RISIKOVURDERING I PRAKSIS

Transkript

1 RISIKOVURDERING I PRAKSIS

2 AGENDA INTRODUKTION AF Jesper B. Hansen Siscon TRUSSELSBILLEDET RISIKOVURDERING Trusler -> konsekvenser Metode ISO Håndtering af risici OPSAMLING ControlManager by Siscon 2

3 OM JESPER B. HANSEN JESPER HANSEN, SISCON ESL, CISM, CRISC, CISSP HAR 15+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHEDSDISCIPLINER: IT-SIKKERHEDSGOVERNANCE IMPLEMENTERING AF ISMS (ISO 27001) OPBYGNING AF KONTROLMILJØ RISIKOVURDERINGSFRAMEWORKS (ISO 27005) BEREDSKABSPLANLÆGNING (ISO / ISO 27031) SCENARIETBASEREDE BEREDSKABSTEST DESIGN AF IT-SIKKERHEDSINFRASTRUKTUR SIKKERHED I FORBINDELSE MED OUTSOURCING ERHVERVSERFARING: ANSVARLIG FOR PFA S IT-INFRASTRUKTUR IT-SIKKERHEDSCHEF PFA MANAGER PWC KONSULENT PROTEGO ESL FORENINGENS REPRÆSENTANT I RÅDET FOR DIGITAL SIKKERHED.

4 OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager Værktøjet der giver et helhedsbillede og dokumentere virksomhedens Informationssikkerheds niveau Kompetente konsulenter giver sparring og rådgivning Kontor i Allerød med kursusfaciliteter Mere end 80 kunder i Danmark og Norge AAA rating for 2010, 2011, 2012, 2013 & 2014

5 CONTROLMANAGER - RYGRADEN I DIT ISMS Siscon 5

6 Risici

7 NYE TRUSLER HVER DAG!

8 RISIKOBILLEDET ENHVER NY/KOMMENDE TRUSSEL UDGØR IKKE NØDVENDIGVIS EN TRUSSEL FOR DIN VIRKSOMHED ORGANISATIONERS RISIKOPROFIL VARIERER ALT EFTER: Størrelse Struktur/kompleksitet Industri Kultur DET ER VIGTIGT, AT DU FORSTÅR RISIKOBILLEDET FOR DIN VIRKSOMHED HERUNDER DEN SPECIFIKKE KONSEKVENS ControlManager by Siscon 8

9 KONSEKVENS AF INTERNETNEDBRUD - KAOS ELLER FRIRUM? ControlManager by Siscon 9

10 ISO ANGIVER EN STRUKTURERET TILGANGSVINKEL TIL RISIKOSTYRING 5 HOVEDOMRÅDER Kontekst Risikoanalyse Risikohåndtering Risikoaccept Risikokommunikation Risikomonitorering Siscon 10

11 KONTEKST

12 KERNEN I VELLYKKET RISK MANAGEMENT FORBEREDELSE Hvad er det for nogle områder vi skal arbejde med? Hvilke metode ønsker vi at anvende? Hvordan sikrer vi, at vi kan forklare deltagerne omkring aktiviteten SÆRLIGT UDARBEJDELSE AF SKALAER SKAL MAN VÆRE MEGET OPMÆRKSOM PÅ Hvilke skalaer ønsker vi at anvende 1-5 / 1-3 Høj, medium, lav Hvad betyder et givent niveau i skalaen Vær sikker på, at deltagerne forstå en 3 er

13 HUSK AT STILLE SPØRGSMÅLENE! HVAD VIL JEG GERNE OPNÅ MED MINE RISIKOVURDERINGER? HVAD ER DET FOR ET RESULTAT SOM JEG GERNE VIL STÅ MED I SIDSTE ENDE? HVORDAN SKAL DET VÆRE PRÆSENTERET? ControlManager by Siscon 13

14 RISIKOVURDERING I EN FORRETNINGSMÆSSIG KONTEKST Hvad er forretningskonsekvensen Hvis der sker brud på F.eks.: - Fortrolighed - Integritet - Tilgængelighed (flere niveauer) Hvad er sandsynligheden for en given trussel? Der kan påvirke vores IT s: - Fortrolighed - Integritet - Tilgængelighed ControlManager by Siscon 14

15 KONSEKVENSVURDERING - EKSEMPEL Niveau / Type Meget stor Gennemførelse af arbejdsprocesser Alt arbejde ligger stille Omdømme/ Aktiekurs Længerevarende markant eksponering i dagspressen og medierne Økonomi Forventet tab kr > Overholdelse af lovgivning Grov overtrædelse af lov kan medføre stor erstatning, politianmeldelse skriftlig redegørelse til eksterne myndigheder Medarbejder utilfredshed Et større antal medarbejdere forlader virksomheden Stor Arbejdsprocesser er påvirket markant Der vil være meget negativ omtale inden for egen branche samt kritiske artikler i pressen Forventet tab kr > Gentagende forsømmelser / overtrædelser som udløser skærpet overvågning fra den relevant myndighed Arbejde udføres med nedsat engagement og kvalitetsforringelse Lille Arbejde kan kun delvist gennemføres Der vil være udbredt negativ omtale inden for egen branche Forventet tab kr > Overtrædelser der udløser erstatningspligtig Længevarende utilfredshed og begyndende mistillid Meget lille Marginal påvirkning af arbejdsprocesser Der vil være negativ omtale i mindre omfang inden for egen branche i nærområdet Forventet tab < kr Lovgivning overtrædes i mindre grad Kortvarig utilfredshed blandt enkelte medarbejdere

