Security & Risk Management Summit 2016

Relaterede dokumenter
Gap-analyse. ST - ISO27001 Modenhed. Arhus Universitet

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Forordningens sikkerhedskrav

1 Informationssikkerhedspolitik

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

AFTALE BAGGRUND OG OPGAVEFORSTÅELSE. BDO Statsautoriseret revisionsaktieselskab Havneholmen København V. (i det efterfølgende benævnt som BDO)

Informationssikkerhedspolitik for Odder Gymnasium

It-sikkerhedspolitik for Farsø Varmeværk

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Vejledning i informationssikkerhedspolitik. Februar 2015

ISO Ledelsesværktøj til digital risikostyring

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

KOMBIT sikkerhedspolitik

Sådan stiller du krav til leverandører om informationssikkerhed - Katalog. December 2017

Sådan får du styr på de digitale risici

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001)

INFORMATIONSSIKKERHED. UCC s sikkerhedshåndbog

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Hørsholm kommunes regler for informationssikkerhed

IT-sikkerhedspolitik for Lyngby Tandplejecenter

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Region Hovedstadens Ramme for Informationssikkerhed

Designskolen Kolding Informationssikkerhedspolitik (ISO 27001:2013)

Informationssikkerhedspolitik for. Nordjyllands Landbrugsskole. Informationssikkerhedspolitik for Nordjyllands Landbrugsskole

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Når Compliance Bliver Kultur

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

Informationssikkerhedspolitik for Kjærgård Landbrugsskole

1. Ledelsens udtalelse

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Når compliance bliver kultur

Kursus: Ledelse af it- sikkerhed

Kl Indledning v. Lone Strøm, Rigsrevisor

Leverandørstyring: Stil krav du kan måle på

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Præsentation af Curanets sikringsmiljø

B4Restore A/S. ISAE 3000 DK erklæring om generelle ITkontroller relateret til B4Restore A/S Hybrid Storage Solution og Hybrid Backup Solution

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Virksomhedernes cybertilstand

serien og nyheder i ISO og ISO 27002

Hørsholm kommunes regler for informationssikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Timengo DPG A/S CVR-nr

Bilag 1 Databehandlerinstruks

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Sikkerhed og Revision 2015

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

DANMARKS NATIONALBANK REVISION AF CYBERARK. Sikkerhed og Revision 2019

Skanderborg Kommune. Uddybende IT sikkerhedsregler. Informationssikkerhedsregler baseret på ISO. Udkast 27002:2017

IT sikkerhedspolitik for Business Institute A/S

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

DFF-EDB a.m.b.a CVR nr.:

Informationssikkerhedspolitik for Horsens Kommune

Security & Risk Management Summit

Complea A/S CVR-nr.:

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Jyske Bank Politik for It sikkerhed

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

IT-sikkerhedspolitik S i d e 1 9

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

any.cloud A/S CVR nr.: DK

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Standard for informationssikkerhed

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Uddybende informationssikkerhedsregler version

Persondataforordningen Agenda

Procedure for tilsyn af databehandleraftale

Informationssikkerhedspolitik for <organisation>

Zentura IT A/S CVR-nr.:

MedComs informationssikkerhedspolitik. Version 2.2

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Mobility-strategi Hvordan kommer du i gang?

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Zentura IT A/S CVR-nr.:

Velkomst og praktiske informationer. Jacob Herbst Søborg, 23. maj 2013

ANALYSE Informationssikkerhed blandt DI s medlemmer

CYBERFORSIKRING OFFENTLIG KONFERENCE

Sikkerhed i cloud computing

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Lovtidende A Udgivet den 3. juni Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1) 1. juni Nr. 567.

Høje-Taastrup Kommune. Regler. Informationssikkerhedshåndbog. Udkast

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Complea A/S CVR-nr

It-revision af Sundhedsdatanettet januar 2016

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

POLITIK. Informationssikkerhedspolitik for Region Nordjylland

Transkript:

Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:

Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants, Dubex A/S 3. November 2016

Agenda Hvordan får man styr på informationssikkerheden? Hvad er problemet med de nuværende metoder? Sikkerhedsanalysen som værktøj Eksempler

