Agenda AGENDA & Siscon Indledning Konsekvensanalyse (Plan) Omfang Parametre Konsekvensanalyse (Do) Forberedelse Gennemførelse Konsekvensanalyse (Check) Fremlæggelse Konsekvensanalyse (Act) Iværksæt tiltag Erfaringsopsamling PLAN Konsekvensanalyse 1 ACT CHECK DO
AGENDA Agenda Eksempel Igangsætning af opgave Afvikling af opgaven Eksempel på værktøj der kan understøtte konsekvensanalyse Konsekvensanalyse 2
Mål Kurset skal sætte kursisten i stand til at forstå hvilke elementer, der indgår i en konsekvensvurdering. Kursisten vil via kurset tilegne sig viden og færdigheder, der gør dem i stand til at stå for vurderingen i egen virksomhed, og vil under kurset få mulighed for at arbejde med metoderne i praksis. Konsekvensanalyse 3
Mig selv... LARS BÆRENTZEN Mere end 15 års erfaring som konsulent og rådgiver inden for IT- og informationssikkerhed Manden bag ISMS-værktøjet - ControlManager PROFESSIONEL BESKÆFTIGELSE Forsvaret - Søværnet IT-Sikkerhedskonsulent ved BFC-Data /WM-Data Stiftede Ezenta i 2000 Stiftede Siscon i 2004 UDDANNELSE Officer i forsvaret (Speciale: Kryptering, Sikkerhed og EW (Electronic Warfare)) Svagstrømingeniør fra DTU ESL hold 10 Konsekvensanalyse 4
Bindeleddet Sikkerhed kan være med til at give fælles forståelse, bevidsthed og indsigt! Informationssikkerhed FORRETNING IT-AFDELINGEN JEG KAN IKKE BIDRAGE MED NOGET, JEG KENDER IKKE TIL IT HVORFOR SKAL JEG BRUGE TID PÅ DET HER, IT SKAL JO BARE FUNGERER VI KAN SLET IKKE TÅLE 5 MIN. IT-NEDBRUD IT-SIKKERHED DET ER IT-AFDELINGEN, DET MÅ VÆRE IT-CHEFENS ANSVAR VI KAN JO IKKE TALE SAMMEN, DE FORSTÅR JO IKKE HVAD VI SIGER VI VED JO GODT HVORDAN IT SKAL DRIVES DET ER SPILD AF TID, JEG VED GODT HVAD DER ER VIGTIGST DE GIDER JO IKKE BRUGE TID PÅ OS, DE SYNES VI ER UFLEKSIBLE OG IKKE SÆRLIG SERVICEMINDEDE Konsekvensanalyse 5
ISMS Organisering Systemer Processer Risikovurdering Prioritering af ressourcer Beslutningsgrundlag & Ledelsesforankring Forventningsafstemning Krav (ISO27001) Politik Regler & Tiltag Kontroller Procedure Logbog Publicering & Awareness Beredskab med nødplaner og reetableringsplaner Hændelser & Læring Konsekvensanalyse 6
Risiko Systemer Processer Risikovurdering Prioritering af ressourcer Beslutningsgrundlag & Ledelsesforankring Forventningsafstemning Konsekvensanalyse 7
Begreber LIGE FOR AT VI TALER SAMME SPROG. Konsekvensanalyse = BIA Sårbarhedsanalyse = finder frem til sandsynligheden Risikovurdering / analyse - samling af konsekvens og sandsynlighed S Risiko = Sandsynlighed & Konsekvens K Konsekvensanalyse 8
HVORFOR GØR VI DET? Interessenter A. Bestyrelse B. Direktion C. Afd. ledere D. IT- chef E. IT- sikkerhedsudvalg F. Andre Inden start.. Hvad er de hver især interesseret i? En god ide at spørge dem der bære konsekvenserne? ISO standarden kræver - Formaliseret / Systematisk / Analytisk / Kontinuerlig Konsekvensanalyse 9
Metode KVALITATIV - INDHOLDSMÆSSIGT En beskrivende skala relateret til den enkelte konsekvenstype 1. Meget stor Hvilket betyder at vi er på forsiden af BT 2. Stor Hvilket betyder at vi bliver fravalgt i udbud 3. Lille Hvilket betyder at der er utilfredshed blandt medarbejdere 4. Meget lille Hvilket betyder der vil være kortvarig tomgang KVANTITATIV - MÆNGDEMÆSSIG En mængdebaseret skala relateret til den enkelte konsekvenstype 1. Meget stor 10% omsætningsnedgang 2. Stor 500.000 kr. 3. Lille 2.5 mill. tabt fortjeneste 4. Meget lille Én dags tabt produktion PS. GIVER DET MENING AT TALE OM ANSKAFFELSESVÆRDIEN? Konsekvensanalyse 10
Metode Assign value to assets (AV) Estimate potential loss per risk (SLE) Threat analysis (ARO) Loss potential per threat (ALE) Reduce, assign or accept risk (Reduce to acceptable level) AV EF SLE Asset Value Exposure Factor Single Loss Expectancy SLE = AV x EF ARO ALE Anualized Rate of Occurance Anualized Loss Expectancy ALE = SLE x ARO Konsekvensanalyse 11
Plan OMFANG Hvad skal en konsekvensanalyse omfatte? A. Forretningsprocesser B. It-services C. Systemer D. Projekter A - Fordele: Ledelsesrelateret / forretningsperspektiv / ledelsesforankring A - Ulemper: Tid B - Fordele: God information til IT-afd / muligt forretningsperspektiv / god forståelse hos IT B - Ulemper: Mindre forretningsrelateret, mindre ledelsesforankring C - Fordele: Meget god information til IT-afd / meget stor forståelse hos IT C - Ulemper: Manglende forretningsperspektiv / mangler viden om anvendelse D - Fordele: Fokuseret D - Ulemper: Kan mangler sammenhæng Konsekvensanalyse 12
Metode K En matrice pr. system / proces? En matrice pr. område Fortrolighed? Integritet? Tilgængelighed? Eller? S Konsekvensanalyse 13
Plan PARAMETRE OMRÅDER Fortrolighed Integritet Tilgængelighed ( i flere perioder og tidspunkter) KONSEKVENSTYPER Økonomi Omdømme Medarbejdertilfredshed Produktion Lovgivning KONSEKVENSNIVEAUER Antal ( Lige / Ulige) Beskrivelse (Kvantitativ / Kvalitativ) Konsekvensanalyse 14
Do FORBEREDELSE Godkendelse af ressourceforbrug / Opbakning Udpegning af deltagere / Ejerskab i ledelsen Informationsmøde samlet / Enkeltvis Udsendelse af information Afklaring af omfang inden eller under interview Udsendelse af skema med parametre til afkrydsning - God ide? Konsekvensanalyse 15
Do GENNEMFØRELSE Introduktion til hvad der skal ske og formål Afklaring af omfang evt. tilpasning Spørgsmål der er relateret til konsekvens for organisationen samlet Faldgruber Miste fokus fra konsekvens Så har jeg 5 medarbejdere, der ikke kan.. Det kan aldrig ske.. Det må de vide i IT, det ved jeg ikke noget om.. Fortælle hvad der efterfølgende kommer til at ske med besvarelserne Konsekvensanalyse 16
Check GENNEMGANG AF RESULTAT Gennemgang af konsekvenser for de enkelte processer/services/systemer A. Betydning for organisationen B. Indbyrdes vigtighed C. Ser billedet realistisk ud? FREMLÆGGELSE AF RESULTAT Hvem skal der fremlægges for A. Direktion B. Afd. Ledere C. It-afdeling Søg fælles enighed om resultatet Tilpas budskabet efter målgruppen Afklar eventuel yderligere tiltag på overordnet niveau Få feedback på processen Konsekvensanalyse 17
Act IGANGSÆT YDERLIGERE TILTAG Afgør behov for handling Prioritering A. Nødplaner B. Gennemtænk alternativer i arbejdsprocesser C. Mindre ændringer i de daglige rutiner / procedurer D... KVALITETSSIKRING Opsamling af feedback for processen og optimer til næste gang Videregivelse af værdifuld information til relevante interessenter Gem en kopi af resultatet Vurder værdien af de implementerede nye tiltag Konsekvensanalyse 18
Eksempel FORRETNINGSPROCES - ØKONOMISTYRING Konsekvenstyper Direkte økonomisk tab Omdømme Overholdelse af lovgivning 4 niveauer Meget stor, Stor, Lille, Meget lille Områder Fortrolighed Integritet Tilgængelighed 24 timer Tilgængelighed 3 døgn Tilgængelighed 1 uge Tilgængelighed - Sidste bankdag i hver måned Konsekvensanalyse 19
Eksempel fortsat FORRETNINGSPROCES - ØKONOMISTYRING Afklaring af evt. andre vigtige konsekvenser Afklaring af maksimal accepteret nedetid Afklaring af maksimalt accepteret datatab Afklaring af hvilke hovedsystemer der understøtter processen Afklaring af hvilke tiltag der er gjort for at videreføre processen uden itunderstøttelse Konsekvensanalyse 20
PLAN TRIN I 15 MIN Dagens opgave FORBEREDER PLANLÆGNING AF EN KONSEKVENSANALYSE. UDPEGNING AF 4 OBJEKTER TIL KONSEKVENSANALYSEN TRIN II 60 MIN -> FROKOST HVER GRUPPE SPLITTES I 2 OG HVER HALVDEL FASTLÆGGER OMRÅDER FORTROLIGHED. KONSEKVENSTYPER OMDØMME. KONSEKVENSNIVEAUER 3,4,5,. PARAMETRE - BESKRIVELSE Der kan stilles enkelte supplerende spørgsmål til modpart Konsekvensanalyse 21
Dagens opgave DO TRIN I 15-20MIN Gennemfør ét konsekvensanalyseinterview for hver halvdel af gruppen Feedback fra modsatte halvdel af gruppen Konsekvensanalyse 22
Dagens opgave CHECK & ACT TRIN I 10MIN Opsamling på interview Forberede fremlæggelse af konsekvensanalyse Fremlæggelse af konsekvensanalysen Feedback fra de andre Konsekvensanalyse 23
Dagens opgave LIVE DO & CHECK TRIN II 15 MIN Gennemførelse af konsekvensanalyseinterview Feedback fra de øvrige kursister TRIN II?? MIN Opsamling på erfaringer Tips og tricks fra dagens opgave Konsekvensanalyse 24
Dagens opgave PLAN (GRUPPER + HALVE GRUPPER ) Kl. 10:45 -> 12:00 DO 20MIN (GRUPPER) Kl. 13:00 13:20 CHECK & ACT 10MIN (GRUPPER) Kl. 13:20 13:30 LIVE DO & CHECK (PLENUM) Kl. 13:45 15:30 Konsekvensanalyse 25