Modenhedsvurderinger Mål hvad kan I tage med hjem? Hvorfor skal man overveje at lave en modenhedsvurdering? Hvordan kan man gribe processen an? Hvad skal man være opmærksom på? 1
Hvem er jeg? Ole Boulund Knudsen Informationssikkerhedschef, Aarhus Universitet CISM, CRISK, ESL, ISO27001 Lead Implementer Master i IT, Kommunikation og Organisation Teknisk baggrund. Har arbejdet med ledelse og informationssikkerhed siden 2005. Har arbejdet professionelt med IT siden 1995. Agenda: Hvad er en modenhedvurdering? Hvorfor lave modenhedsvurderinger? Hvordan har vi grebet processen an? Hvad er resultatet? Opmærksomhedspunkter 2
Hvad er en modenhedsvurdering? Udgangspunkt ISO27002 Måling af modenheden for hver enkel kontrol i ISO27002 standarden. I alt 114 kontroller Modenheden afspejler hvor godt man efterlever den enkelte kontrol på en skala fra 1-5. Mulighed for at besvare med Ikke relevant, hvis man har møder en kontrol, som ikke er nødvendig. Fravalg kræver argumentation. 3
Modenhedskala: 1 Ad hoc 2 Intuitiv 3 Defineret 4 Styret og målbar 5 Optimeret Der er grundlag for at organisationen har identificeret et behov for at adressere risici. Der er ikke nogle standardiserede aktiviteter, men en udpræget ad hoc-tilgang, der udføres case-by-case. Den overordnede styring er ikke organiseret eller formaliseret. Kontrolaktiviteter er på et niveau, hvor en sammenlignelig tilgang udføres af forskellige personer, der udfører samme aktivitet. Der er ingen formel træning eller kommunikation af standardprocedurer, og ansvaret er overladt til den enkelte person. Kontroller afhænger i høj grad af den enkelte persons kompetencer og erfaring, hvorfor der er en øget sandsynlighed for fejl. Procedurer er standardiserede, dokumenterede og kommunikerede gennem træning. Det er bekendtgjort, at procedurerne skal overholdes, men det er usandsynligt, at afvigelser vil blive opdaget. Procedurerne er typisk en formalisering af eksisterende praksis. Ledelsen overvåger og måler overholdelsen af gældende procedurer og tager stilling til, hvis processer ikke fungerer effektivt. Aktiviteter forbedres løbende og udgør god praksis. Automatisering og værktøjer anvendes i begrænset og decentralt omfang. Aktiviteter er optimeret til god praksis, baseret på løbende forbedring og sammenligning med andre organisationer. Itunderstøttelse er integreret til en automatisering af kontrolaktiviteter og er medvirkende til at højne kvalitet og effektivitet, hvilket gør organisationen agil i forhold til ændringer. Hvorfor lave modenhedsvurderinger? 4
Den mest almindelige grund til at lave en modenhedsvurdering: Revisionen anbefaler det LAD VÆRE! Gode grunde til at lave modenhedsvurderinger: Kommunikationsværktøj Giver mulighed for at snakke samme sprog på tværs af fakulteter, institutter, centre og administrationen. Måleværktøj Man kan opstille mål, som der skal arbejdes hen i mod. Man måle om et område udvikler sig, eller om der er behov for støtte. Awarenessværktøj Man får tydeliggjort hvorfor informationssikkerhed er vigtigt og hvilken rolle og ansvar hvert område har. Motivationsværktøj Man vil helst ikke være væsentligt dårligere end kollegaerne! 5
Hvordan har vi grebet processen an? Hvad har vi gjort på Aarhus Universitet indtil nu Forsøg #1-2012: Gennemførsel af modenhedsvurdering fordi revisoren anbefalede det. Udført på fakultetsniveau 3 timers fælles workshop på tværs af fakulteterne + 1,5 times workshop i it. Deltagere var formændene fra de lokale informationssikkerhedsudvalg + enkelte udvalgte repræsentanter. Ingen direkte ledelsesinvolvering. Udført af vores revisor som stod for gennemførelsen og rapportering. Resultat: En gættekonkurrence hvor mit bud var mindst lige så godt som deres. 6
