-site gennemgang på 1-2 dage) Omdanner IT-Sikkerheden til en detaljeret risikoanalyse baseret på Sikkerhedsprofilen og relevante risici vurderet efter sandsynlighed og konsekvens, som giver risikoprofilen Knytter risiko, mitigering, økonomi og CSC kontroller sammen Kan lynhurtigt filtreres så organisationen ser hvor de største risici er og om de bliver mitigeret tilstrækkeligt Viser i hvilken prioriteret rækkefølge risici bør mitigeres Er DIREKTE i tråd med kravene til behandlingssikkerhed i GDPR

3 SÅDAN BLIVER I KLAR Behandlingssikkerhed i praksis Er organisationens Sikkerhedsprofil kortlagt? - Hvilke sårbarheder udgør den største risiko? - Er organisationen omfattet af GDPR og hvordan opnår organisationen den nødvendige digitale sikkerhed? Draware kan hjælpe med en GAP Analyse af IT-Sikkerheden. I får et tydeligt svar på hvor sikre I er i praksis, en baseline! IT-Sikkerheden bliver gjort MÅLBAR, så behov og indsats kan forstås på tværs af organisationen. I skyder genvej til ISO27002 (66 af 114 kontroller) og kan leve op til GDPR behandlingssikkerhed og notifikationspligt. I får et klart billede af ansvar og opgaveløsning. Både i forhold til virksomhedens driftsrisiko og de lovkrav organisationen er underlagt. Med Drawares GAP ANALYSE får I endvidere: Prioriteret liste over indsatser der bringer jer op på den målsatte sikkerhedsprofil (det ønskede sikkerhedsniveau). En prioriteret handlingsplan for behandlingssikkerheden Løsningsforslag til hver enkelt udfordring inklusive forslag, praktiske løsninger og implementeringsplaner. Sikkerhedsprofilen: Målbar IT-Sikkerhed baseret på Center for Internet Security 20 Critical Security Controls CSC-19 CSC-18 CSC-17 CSC-16 CSC-15 CSC-14 CSC-13 IT Sikkerhedsprofiler Nuværende Profil Målsat Profil CSC-01 CSC % CSC-02 90% CSC-03 80% 70% 60% CSC-04 50% 40% 30% CSC-05 20% 10% 0% CSC-06 CSC-07 CSC-08 CSC-09 CSC-12 CSC-10 CSC-11

4 GAP PROCESSEN GAP PROCESSEN Drawares værktøjskasse 20 Critical Security Controls Dansk IT-Sikkerhedesbarometer 1. Sikkerheds Profil 2. Organisations Profil 3. Ledelses Profil 4. Risiko Profil A. Rådgivning B. Opfølgning C. Praktisk handlingsplan D. Implementering af valgte løsninger GAP Output Ledelsen får indsigt og ledelsesrum til at varetage ansvar IT ledelsen får indsigt samt en handlingsplan til at udmønte opgaveløsningen Se mere om profilerne på næste sider

5 GAP ANALYSEN Gap analysens indhold: 2 dage on-site hos jer 1 dag off-site til udarbejdelse af detaljeret rapport med nuværende sikkerhedsprofil og handlingsplan til at opnå den målsatte profil gennemgang af konklusion onsite hos jer Risikoprofilen tager yderligere 1-2 dage og bygger på Sikkerhedsprofilen Gap analysens output: Grundlag for at løse krav til behandlingssikkerhed og notifikationspligt Prioriteret praktisk handlingsplan Mulighed for at måle organisationens sikkerhedsrisiko afdeling for afdeling Ledelsesforankring Detaljeret risikovurdering Sådan foretages GAP analysen Vi bruger en modificeret udgave af Center for Internet Security 20 Critical Security Controls ( CSC ) som foreslået af Justitsministeriet og Digitalisaringsstyrelsen i Cyberforsvar der virker. Konceptet hedder Dansk IT-Sikkerhedsbarometer og hjælper organisationen med at opnå den nødvendige IT-Sikkerhedsprofil til at kunne opfylde GDPR krav til behandlingssikkerhed og notifikationspligt. Hvad er organisationens nuværende Sikkerhedsprofil - udtrykt i % Delta mellem den nuværende og den målsatte Sikkerhedsprofil Hvad I skal gøre for at nå den målsatte profil i praksis! 20 CSC er ikke en standard man kan blive compliant med, men en række pragmatiske kontroller, som kan efterleves/opfyldes i større eller mindre grad. Man kan ikke blive certificeret i 20 CSC, men det er muligt (ikke nødvendigt) at tage et detaljeret on-line kursus i 20 CSC (Se evt. på efter on-demand on-line kurset SEC566 ).

