Risikostyring ifølge ISO27005 v. Klaus Kongsted

Transkript

1 Risikostyring ifølge ISO27005 v. Klaus Kongsted

2 Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger

3 Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister Kvalitet Service Kompetence Managing risk Enabling growth First mover Vores engagement skaber arbejdsglæde Eftertragtet arbejdsplads Motiverede medarbejdere 50 ansatte Omsætning 100 mio. DKK Selvfinansierende og privatejet

4 360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service

5 It er forretningen Mission for it-afdelingen: Øge virksomhedens indtjening og vækst Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som itanvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Myndigheder Bestyrelse IT Sikkerhed Risiko Ledelse Udfordringer: Umuligt at synliggøre teknisk it-risiko uden forretningssammenhæng Forretning forstår sjældent værdien og betydningen af it-systemer Forskellige interessenter har forskellig opfattelse af sikkerhed og risiko Kunder Medarbejder CIO

6 Hvorfor tale risici? Fokuserer ledelsen på de forretningsmæssige risici og gevinster Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som it-anvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Giver et dokumenteret grundlag for beslutninger Viser at sikkerhed ikke bare er IT s ansvar

7 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

8

9 Risikostyring Ofte fokuseres på risikoregistre og på risikovurdering af systemer Man kan have fint styr på de identificerede risici Tager måske udgangspunkt i forretningsrisici Kan være baseret på de risici man har oplevet/hørt om Hvordan sikres, at man ikke glemmer noget? Der mangler ofte en top-down tilgang Man skal sikre, at man kommer 360 grader rundt Der skal tages højde for det moderne trusselsbillede APT angreb kan fx ramme meget bredere end før Man bør forholde sig til at perimeteren IKKE er sikker En struktureret tilgang til risikovurderinger kan give dette overblik ISO 27005:2011 metodikken kan bruges som tilgang til en 360 graders risikovurdering

10 ISO Metodikken Risikoidentifikation Identifikation af aktiver Identifikation af trusler Identifikation af nuværende kontroller Identifikation af sårbarheder Identifikation af konsekvenser Risikoanalyse og -evaluering Risikohåndtering

11 Risikovurdering i praksis Man risikovurderer de forretningskritiske aktiver Det er dem som har en kritisk værdi for forretningen Start med en kvalitativ vurdering for at få et overblik Efterfølgende kan man så uddybe de vurderinger hvor der er behov, evt. med en kvantitativ vurdering Pas på med ikke at drukne i teori Uanset metode bør ledelsen fastsætte risikovilligheden inden start

12 Aktiver Aktiver Har en kritisk værdi for forretningen Kan fx udpeges ud fra de forretningskritiske processer Se også appendiks B i ISO 27005:2011 standarden Er sårbare overfor brud på Fortroligheden Integriteten Tilgængeligheden Kan fx være Informationer Hardware Software Medarbejdere Services Fysisk Processer Det er en god ide at gruppere aktiver hvor det giver mening

13 Trusler Der findes mange trusler Se fx appendiks C i ISO 27005:2011 standarden Kan mere generelt gruppers som trusler om Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Sammenhold truslerne med de sårbarheder det enkelte aktiv har Det viser hvilke trusler der er relevante for det aktiv I praksis ses trusler og sårbarheder ofte under ét som brud

14 Kontroller Man kan tage udgangspunkt i en liste med mulige kontroller Se fx appendiks A i ISO 27001:2013 standarden Husk egne og branchespecifikke kontroller fx baseret på lovkrav Man har typisk allerede mange kontroller, fx Firewalls, proxy, antivirus, UPS mv. Backups og katastrofeplaner Adgangskontrol, brandsikring, tyverialarm mv. Kontrakter med fortrolighedserklæringer Overordnet sikkerhedspolitik Regler i personalehåndbog Vejledning om og internetbrug

15 Sårbarheder Der findes mange sårbarheder Se fx appendiks D i ISO 27005:2011 standarden Overordnet kan et aktiv være sårbar over for: Ondsindede handlinger (forsæt) Fejl og ubevidste handlinger (uforsætligt) Uheld/ulykker Naturkatastrofer/Force Majeure En række af sårbarhederne er dækket af nuværende kontroller Disse bør også identificeres og knyttes til de anvendte kontroller Som en del af den samlede dokumentation Brud er trusler, der kan udnytte sårbarheder

16 Konsekvens Overordnet skal man beskytte sine forretningskritiske aktiver mod: Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Brudene har alle har en konsekvens, som vurderes af aktivets ejer, typisk fra forretningen Evt. ud fra en Business Impact Analysis (BIA) Evt. i en dialog med en erfaren sikkerhedskonsulent Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere konsekvensen af de tre typer af brud

17 Sandsynlighed Brud har en sandsynlighed, som vurderes fx af den teknisk ansvarlige for sikring af aktivet Fx i en dialog med en erfaren sikkerhedskonsulent Kan også håndteres vha. risikostyringsværktøjer Sandsynligheden afhænger bl.a. af de sikringsforanstaltninger, der allerede er på plads Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere sandsynligheden for de forskellige typer af brud Det kan give mening at samle/gruppere brudene Overvej at samle dem til sandsynlighederne for brud på: Fortroligheden Integriteten Tilgængeligheden

18 Virksomhedens risikovillighed Lavere Højere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres uden af der gennemføres ændringer Her skal risiko normalt håndteres, så rest risiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer, eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.

19 Risikovurdering Risikoen bliver så et tal fra 1 (lav) til 25 (høj) Risikovilligheden defineres typisk i tre intervaller: Grøn de laveste værdier, der umiddelbart kan accepteres Gul de mellemste værdier, som ledelsen skal tage stilling til Rød de højeste værdier, der ikke umiddelbart kan accepteres Risikovurderingen danner grundlag for en håndteringsplan Husk at vedligeholde vurdering ihf. årligt og ved større ændringer

20 Eksempel Risikovurderingsskema på Farver baseret på ledelsens risikovillighed - i eksemplet er det en 1 (lav) til 25 (høj) skala

21 Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved at den: Accepteres alligevel, ihf. for en periode Overføres til andre, fx ved forsikring Undgås, fx ved at man holder op med noget eller ændrer det Nedbringes, fx ved hjælp af nye/ekstra sikringsforanstaltninger Forslag til dette samles i en risikohåndteringsplan (RTP), som godkendes af ledelsen Det kan være en iterativ proces at nå til en godkendt plan I ISO er valget af sikringsforanstaltninger også dokumenteret i en Redegørelse for anvendelighed (Statement of Applicabillity - SOA) Husk at vedligeholde planen, ihf. årligt og ved større ændringer

22 Udvidet risikovurdering Detaljeret risikovurdering af kritiske eller særligt komplicerede systemer og områder Ser detaljeret på en række konkrete risici for de udvalgte systemer/områder Iterativ proces, der indarbejder ledelsens stillingstagen til restrisikoen

23 Eksempel Den udvidede risikovurdering

24 Glem ikke Husk at inddrage: Afhængigheder af andre aktiver / akkumulering af risici fx netværk, medarbejdere De forskellige tilstande informationer kan befinde sig s kan fx være på en server, i transit, på klienter, på en mobil

25 Resultatet Virksomheden får: Synliggjort hvor der bør sættes ind, for at opnå et ønsket sikkerhedsniveau Grundlaget for at træffe de mest hensigtsmæssige valg Overblik over værdier, ansvar og risici Forankret sikkerheden i forretningen og ledelsen

26 TAK! For yderligere information besøg