Risikostyring ifølge ISO27005 v. Klaus Kongsted

Relaterede dokumenter
Forordningens sikkerhedskrav

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

ISO Ledelsesværktøj til digital risikostyring

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst

Sådan får du styr på de digitale risici

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

RISIKOVURDERING I PRAKSIS

Sikkerhed og Revision 2015

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Digitaliseringsstyrelsen Risikovurdering Marts 2018

IT-sikkerhedspolitik for

Vejledning i it-risikostyring og -vurdering. Februar 2015

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Mobility-strategi Hvordan kommer du i gang?

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Faxe Kommune. informationssikkerhedspolitik

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

it-sikkerhed i produktionen DE 5 TRIN

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Vejledning i informationssikkerhedspolitik. Februar 2015

Region Hovedstadens Ramme for Informationssikkerhed

Vejledning i informationssikkerhedsstyring. Februar 2015

INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Security & Risk Management Summit

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Kursus: Ledelse af it- sikkerhed

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

Informationssikkerhed på ledelsens agenda

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Pixiguide til udarbejdelse af konsekvensvurdering

Informationssikkerhedspolitik for Horsens Kommune

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

1. Introduktion til SoA Indhold og krav til SoA 4

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

INFORMATIONS- SIKKERHEDS- AKTIVITETER

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Beredskab til iseries

IT-SIKKERHEDSPOLITIK UDKAST

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Risikovurdering Gartneriet PKM

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Overordnet It-sikkerhedspolitik

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Sikkerhed i cloud computing

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

KMD s tilgang til cybertrussler. Public

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Informationssikkerhed på ledelsens agenda

Sikkerhedspolitik Version d. 6. maj 2014

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Transkript:

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger

Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister Kvalitet Service Kompetence Managing risk Enabling growth First mover Vores engagement skaber arbejdsglæde Eftertragtet arbejdsplads Motiverede medarbejdere 50 ansatte Omsætning 100 mio. DKK Selvfinansierende og privatejet

360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service

It er forretningen Mission for it-afdelingen: Øge virksomhedens indtjening og vækst Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som itanvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Myndigheder Bestyrelse IT Sikkerhed Risiko Ledelse Udfordringer: Umuligt at synliggøre teknisk it-risiko uden forretningssammenhæng Forretning forstår sjældent værdien og betydningen af it-systemer Forskellige interessenter har forskellig opfattelse af sikkerhed og risiko Kunder Medarbejder CIO

Hvorfor tale risici? Fokuserer ledelsen på de forretningsmæssige risici og gevinster Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som it-anvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Giver et dokumenteret grundlag for beslutninger Viser at sikkerhed ikke bare er IT s ansvar

Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

Risikostyring Ofte fokuseres på risikoregistre og på risikovurdering af systemer Man kan have fint styr på de identificerede risici Tager måske udgangspunkt i forretningsrisici Kan være baseret på de risici man har oplevet/hørt om Hvordan sikres, at man ikke glemmer noget? Der mangler ofte en top-down tilgang Man skal sikre, at man kommer 360 grader rundt Der skal tages højde for det moderne trusselsbillede APT angreb kan fx ramme meget bredere end før Man bør forholde sig til at perimeteren IKKE er sikker En struktureret tilgang til risikovurderinger kan give dette overblik ISO 27005:2011 metodikken kan bruges som tilgang til en 360 graders risikovurdering

ISO 27005 Metodikken Risikoidentifikation Identifikation af aktiver Identifikation af trusler Identifikation af nuværende kontroller Identifikation af sårbarheder Identifikation af konsekvenser Risikoanalyse og -evaluering Risikohåndtering

Risikovurdering i praksis Man risikovurderer de forretningskritiske aktiver Det er dem som har en kritisk værdi for forretningen Start med en kvalitativ vurdering for at få et overblik Efterfølgende kan man så uddybe de vurderinger hvor der er behov, evt. med en kvantitativ vurdering Pas på med ikke at drukne i teori Uanset metode bør ledelsen fastsætte risikovilligheden inden start

Aktiver Aktiver Har en kritisk værdi for forretningen Kan fx udpeges ud fra de forretningskritiske processer Se også appendiks B i ISO 27005:2011 standarden Er sårbare overfor brud på Fortroligheden Integriteten Tilgængeligheden Kan fx være Informationer Hardware Software Medarbejdere Services Fysisk Processer Det er en god ide at gruppere aktiver hvor det giver mening