Har I overblik over jeres informationssikkerhed? Hvor er jeres største sikkerhedsrisici? Betragter I perimeteren som sikker? Kontrollerer og beskytter I de mobile enheder? Uddanner I jeres medarbejdere? Styrer og dokumenterer I adgangen til persondata? Hvor godt er sikkerhedsniveauet i forhold til Forretningens behov f.eks. jeres kunders krav Lovgivningen f.eks. Persondataforordningen Relevante standarder f.eks. ISO 27001/27002 Best practice f.eks. SANS The CIS Critical Security Controls for Effective Cyber Defense

Informationssikkerhed er ledelsens ansvar! INFORMATION er blevet virksomheders vigtigste asset It er grundlaget for alle forretningsprocesser Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko, som itanvendelsen medfører Opgaver kan uddelegeres ansvar kan ikke! Risikostyring skal bruges til at beskytte værdien af virksomheden

Udfordringer i den nuværende proces Ofte fokuseres på risikoregistre og på risikovurdering af systemer Man kan have fint styr på de identificerede risici Tager måske udgangspunkt i forretningsrisici Kan være baseret på de risici man har oplevet/hørt om Hvordan sikres, at man ikke glemmer noget? Der mangler ofte en top-down tilgang Man skal sikre, at man kommer 360 grader rundt Der skal tages højde for det moderne trusselsbillede Man bør forholde sig til at perimeteren IKKE er sikker Tests med fx Trend Micro Deep Discovery viser altid mistænkelig aktivitet APT angreb kan fx ramme meget bredere end før Det er fx ikke kun en lokation der rammes, men mange, på én gang!

Dubex sikkerhedsanalyse Dubex sikkerhedsanalyse afdækker virksomhedens reelle informationssikkerhedsniveau og udfordringer Det sker i en detaljeret og grundig gennemgang af de tekniske, fysiske og organisatoriske forhold Det holdes op i mod virksomhedens reelle mål og behov i lyset af Persondataforordningens krav ISO 27002 standarden, samt Anden best-practice Sikkerhedsanalysen giver et billede af virksomhedens kritiske udfordringer, samt andre svagheder i informationssikkerheden

Sikkerhedsanalysen kan suppleres med Kontroller af de faktiske forhold, f.eks. Sårbarhedsscanning af udvalgte systemer Penetrationstest Security Intelligence (APT) analyse af netværkstrafik Gennemgang af sikkerheden hos outsourcing partnere Har de f.eks. samme opfattelse af aftaler og ansvar? Gennemgang af sikkerheden på andre lokationer Lever virkeligheden op til den centrale opfattelse? Sikkerhedsanalyse Sårbarhedsanalyse AS-IS Teknisk sikkerhedsanalyse Compliance-analyse Trusselsvurdering Risikovurdering

Rapporten omfatter Ledelses-resumé med en opsummering af de kritiske problemer og forbedringsforslag Detaljeret beskrivelse af nuværende informationssikkerhed, med Dubex anbefalinger Konklusion med prioriterede anbefalinger til forbedringer af informationssikkerheden, holdt op i mod forretningens forventninger Rapporten danner en baseline for det videre arbejde

Processen Aktivitet 1 Opstartsmøde Detaljer omkring interviews og adgang til dokumentation aftales Aktivitet 2 Gennemgang af organisatorisk sikkerhed, interviews Interviews med nøglepersoner hos virksomheden inden for områderne: forretningen, sikkerhed og organisation, samt IT Aktivitet 3 Gennemgang af teknisk og fysisk sikkerhed, interviews Interviews med nøglepersoner hos virksomheden inden for områderne: sikkerhed, netværk, applikationer og server infrastruktur Aktivitet 4 Analyse og behandling Analyse af de indsamlede informationer og udarbejdelse af rapport, inkl. kommentering Aktivitet 5 Afrapportering Fremlæggelse af rapport og konklusioner for ledelse og/eller projektdeltagere Typisk omfang af virksomhedens deltagelse: Deltagere (roller) Opstartsmøde Organisatorisk Teknisk og fysisk Fremlæggelse sikkerhed sikkerhed Sikkerheds- eller 2 time 6 timer 8 timer 2 timer projektansvarlig Forretningen 2 timer 2 timer Organisatorisk sikkerhed 2 timer 6 timer 2 timer Teknisk sikkerhed 2 timer 6 timer 8 timer 2 timer Drift og support 2 timer 8 timer 2 timer

Gennemgangen omfatter Risikovillighed og brug af risikovurderinger Informationssikkerhedspolitik og vedligeholdelse Organisering og styring af informationssikkerhed internt og eksternt Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen Styring af aktiver (klassifikation og retningslinier for brug af faciliteter) Adgangsstyring (brugeradministration og passwords) Kryptografi Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr Driftssikkerhed (teknologier, inkl. backup, AV, logning mv.) Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.) Anskaffelse, udvikling og vedligeholdelse af informationssystemer Informationssikkerhed i leverandørforhold og outsourcing Styring af informationssikkerhedshændelser og forbedringer Beredskabsstyring, nødplaner og kontinuitet Overensstemmelse med eksterne krav, lovgivning mv.

ISO 27002 danner ramme for spørgsmålene Afsnit Spørgsmål Dag 1: 4 Risikovurderinger og risikovillighed 5 Informationssikkerhedspolitikker 5.1 Retningslinjer for styring af informationssikkerhed 6 Organisering af informationssikkerhed 6.1 Intern organisering. 6.2 Mobilt udstyr og fjernarbejdspladser 7 Medarbejdersikkerhed 7.1 Før ansættelsen 7.2 Under ansættelsen 7.3 Ansættelsesforholdets ophør eller ændring 8 Styring af aktiver 8.1 Ansvar for aktiver 8.2 Klassifikation af information 8.3 Mediehåndtering 15 Leverandørforhold 15.1 Informationssikkerhed i leverandørforhold 15.1.1 Sikkerhedskrav til leverandøraftaler 15.1.2 Sikkerhed i aftaler med leverandører 15.1.3 Håndtering af risici i leverandørkæden 15.2 Styring af leverandørydelser 16 Styring af informationssikkerhedsbrud 16.1 Styring af informationssikkerhedsbrud og forbedringer 16.1.1 Ledelsens ansvar ifm. hændelseshåndtering 16.1.2 Rapportering af hændelser 16.1.3 Rapportering af sikkerhedssvagheder 16.1.4 Vurdering og klassificering af hændelser 16.1.5 Håndtering af sikkerhedsbrug 16.1.6 Opfølgning på hændelser 16.1.7 Sikring af beviser ifm. hændelser 18 Overensstemmelse 18.1 Overensstemmelse med lov- og kontraktkrav 18.2 Gennemgang af informationssikkerhed 17 17.1 Informationssikkerhedsaspekter ved nød-, beredskabs- og Informationssikkerhedskontinuitet 17.2 Redundans Dag 1 og/eller 2: 9 Adgangsstyring 9.1 Forretningsmæssige krav til adgangsstyring 9.1.1 Politik for adgangsstyring 9.1.2 Adgang til services og systemer 9.2 Administration af brugeradgang 9.2.1 Brugeroprettelse og -nedlægning 9.2.2 Styring af brugerrettigheder 9.2.3 Styring af eleverede adgangsrettigheder 9.2.4 Styring af hemmlig brugeridentifikation 9.2.5 Evaluering af brugerrettigheder 9.2.6 Inddragelse eller ændring af adgange 9.3 Brugernes ansvar 9.4 Styring af system- og applikationsadgang 9.4.1 Begrænsning af adgang til informationer 9.4.2 Sikker log-on 9.4.3 Styring af adgangskoder 9.4.4 Brug af systemværktøjer 9.4.5 Beskyttelse af kildekoder 11 Fysisk sikring og miljøsikring 11.1 Sikre områder 11.1.1 Fysiske afgrænsninger 11.1.2 Fysisk adgangskontrol 11.1.3 Sikring af faciliteter 11.1.4 Beskyttelse mod miljøtrusler 11.1.5 Arbejde i sikre områder 11.1.6 Offentlig adgang 11.2 Udstyr 11.2.1. Beskyttelse af udstyr 11.2.2 Forsyningssikkerhed 11.2.3 Sikring af kabler 11.2.4 Vedligeholdelse af udstyr 11.2.5 Fjernelse af ejendom 11.2.6 Sikring af udstyr uden for virksomheden 11.2.7 Bortskaffelse og genbrug 11.2.8 Beskyttelse af udstyr uden opsyn 11.2.9 Clean-desk politik 14 Anskaffelse, udvikling og vedligeholdelse af systemer 14.1 Sikkerhedskrav til informationssystemer 14.1.1 Krav til nye systemer eller forbedringer 14.1.2 Beskyttelse af tjenester over offentlig net 14.1.3 Beskyttelse af handelstjenester 14.2 Sikkerhed i udviklings- og hjælpeprocesser 14.2.1 Regler for udvikling af SW og systemer 14.2.2 Ændringsstyring 14.2.3 Kontrol af ændringer i forretningssystemer 14.2.4 Styring af ændringer i standardsoftware 14.2.5 Udvikling af sikre systemer 14.2.6 Sikre udviklingsmiljøer 14.2.7 Håndtering af outsourcet udvikling 14.2.8 Test af sikkerhed ifm. udvikling 14.2.9 Systemaccepttests 14.3 Testdata Dag 2: 10 Kryptografi 10.1 Kryptografiske kontroller 10.1.1 Krypteringspolitik 10.1.2 Administration af krypteringsnøgler 12 Driftssikkerhed 12.1 Driftsprocedurer og ansvarsområder 12.1.1 Dokumentation af driftsprocedurer 12.1.2 Ændringsstyring 12.1.3 Kapacitetsstyring 12.1.4 Adskillelse af test, drift og udvikling 12.2 Malwarebeskyttelse 12.3 Backup 12.4 Logning og overvågning 12.4.1 Auditlogning (Logning af hændelser) 12.4.2 Beskyttelse af logoplysninger 12.4.3 Systemlogs 12.4.4 Tidssynkronisering 12.5 Styring af driftssoftware 12.6 Sårbarhedsstyring 12.6.1 Patchmanagement 12.6.2 Begrænsning af SW installation 12.7 Overvejelser i forbindelse med audit af informationssystemer 13 Kommunikationssikkerhed 13.1 Styring af netværkssikkerhed 13.1.2 Sikring af netværkstjenester 13.1.3 Netværkssegmentering 13.2 Informationsoverførsel 13.2.1 Politikker og procedure for informationsoverførsler 13.2.2 Aftaler om informationsudveksling 13.2.3 Beskyttelse af elektroniske meddelser 13.2.4 Fortrolighedsaftaler Information Risiko Foranstaltninger