16 SANDSYNLIGHEDSVURDERING - MULIGT TRUSSELSKATALOG Kategorier Eksempler Driftsfejl Servernedbrud Kapacitetsmangel Fysiske trusler Oversvømmelse Strømsvigt Menneskelige fejl Læk af følsomme oplysninger (IPR) Fejlkonfiguration Forsætligt misbrug CPR-kig på naboen Spionage / udlevering af IPR Cyber-angreb Databrud Tab af data Cyber afpresning Ansattes sabotage Hacker angreb

17 SANDSYNLIGHEDSVURDERING Sandsynlighed Meget høj Høj Lav Meget Lav Beskrivelse Vil sandsynligvis ske flere gange hver uge Vil sandsynligvis ske én gang hver måned eller sjældnere Vil sandsynligvis ske én gang hvert år eller sjældnere Vil sandsynligvis ske hvert tredje år eller sjældnere

18 Risikovurdering - i praksis

19 EKSEMPEL PROCES: ØKONOMI, ÅRSREGNSKAB 3 HOVEDSPØRGSMÅL: 1. HVAD VIL KONSEKVENSEN VÆRE, SÅFREMT FORTROLIGHEDEN BLIVER BRUDT I PROCESSEN X 2. HVAD VIL KONSEKVENSEN VÆRE, SÅFREMT MAN IKKE KAN STOLE PÅ DATA ANVENDT I PROCESSEN (INTEGRITETEN) 3. HVAD VIL KONSEKVENSEN VÆRE, SÅFREMT PROCESSEN IKKE KAN GENNEMFØRES I PERIODE X,Y&Z) (TILGÆNGELIGHEDEN) X X X X ControlManager by Siscon 19

20 INDTASTNING AF KONSEKVENS RESULTATER ControlManager by Siscon 20

21 SANDSYNLIGHEDSVURDERING VURDERING AF SANDSYNLIGHEDEN FOR, AT EN GIVEN TRUSSEL FOREKOMMER PÅ EN GIVEN SERVICE (EKSEMPEL ØKONOMISYSTEM) Baseret på statistiske beregninger ELLER erfaringsbaseret (Denne anvender de fleste) SPØRGSMÅL: Baseret på dine erfaringer, hvor ofte har du oplevet (eller hørt om andre der har været udsat for) at I har fejlkonfigureret Økonomisystemet, således at fortroligheden er blevet kompromitteret.

22 INDTASTNING AF SÅRBARHEDS- RESULTATER ControlManager by Siscon 22

23 Resultatet

24 PROCES - RISK MAP UDENFOR RISIKOAPPETIT INDENFOR RISIKOAPPETIT (Besluttet i kontekstfasen) X markerer aktiv højest sandsynlighed ControlManager by Siscon 24

25 What to do?

26 RISK MANAGEMENT OPTIONS - 4 T S Terminere aktiviteten (Terminate) Overføre risikoen (Transfer) Reducere risikoen (Treat) Acceptere risikoen (Tolerate) ControlManager by Siscon 26

27 REDUCERE RISIKOEN MINIMERING AF KONSEKVENS: Godt beredskab MINIMERE SANDSYNLIGHED: Flere sikringsforanstaltninger (Eng: Controls) Shon Harris: CISSP All-in-One Exam Guide, 6th Edition 27

28 AKTIVITETER KOBLET TIL SÅRBARHEDSANALYSE Siscon 28

29 YOUR TAKE AWAY TAKEAWAYS

30 HVORFOR RISIKOVURDERING - MED UDGANGSPUNKT I PROCESSER? GIVER EN UNIK INDSIGT I FORRETNINGEN Og IT s understøttelse af denne ET VÆRKTØJ TIL EN BEDRE DIALOG MED FORRETNINGEN Vi forstå konsekvenserne i forretningstermer SAMLER OP PÅ FORRETNINGENS FORVENTER OG IT S CAPABILITIES GØR DET MULIGT AT GIVE KOMPETENT MODSPIL TIL IT-SECURITY BOXMOVERS I VED, hvorfor I lige præcis har behov for at købe deres boks. HUSK INDEN I IMPLEMENTERER SIKRINGSTILTAG, AT STILLE SPØRGSMÅLET HVAD ER JEG BANGE FOR!

31 Kontakt Siscon med spørgsmål: Jesper B. Hansen Tlf.: Kontakt Siscon for møde: Christina Wulff Jensen Tlf.: