ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, [email protected] Dubex A/S, 11. juni 2015

Transkript

1 ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, [email protected] Dubex A/S, 11. juni 2015

2 Udfordringer mht. persondata eksempler For mange brugere har adgang til personfølsomme data Manglende opfølgning på brugernes adgange Manglende gennemgang af logfiler Manglende opfølgning og opdatering af sikkerhedspolitikker Fremsendelse af fortrolige og følsomme personoplysninger via ukrypteret e- mail Fejlagtig offentliggørelse af personnumre på hjemmesider Videregivelse af personoplysninger i strid med persondataloven Manglende kontrol med eksterne samarbejdspartnere, der modtager og behandler fortrolige og følsomme personoplysninger Manglende awareness omkring it-sikkerhed og Persondataloven

3 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssig sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

4 Risikostyring er vigtigt i forhold til persondata Persondatalovens krav, som beskrevet i f.eks. 41, stk. 3: Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven Artikel 30 i EU-Parlamentets forslag af til EU-forordningen: 1. The controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing, taking into account the results of a data protection impact assessment pursuant to Article 33, having regard to the state of the art and the costs of their implementation.

5 Risikostyring er en del af ISO Standard for ledelsessystemer for informationssikkerhed (ISMS) Fokus er på styring af de forretningskritiske risici Valg af kontroller baseres på risikovurdering Udvælgelsen er en vigtig del af processen Kontrollerne er beskrevet i bl.a. ISO Implementering skal være hensigtsmæssig Plan Do Der lægges vægt på ledelsesgodkendelser og -rapportering Regelmæssige ledelsesreview med bl.a. Review af kritiske sikkerhedshændelser Review af risikohåndteringsplan Review af audits og tilbagemeldinger Review af sikkerhedspolitik Rapportering om sikkerhedsmål og effektivitetsmålinger Act Check

6 Dubex tilgang ISO-standarderne er grundlæggende Best Practice Implementeringen baseres på Virksomhedens reelle behov Hvilke er de forretningskritiske aktiver Top-down tilgang til risikovurderinger Med passende grupperinger af aktiver Fokus på formålet med den enkelte kontrol Processen kan også bruges til etablering af den ønskede informationssikkerhed inden for konkrete områder Persondatalovens krav til behandlingssikkerhed En afdeling/netværk/funktion På den måde bliver ISO et konkret og praktisk værktøj til håndtering af virksomhedens informationssikkerhed

7 ISO den pragmatiske proces Begynd med ledelsesaccept og omfang (scope) Identificér de forretningskritiske informationsaktiver og ejerne Udarbejd risikovurdering af aktiverne Udarbejd risikohåndteringsplan, og få ledelsens accept af den og evt. restrisici Implementér de valgte kontroller (Husk virksomhedens it-sikkerhedsadfærd) Dokumentér processer og efterlevelse Vedligehold systemet (inkl. it-sikkerhedsadfærden)

8 Virksomhedens reelle behov Udpeg de forretningskritiske aktiver Tag udgangspunkt i de overordnede forretningsrisici og/eller de forretningskritiske processer Aktiverne er sårbare overfor brud på Fortroligheden Integriteten Tilgængeligheden Det er en god idé at gruppere aktiver med Sammenfaldende risikobillede Samme kontroller Fastlæg risikovilligheden Den kan variere for de enkelte aktiver/områder

9 Risikovurdering i praksis Man risikovurderer de personfølsomme informationer Start med en kvalitativ vurdering for at få et overblik Efterfølgende kan man uddybe de vurderinger hvor der er behov, evt. med en kvantitativ vurdering Tag udgangspunkt i de eksisterende kontroller og afklar om der er brug for nye Pas på med ikke at drukne i teori Uanset metode bør ledelsen fastsætte risikovilligheden

10 Risikovurdering i praksis (2) Risikoen baseres på konsekvenser, vægtet med deres sandsynlighed Vurderingen af konsekvenserne baseres f.eks. på de finansielle omkostninger, tab af menneskeliv, mistet omdømme m.m. Vurderingen af sandsynligheden for at noget sker, baseres på trusler og sårbarheder, holdt op i mod foranstaltningerne (kontrollerne) Hacker Konkurrent Terrorist Utilfreds medarbejder Software fejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Foranstaltninger Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme

11 Virksomhedens risikoappetit Højere Lavere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres uden at der gennemføres ændringer Her skal risiko normalt håndteres, så restrisiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.

12 Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved, at den nedbringes, f.eks. ved hjælp af nye/ekstra sikringsforanstaltninger undgås, f.eks. ved at man holder op med noget eller ændrer det overføres til andre, f.eks. ved forsikring accepteres alligevel, evt. bare for en periode Dette beskrives i en risikohåndteringsplan (RTP), som godkendes af ledelsen Kan også bruges til at dokumentere hvor de forskellige kontroller anvendes Det kan være en iterativ proces at nå til en godkendt plan Kan også være en simpel proces ja/nej

13 Kontrollerne - ISO 27002:2013 (2014) 5. Informationssikkerhedspolitik og vedligeholdelse 6. Organisering og styring af informationssikkerhed internt og eksternt 7. Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen 8. Styring af aktiver (klassifikation og retningslinjer for brug af faciliteter) 9. Adgangsstyring (brugeradministration og passwords) 10. Kryptografi 11. Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr 12. Driftssikkerhed (teknologier, inkl. backup, logning mv.) 13. Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.) 14. Anskaffelse, udvikling og vedligeholdelse af informationssystemer 15. Informationssikkerhed i leverandørforhold og outsourcing 16. Styring af informationssikkerhedshændelser og forbedringer 17. Beredskabsstyring, nødplaner og kontinuitet 18. Overensstemmelse med eksterne krav, lovgivning mv Se evt. også: ISO Regelsæt med ekstra tiltag til beskyttelse af identificerbare personlige oplysninger i offentlige skyer, der fungerer som databehandler

14 Fokusér på formålet Fokusér på formål og kontrol Hvad siger teksten? Hvordan gøres det bedst i denne organisation? Implementeringsvejledningen er primært en hjælp, hvis man er i tvivl om, hvad der menes med kontrollen Anden information er kun dét God idé at læse den Den gyldne regel: Beskriv hvad I gør Gør hvad I skriver Husk at dokumentere Ref: Dansk Standard ISO 27002:2014

15 Datatilsynets minimumskrav et godt sted at starte Kravene gælder i dag De vil også være aktuelle med den nye EU-forordning For det offentlige gælder som udgangspunkt: Sikkerhedsbekendtgørelsen (nr. 528) For private har Datatilsynet udformet nedenstående specifikke minimumskrav for sikkerhed i forbindelse med personaleadministration. Fra januar 2015 indeholder Datatilsynets tilladelser til personaleadministration i den private sektor som standard vilkår om iagttagelse af disse:

16 Datatilsynets minimumskrav private sektor 1) Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2) Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3) Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4) Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5) Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 6) Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7) Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8) PC er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9) Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10) Hvis følsomme personaleoplysninger og personnummer sendes med via internettet, anbefaler Datatilsynet kryptering. 11) I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12) Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

17 Datatilsynets minimumskrav og ISO ) Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 5 Informationssikkerhedspolitikker mv. 2) Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 9 Adgangsstyring og 13 Kommunikationssikkerhed 3) Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne Intern organisering, 7.2 Under ansættelsen og Beskyttelse af personoplysninger 4) Personaleoplysninger på papir f.eks. i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 8 Styring af aktiver og 11 Fysisk sikkerhed 5) Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 9 Adgangsstyring 6) Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg Logning mv. 7) Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8.3 Mediehåndtering 8) PC er koblet til internettet skal have en opdateret firewall og viruskontrol installeret Mobilt udstyr og 11.2 Udstyr 9) Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10 Kryptering og 13 Kommunikationssikkerhed 10) Hvis følsomme personaleoplysninger og personnummer sendes med via internettet, anbefaler Datatilsynet kryptering. - 8 Styring af aktiver, 10 Kryptering og 13 Kommunikationssikkerhed 11) I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 11 Udstyr 12) Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet Leverandørforhold

18

19 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure og ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse

20 Tak! For yderligere information kontakt Lars Boye,