Fokus på formålet Fokusér på formål og kontrol Hvad siger teksten? Hvordan gøres det bedst i jeres organisation? Implementeringsvejledningen er primært en hjælp, hvis man er i tvivl om, hvad der menes med kontrollen Anden information er kun dét God idé at læse den Den gyldne regel: Beskriv hvad I gør Gør hvad I beskriver Husk at dokumentere Ref: Dansk Standard ISO 27002:2014

Grafisk 360 grader billede Score Betyder 1 Generelt ok 2 Delvist ok, men mulige forbedringer påpeget 3 Ønskelige forbedringer påpeget 4 Vigtige forbedringer påpeget 5 Kritiske forbedringer påpeget

Eksempler på typiske anbefalinger Risikovurdering af kritiske informationer på tværs af systemer Klarere regler for brug og beskyttelse af udstyr uden for virksomheden Struktureret brug af awareness og uddannelse Identity Management - både på personlig og privilegerede accounts Brug og beskyttelse af off-line sikkerhedskopier Logning og overvågning af hændelser på sikkerhedsudstyr Segmentering og overvågning af trafik på netværk Afklaring og dokumentering af sikkerhedskrav til og brug af Cloud løsninger og anden outsourcing, herunder databehandlere Beredskabsplaner for logiske angreb (Kryptolocker, andre vira mv.) Samt en række lavt hængende frugter

Resultatet Rapporten giver: Detaljeret beskrivelse af nuværende informationssikkerhed Prioriterede anbefalinger til forbedringer af informationssikkerheden, holdt op imod de konkrete behov Ledelses-resumé med en opsummering af de kritiske problemer og forbedringsforslag

Eksempel - Slagelse Kommune

Dubex er en sparringspartner Sikkerhedsanalysen er ikke endnu en revision Den er en hjælp til både ledelsen og it-afdelingen Målet er rådgivning, IKKE kontrol Dubex kommer med praktiske forslag Dubex er ekspert i både formel og teknisk sikkerhed Dubex har uddannede auditorer Fx ISO 27001 Lead auditor certificering Dubex konsulenter har mange tekniske certificering Fx fra Check Point, Trend Micro, RSA, Blue Coat og Cisco m.fl. Dubex har erfaring med hvordan informationssikkerheden kan understøtte forretningsprocesserne HUSK AT I KAN BOOKE ET GRATIS MØDE MED EN DUBEX GRC-KONSULENT!

Tak! Læs mere om Dubex på www.dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback