ISO Ledelsesværktøj til digital risikostyring

Transkript

1 ISO Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016

2 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno Hvorfor ISO27001 er relevant? 4. Hvad er essensen af ISMS i ISO27001? 5. Hvordan kommer man i gang med arbejdet? 6. Efter i dag.

3 Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Undgå at drukne i detaljerede omfattende it-sikkerhedsmuligheder ved at forankre it-sikkerhed som en integreret proces. Forstå hvorfor ISO27001 er relevant og lær forudsætningerne. Hvad er hovedelementerne i ISO27001 Brug ISO27001 rigtigt Hvordan kommer man i gang? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 25 minutter når vi højst at skrabe en lille smule i overfladen.

4 IT-sikkerhedsudfordringer anno 2016

5 International udvikling i it-sikkerhedsbrister

6 DKCERT Trendrapport 2016 (udsendt 14. april 2016)

7 Hvorfor ISO27001 fremfor andre paradigmer? ISO27001:2013 er international anerkendt referenceramme, som man kan blive certificeret i forhold til. ISO27001 er en ramme for hvordan ledelsen kan styre og håndtere informationssikkerheden. (ISMS) ISO27001:2005 ISO27001:2013 (Punkt 0.1) Plan Do Etablere Implementere Act Check Løb. forbedre Vedligeholdelse

8 ISO27001 Forudsætninger Grundlaget er ledelsens engagement og accept Fokus er på forretningen og på at beskytte de forretningskritiske aktiver Procesorienteret Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Kontroltjekliste i appendiks A (som er detaljeret forklaret i ISO 27002) Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesrapportering

9 ISO27001 Uddrag af centrale begreber Scope Politikker Procedurer Processer Instrukser Informationsaktiver Klassifikation Roller og Ansvar Risikovillighed Risikoanalyse Risikorapport RTP SoA Hvad skal være omfattet og målsætningen for informationssikkerhed? Øverste niveau af beskrivelser Beskrivelse af regler Forklaring af trin i forretningsproces Vejledning i konkrete arbejdshandlinger pr. procestrin Eksempelvis; finansielle data, intellektuel ejendom og medarbejderoplysninger eller information, organisationerne har fået af kunder eller tredjeparter Hvilke kategorier af informationer arbejdes der med i virksomheden? Eksempelvis anvende RACI (Responsible, Accountable, Consulted, Informed) Hvad er ledelsens risikotolerancer Vurdering af risiko ud fra konsekvens og sandsynlighed i forhold til CIA Opsummerede rapportering til ledelse af resultatet af risikovurderingen med pre-/post risikoscore og vurdering af restrisiko. Risk Treatment Plan Hvordan mitigeres risici (Accept, Undgå, Del eller styre) Statement of Applicability Redegørelse for anvendelighed

10 Overblik ISO27001 Sikkerhedsproces ISO Hovedområderne 4 - Organisationens kontekst 5 - Lederskab 6 - Planlægning 7 - Support 8 - Drift 9 - Evaluering 10 - Forbedring De valgte kontroller, deres implementering og dokumentation (appendiks A) Udgangspunkt i egne definerede kontroller ( a) Krav om at sammenholde egne kontrollers tilstrækkelighed i forhold til de 114 kontroller fra ISO Såvel til-/fravalg ift. Appendiks A skal begrundes i risikovurderingen

11 Overblik ISO27001 Sikkerhedsproces ISO Komponenter ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse

12 Organisering af sikkerhedsprocessen Risikostyring Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerhedsframework og -profil Implementering

13 Overblik ISO27001 Sikkerhedsproces Begynd med ledelsesaccept og omfang (scope) Identificér de forretningskritiske informationsaktiver og ejerne Udarbejd risikovurdering af aktiverne Udarbejd risikohåndteringsplan, og få ledelsens accept af den og evt. restrisici Implementér de valgte kontroller (Husk virksomhedens it-sikkerhedsadfærd) Dokumentér processer og efterlevelse Vedligehold systemet (inkl. It-sikkerhedsadfærden)

14 Overblik ISO27001 Sikkerhedsproces Overordet visualisering af risikovurderingsprocessen: PRE-Risikoscore UDEN effekt af eksisterende eller påtænkte kontroller Fortrolighed Pålidelighed Tilgængelighed Samlet vægtning POST-Risikoscore MED effekt af eksisterende eller påtænkte kontroller Fortrolighed Pålidelighed Tilgængelighed Samlet vægtning Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø

15 Overblik over best practice inspiration for SoA ISO Appendiks A (ISO 27002) A.5 Informationssikkerhedspolitikker A.6 Organisering af informationssikkerhed A.7 Personalesikkerhed A.8 Styring af aktiver A.9 Adgangsstyring A.10 Kryptografi A.11 Fysisk sikring og miljøsikring A.12 Driftssikkerhed A.13 Kommunikationssikkerhed A.14 Anskaffelse, udvikling og vedligeholdelse af informationssystemer A.15 Leverandørforhold A.16 Styring af informationssikkerhedshændelser A.17 Beredskabsstyring A.18 Overensstemmelse

16 Fokusér på formålet Fokusér på formål og kontrol Hvad siger teksten? Hvordan gøres det bedst i denne organisation? Implementeringsvejledningen er primært en hjælp, hvis man er i tvivl om, hvad der menes med kontrollen Anden information er kun dét God ide at læse den Den gyldne regel: Beskriv hvad I gør Gør hvad I skriver Husk at dokumentere

17 ISO processen - faseopdeling Værktøjerne for processen Scope Giver mulighed for at faseopdele opgaven Projektplan for ISO implementering Giver mulighed for at skitsere senere aktiviteter Aktiver Gruppér - og findel efter behov over tid Husk at planen kan være faseopdelt med efterfølgende justering af scope, når grænseflader skal konkretiseres opdeling af aktiver, eller evt. sammenlægning, samt nye mere detaljeret risikovurdering af højrisikoaktiver senere start på mindre kritiske områder justering af implementeringer af kontroller og registreringer Scope og plan Implementering Justering og konkretisering

18 Overblik ISO27001 Sikkerhedsproces ISO vigtigt at huske: ISO skal understøtte forretningen Hvis risici er godt beskrevet og der er en plan, kan ledelsen godt acceptere en højere restrisiko end normalt Dette skal dog være beskrevet som mulighed i proceduren for risikovurdering OG Der bør sættes en øvre grænse for omfang af accepterede risici ud over risikotolorance Overvej at etablere at risikoregnskab til at holde styr på dette, så der akkumulleret ikke sker overtræk i forhold til mandat fra bestyrelse/ejerne. Se på hvad selve målet med kontrollen er! Hvad betyder det konkret? Hvordan implementeres det hensigtsmæssigt? Ledelsesopbakning og brugerinddragelse er kritisk for successen

19 Hvad skal du gøre når du kommer hjem? På mandag Skaf et overblik over risikobilledet i forhold til nuværende itsikkerhed Afgør om der er tale om en brændende platform ift. Kundekrav, Ramt af ransomware eller den nye EUforordning Næste uge Indstil til ledelsen at få kortlagt hvad udfordringen er via en gap-vurdering. Næste måned Etabler en workshop med formål at fastsætte omfang for en ISOproces enten som selvassessed compliant eller forberedelse til certificering. Udarbejdelse af en overordnet handlingsplan.

20 Tak!