Trusler Der findes mange trusler Se fx appendiks C i ISO 27005:2011 standarden Kan mere generelt gruppers som trusler om Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Sammenhold truslerne med de sårbarheder det enkelte aktiv har Det viser hvilke trusler der er relevante for det aktiv I praksis ses trusler og sårbarheder ofte under ét som brud

Kontroller Man kan tage udgangspunkt i en liste med mulige kontroller Se fx appendiks A i ISO 27001:2013 standarden Husk egne og branchespecifikke kontroller fx baseret på lovkrav Man har typisk allerede mange kontroller, fx Firewalls, proxy, antivirus, UPS mv. Backups og katastrofeplaner Adgangskontrol, brandsikring, tyverialarm mv. Kontrakter med fortrolighedserklæringer Overordnet sikkerhedspolitik Regler i personalehåndbog Vejledning om email og internetbrug

Sårbarheder Der findes mange sårbarheder Se fx appendiks D i ISO 27005:2011 standarden Overordnet kan et aktiv være sårbar over for: Ondsindede handlinger (forsæt) Fejl og ubevidste handlinger (uforsætligt) Uheld/ulykker Naturkatastrofer/Force Majeure En række af sårbarhederne er dækket af nuværende kontroller Disse bør også identificeres og knyttes til de anvendte kontroller Som en del af den samlede dokumentation Brud er trusler, der kan udnytte sårbarheder

Konsekvens Overordnet skal man beskytte sine forretningskritiske aktiver mod: Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Brudene har alle har en konsekvens, som vurderes af aktivets ejer, typisk fra forretningen Evt. ud fra en Business Impact Analysis (BIA) Evt. i en dialog med en erfaren sikkerhedskonsulent Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere konsekvensen af de tre typer af brud

Sandsynlighed Brud har en sandsynlighed, som vurderes fx af den teknisk ansvarlige for sikring af aktivet Fx i en dialog med en erfaren sikkerhedskonsulent Kan også håndteres vha. risikostyringsværktøjer Sandsynligheden afhænger bl.a. af de sikringsforanstaltninger, der allerede er på plads Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere sandsynligheden for de forskellige typer af brud Det kan give mening at samle/gruppere brudene Overvej at samle dem til sandsynlighederne for brud på: Fortroligheden Integriteten Tilgængeligheden

Virksomhedens risikovillighed Lavere Højere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres uden af der gennemføres ændringer Her skal risiko normalt håndteres, så rest risiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer, eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.

Risikovurdering Risikoen bliver så et tal fra 1 (lav) til 25 (høj) Risikovilligheden defineres typisk i tre intervaller: Grøn de laveste værdier, der umiddelbart kan accepteres Gul de mellemste værdier, som ledelsen skal tage stilling til Rød de højeste værdier, der ikke umiddelbart kan accepteres Risikovurderingen danner grundlag for en håndteringsplan Husk at vedligeholde vurdering ihf. årligt og ved større ændringer

Eksempel Risikovurderingsskema på Farver baseret på ledelsens risikovillighed - i eksemplet er det en 1 (lav) til 25 (høj) skala

Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved at den: Accepteres alligevel, ihf. for en periode Overføres til andre, fx ved forsikring Undgås, fx ved at man holder op med noget eller ændrer det Nedbringes, fx ved hjælp af nye/ekstra sikringsforanstaltninger Forslag til dette samles i en risikohåndteringsplan (RTP), som godkendes af ledelsen Det kan være en iterativ proces at nå til en godkendt plan I ISO 27001 er valget af sikringsforanstaltninger også dokumenteret i en Redegørelse for anvendelighed (Statement of Applicabillity - SOA) Husk at vedligeholde planen, ihf. årligt og ved større ændringer

Udvidet risikovurdering Detaljeret risikovurdering af kritiske eller særligt komplicerede systemer og områder Ser detaljeret på en række konkrete risici for de udvalgte systemer/områder Iterativ proces, der indarbejder ledelsens stillingstagen til restrisikoen

Eksempel Den udvidede risikovurdering

Glem ikke Husk at inddrage: Afhængigheder af andre aktiver / akkumulering af risici fx netværk, medarbejdere De forskellige tilstande informationer kan befinde sig Emails kan fx være på en server, i transit, på klienter, på en mobil

Resultatet Virksomheden får: Synliggjort hvor der bør sættes ind, for at opnå et ønsket sikkerhedsniveau Grundlaget for at træffe de mest hensigtsmæssige valg Overblik over værdier, ansvar og risici Forankret sikkerheden i forretningen og ledelsen

TAK! For yderligere information besøg www.dubex.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback