Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:
Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants, Dubex A/S 3. November 2016
Agenda Hvordan får man styr på informationssikkerheden? Hvad er problemet med de nuværende metoder? Sikkerhedsanalysen som værktøj Eksempler
Har I overblik over jeres informationssikkerhed? Hvor er jeres største sikkerhedsrisici? Betragter I perimeteren som sikker? Kontrollerer og beskytter I de mobile enheder? Uddanner I jeres medarbejdere? Styrer og dokumenterer I adgangen til persondata? Hvor godt er sikkerhedsniveauet i forhold til Forretningens behov f.eks. jeres kunders krav Lovgivningen f.eks. Persondataforordningen Relevante standarder f.eks. ISO 27001/27002 Best practice f.eks. SANS The CIS Critical Security Controls for Effective Cyber Defense
Informationssikkerhed er ledelsens ansvar! INFORMATION er blevet virksomheders vigtigste asset It er grundlaget for alle forretningsprocesser Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko, som itanvendelsen medfører Opgaver kan uddelegeres ansvar kan ikke! Risikostyring skal bruges til at beskytte værdien af virksomheden
Udfordringer i den nuværende proces Ofte fokuseres på risikoregistre og på risikovurdering af systemer Man kan have fint styr på de identificerede risici Tager måske udgangspunkt i forretningsrisici Kan være baseret på de risici man har oplevet/hørt om Hvordan sikres, at man ikke glemmer noget? Der mangler ofte en top-down tilgang Man skal sikre, at man kommer 360 grader rundt Der skal tages højde for det moderne trusselsbillede Man bør forholde sig til at perimeteren IKKE er sikker Tests med fx Trend Micro Deep Discovery viser altid mistænkelig aktivitet APT angreb kan fx ramme meget bredere end før Det er fx ikke kun en lokation der rammes, men mange, på én gang!
Dubex sikkerhedsanalyse Dubex sikkerhedsanalyse afdækker virksomhedens reelle informationssikkerhedsniveau og udfordringer Det sker i en detaljeret og grundig gennemgang af de tekniske, fysiske og organisatoriske forhold Det holdes op i mod virksomhedens reelle mål og behov i lyset af Persondataforordningens krav ISO 27002 standarden, samt Anden best-practice Sikkerhedsanalysen giver et billede af virksomhedens kritiske udfordringer, samt andre svagheder i informationssikkerheden
Sikkerhedsanalysen kan suppleres med Kontroller af de faktiske forhold, f.eks. Sårbarhedsscanning af udvalgte systemer Penetrationstest Security Intelligence (APT) analyse af netværkstrafik Gennemgang af sikkerheden hos outsourcing partnere Har de f.eks. samme opfattelse af aftaler og ansvar? Gennemgang af sikkerheden på andre lokationer Lever virkeligheden op til den centrale opfattelse? Sikkerhedsanalyse Sårbarhedsanalyse AS-IS Teknisk sikkerhedsanalyse Compliance-analyse Trusselsvurdering Risikovurdering
Rapporten omfatter Ledelses-resumé med en opsummering af de kritiske problemer og forbedringsforslag Detaljeret beskrivelse af nuværende informationssikkerhed, med Dubex anbefalinger Konklusion med prioriterede anbefalinger til forbedringer af informationssikkerheden, holdt op i mod forretningens forventninger Rapporten danner en baseline for det videre arbejde
Processen Aktivitet 1 Opstartsmøde Detaljer omkring interviews og adgang til dokumentation aftales Aktivitet 2 Gennemgang af organisatorisk sikkerhed, interviews Interviews med nøglepersoner hos virksomheden inden for områderne: forretningen, sikkerhed og organisation, samt IT Aktivitet 3 Gennemgang af teknisk og fysisk sikkerhed, interviews Interviews med nøglepersoner hos virksomheden inden for områderne: sikkerhed, netværk, applikationer og server infrastruktur Aktivitet 4 Analyse og behandling Analyse af de indsamlede informationer og udarbejdelse af rapport, inkl. kommentering Aktivitet 5 Afrapportering Fremlæggelse af rapport og konklusioner for ledelse og/eller projektdeltagere Typisk omfang af virksomhedens deltagelse: Deltagere (roller) Opstartsmøde Organisatorisk Teknisk og fysisk Fremlæggelse sikkerhed sikkerhed Sikkerheds- eller 2 time 6 timer 8 timer 2 timer projektansvarlig Forretningen 2 timer 2 timer Organisatorisk sikkerhed 2 timer 6 timer 2 timer Teknisk sikkerhed 2 timer 6 timer 8 timer 2 timer Drift og support 2 timer 8 timer 2 timer
Gennemgangen omfatter Risikovillighed og brug af risikovurderinger Informationssikkerhedspolitik og vedligeholdelse Organisering og styring af informationssikkerhed internt og eksternt Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen Styring af aktiver (klassifikation og retningslinier for brug af faciliteter) Adgangsstyring (brugeradministration og passwords) Kryptografi Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr Driftssikkerhed (teknologier, inkl. backup, AV, logning mv.) Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.) Anskaffelse, udvikling og vedligeholdelse af informationssystemer Informationssikkerhed i leverandørforhold og outsourcing Styring af informationssikkerhedshændelser og forbedringer Beredskabsstyring, nødplaner og kontinuitet Overensstemmelse med eksterne krav, lovgivning mv.
ISO 27002 danner ramme for spørgsmålene Afsnit Spørgsmål Dag 1: 4 Risikovurderinger og risikovillighed 5 Informationssikkerhedspolitikker 5.1 Retningslinjer for styring af informationssikkerhed 6 Organisering af informationssikkerhed 6.1 Intern organisering. 6.2 Mobilt udstyr og fjernarbejdspladser 7 Medarbejdersikkerhed 7.1 Før ansættelsen 7.2 Under ansættelsen 7.3 Ansættelsesforholdets ophør eller ændring 8 Styring af aktiver 8.1 Ansvar for aktiver 8.2 Klassifikation af information 8.3 Mediehåndtering 15 Leverandørforhold 15.1 Informationssikkerhed i leverandørforhold 15.1.1 Sikkerhedskrav til leverandøraftaler 15.1.2 Sikkerhed i aftaler med leverandører 15.1.3 Håndtering af risici i leverandørkæden 15.2 Styring af leverandørydelser 16 Styring af informationssikkerhedsbrud 16.1 Styring af informationssikkerhedsbrud og forbedringer 16.1.1 Ledelsens ansvar ifm. hændelseshåndtering 16.1.2 Rapportering af hændelser 16.1.3 Rapportering af sikkerhedssvagheder 16.1.4 Vurdering og klassificering af hændelser 16.1.5 Håndtering af sikkerhedsbrug 16.1.6 Opfølgning på hændelser 16.1.7 Sikring af beviser ifm. hændelser 18 Overensstemmelse 18.1 Overensstemmelse med lov- og kontraktkrav 18.2 Gennemgang af informationssikkerhed 17 17.1 Informationssikkerhedsaspekter ved nød-, beredskabs- og Informationssikkerhedskontinuitet 17.2 Redundans Dag 1 og/eller 2: 9 Adgangsstyring 9.1 Forretningsmæssige krav til adgangsstyring 9.1.1 Politik for adgangsstyring 9.1.2 Adgang til services og systemer 9.2 Administration af brugeradgang 9.2.1 Brugeroprettelse og -nedlægning 9.2.2 Styring af brugerrettigheder 9.2.3 Styring af eleverede adgangsrettigheder 9.2.4 Styring af hemmlig brugeridentifikation 9.2.5 Evaluering af brugerrettigheder 9.2.6 Inddragelse eller ændring af adgange 9.3 Brugernes ansvar 9.4 Styring af system- og applikationsadgang 9.4.1 Begrænsning af adgang til informationer 9.4.2 Sikker log-on 9.4.3 Styring af adgangskoder 9.4.4 Brug af systemværktøjer 9.4.5 Beskyttelse af kildekoder 11 Fysisk sikring og miljøsikring 11.1 Sikre områder 11.1.1 Fysiske afgrænsninger 11.1.2 Fysisk adgangskontrol 11.1.3 Sikring af faciliteter 11.1.4 Beskyttelse mod miljøtrusler 11.1.5 Arbejde i sikre områder 11.1.6 Offentlig adgang 11.2 Udstyr 11.2.1. Beskyttelse af udstyr 11.2.2 Forsyningssikkerhed 11.2.3 Sikring af kabler 11.2.4 Vedligeholdelse af udstyr 11.2.5 Fjernelse af ejendom 11.2.6 Sikring af udstyr uden for virksomheden 11.2.7 Bortskaffelse og genbrug 11.2.8 Beskyttelse af udstyr uden opsyn 11.2.9 Clean-desk politik 14 Anskaffelse, udvikling og vedligeholdelse af systemer 14.1 Sikkerhedskrav til informationssystemer 14.1.1 Krav til nye systemer eller forbedringer 14.1.2 Beskyttelse af tjenester over offentlig net 14.1.3 Beskyttelse af handelstjenester 14.2 Sikkerhed i udviklings- og hjælpeprocesser 14.2.1 Regler for udvikling af SW og systemer 14.2.2 Ændringsstyring 14.2.3 Kontrol af ændringer i forretningssystemer 14.2.4 Styring af ændringer i standardsoftware 14.2.5 Udvikling af sikre systemer 14.2.6 Sikre udviklingsmiljøer 14.2.7 Håndtering af outsourcet udvikling 14.2.8 Test af sikkerhed ifm. udvikling 14.2.9 Systemaccepttests 14.3 Testdata Dag 2: 10 Kryptografi 10.1 Kryptografiske kontroller 10.1.1 Krypteringspolitik 10.1.2 Administration af krypteringsnøgler 12 Driftssikkerhed 12.1 Driftsprocedurer og ansvarsområder 12.1.1 Dokumentation af driftsprocedurer 12.1.2 Ændringsstyring 12.1.3 Kapacitetsstyring 12.1.4 Adskillelse af test, drift og udvikling 12.2 Malwarebeskyttelse 12.3 Backup 12.4 Logning og overvågning 12.4.1 Auditlogning (Logning af hændelser) 12.4.2 Beskyttelse af logoplysninger 12.4.3 Systemlogs 12.4.4 Tidssynkronisering 12.5 Styring af driftssoftware 12.6 Sårbarhedsstyring 12.6.1 Patchmanagement 12.6.2 Begrænsning af SW installation 12.7 Overvejelser i forbindelse med audit af informationssystemer 13 Kommunikationssikkerhed 13.1 Styring af netværkssikkerhed 13.1.2 Sikring af netværkstjenester 13.1.3 Netværkssegmentering 13.2 Informationsoverførsel 13.2.1 Politikker og procedure for informationsoverførsler 13.2.2 Aftaler om informationsudveksling 13.2.3 Beskyttelse af elektroniske meddelser 13.2.4 Fortrolighedsaftaler Information Risiko Foranstaltninger
Fokus på formålet Fokusér på formål og kontrol Hvad siger teksten? Hvordan gøres det bedst i jeres organisation? Implementeringsvejledningen er primært en hjælp, hvis man er i tvivl om, hvad der menes med kontrollen Anden information er kun dét God idé at læse den Den gyldne regel: Beskriv hvad I gør Gør hvad I beskriver Husk at dokumentere Ref: Dansk Standard ISO 27002:2014
Grafisk 360 grader billede Score Betyder 1 Generelt ok 2 Delvist ok, men mulige forbedringer påpeget 3 Ønskelige forbedringer påpeget 4 Vigtige forbedringer påpeget 5 Kritiske forbedringer påpeget
Eksempler på typiske anbefalinger Risikovurdering af kritiske informationer på tværs af systemer Klarere regler for brug og beskyttelse af udstyr uden for virksomheden Struktureret brug af awareness og uddannelse Identity Management - både på personlig og privilegerede accounts Brug og beskyttelse af off-line sikkerhedskopier Logning og overvågning af hændelser på sikkerhedsudstyr Segmentering og overvågning af trafik på netværk Afklaring og dokumentering af sikkerhedskrav til og brug af Cloud løsninger og anden outsourcing, herunder databehandlere Beredskabsplaner for logiske angreb (Kryptolocker, andre vira mv.) Samt en række lavt hængende frugter
Resultatet Rapporten giver: Detaljeret beskrivelse af nuværende informationssikkerhed Prioriterede anbefalinger til forbedringer af informationssikkerheden, holdt op imod de konkrete behov Ledelses-resumé med en opsummering af de kritiske problemer og forbedringsforslag
Eksempel - Slagelse Kommune
Dubex er en sparringspartner Sikkerhedsanalysen er ikke endnu en revision Den er en hjælp til både ledelsen og it-afdelingen Målet er rådgivning, IKKE kontrol Dubex kommer med praktiske forslag Dubex er ekspert i både formel og teknisk sikkerhed Dubex har uddannede auditorer Fx ISO 27001 Lead auditor certificering Dubex konsulenter har mange tekniske certificering Fx fra Check Point, Trend Micro, RSA, Blue Coat og Cisco m.fl. Dubex har erfaring med hvordan informationssikkerheden kan understøtte forretningsprocesserne HUSK AT I KAN BOOKE ET GRATIS MØDE MED EN DUBEX GRC-KONSULENT!
Tak! Læs mere om Dubex på www.dubex.dk