6 1 - Sikkerhedsprofilen Sikkerhedsprofilen udarbejdes som den grundlæggende del af GAP analysen. De andre ydelser bygger på Sikkerhedsprofilen. Hvad er organisationens nuværende Sikkerhedsprofil? Delta mellem den nuværende og den målsatte Sikkerhedsprofil. Hvad skal du gøre for at nå den målsatte profil i praksis, hvor lang tid vil det tage, hvad koster det og hvilke ressourcer skal der til. 2 - Organisationsprofilen Organisationsprofilen kan udarbejdes i forbindelse med GAP analyse arbejdet. Organisationsprofilen er et tilvalgsprodukt. Hvor i organisationen skal der særlig fokus på IT-Sikkerhed. Hvor i organisationen er risiko og sikkerhed ikke afstemt.

7 3 - Ledelsesprofilen Ledelsesprofilen kan udarbejdes i forbindelse med GAP analysen. Ledelsesprofilen er et tilvalgsprodukt. Profilen giver et billede af ledelsens rolle, involvering og muligheder for at forankre IT-Sikkerhedsinitiativet. Profilen giver ledelsen et redskab til at overveje egne vaner og arbejdsgange i forhold til risici. 4 - Risikoprofilen Risikoprofilen er en selvstændig ydelse som bygger på resultaterne fra Sikkerhedsprofilen (dette er en forudsætning). Hvad er de største sikkerhedsrisici og mitigeres de tilstrækkeligt Knytter risiko, mitigering, økonomi og CSC kontroller sammen

8 Sådan kan vi hjælpe dig! CIS 20 CSC er en standard for måling af digital IT-Sikkerhed CIS 20 CSC er et pragmatisk community framework ( Best practice og bechmarks for IT-Sikkerhed. 20 CSC danner grundlag for mange organisationers Hvad skal vi gøre i praksis og ved at bruge disse kontroller opnår du bl.a: At gøre IT-Sikkerheden målbar At skyde genvej til 66 kontroller i ISO At foretage en prioriteret indsats, der højner IT-Sikkerheden, så den passer til det accepterede niveau af risiko At have et grundlag for opfyldelse af GDPR artikel om behandlingssikkerhed og notifikationspligt Læs mere om Dansk IT-Sikkerhedsbarometer på: Læs mere om CIS 20 CSC og hvordan vi bruger dette værktøj til at give en målbar IT-Sikkerhedsprofil I kan arbejde ud fra og videre med. Download vores brochure, infomaterialer og plakater hvis I har brug for et udgangspunkt til at diskuterer IT-Sikkerhed. Kontakt os Skriv eller ring til Christian Schmidt chr@draware.dk fra Draware og hør mere om, hvordan vi kan hjælpe netop jeres virksomhed med at opnå den nødvendige IT-Sikkerhed. Slotsmarken 18 DK-2970 Hørsholm Tlf: (+45) info@draware.dk Vi tager forbehold for trykfejl og respekterer alle varemærker. Draware A/S Dansk IT-Sikkerhedsbarometer er varemærkebeskyttet og alle dele af dette koncept er Drawares ejendom og må kun bruges efter eksplicit aftale med Draware A/S.