Erfaringer fra Forsøg #1: Resultatet kunne ikke bruges der var alt for stor usikkerhed. Behov for bedre repræsentation af institutter/centre ved selve modenhedsvurderingen. Ikke alle områder af ISO standarden er lige relevant at bruge tid på decentralt. Nødvendigt med mere tid til gennemførelsen. Forsøg #2-2013: Gennemførsel af modenhedsvurdering ud fra mantraet det må vi kunne gøre bedre. Udført på fakultetsniveau. 3 timers workshop med hvert enkelt fakultet og it. Deltagelse af alle medlemmer af fakultetets informationssikkerhedsudvalg. Den lokale ledelse var orienteret og skulle se resultatet. Udført af informationssikkerhedsafdelingen, hvorefter resultatet blev overladt til revisor til kommentering og anbefalinger. Resultat: Langt bedre end første forsøg, men stadig ikke rigtigt brugbart. 7
Erfaringer fra Forsøg #2: Resultatet på fakultetsniveau var en gennemsnitsbetragtning som ikke afspejlede de (store) udsving der var indbyrdes på institutter/centrene. Ikke rigtig ledelsesopbakning vidste ikke, hvad de skulle bruge resultatet til. Ingen central forankring til at sikre opfølgning Svært at gennemføre når man både er bidragsyder og ansvarlig for gennemførsel af workshops. Opsamling på vores erfaringer fra de to første forsøg Skal udføres langt nok ude i organisationen til at afspejle den diversitet, der findes i organisationen. Skal forankres i ledelsen både centralt og lokalt. Der skal opsættes mål for modenheden fra centralt hold. Det skal sikres, at der bliver fulgt op på resultaterne. Det kræver ressourcer at gøre ordentligt både til gennemførelse og opfølgning. Uden ledelsesfokus dør opgaverne en stille død Hjælp til facilitering kan være en god ide. Man kan godt lave det selv, men i en uerfaren organisation bliver resultatet bedre, hvis man får hjælp fra nogen, der har prøvet det før og som kan udfordre med et udefra og ind syn på området. 8
Forsøg #3 Pilotprojekt 2016: Indledende møde med ledelsen (Dekan + institutledere m.fl.) 1 times møde, hvor processen blev gennemgået og de fik mulighed for at bidrage med de områder som de mente var vigtigst. Faciliterede workshops 2 institutter (fra samme fakultet) + AU IT. 8 timer - heldagsarrangementer. Gennemgang af alle 114 kontroller - nogle mere grundigt end andre. Registrering af forskellene mellem de to institutter. Afslutning Rapport over modenhed + anbefalede actions. Ledelsesrapportering (helt op op bestyrelsesniveau) Opfølgning Opfølgning på fremdrift både gennem den lokale ledelse og rapportering gennem det lokale informationssikkerhedsudvalg. Overordnet målsætning for modenheden fastsat af Universitetsledelsen. Hvad er resultatet? Og hvad skal der ske fremadrettet 9
Erfaring fra forsøg #3: Resultatet er anvendeligt både på institut, fakultets og institutionsniveau. Hvert område har konkrete anbefalinger som de kan arbejde videre med. Der er ledelsesopbakning hele vejen gennem ledelseshierarkiet. Opfølgning sker både lokalt og centralt. SUCCES! Den videre proces Forventer af vi skal afholde ca. 15 workshops yderligere i løbet af 2016/2017. Bliver alle faciliteret med ekstern assistance. Opfølgning på resultaterne både internt gennem informationssikkerhedsudvalgene og eksternt via vores revision. Med rapportering til ledelsen 10
Mål: Alle skal op på en modenhed på minimum 3 og sigte mod en modenhed på 3,5. Bliver en tilbagevendende begivenhed det her er kun første runde. Næste runde skal vi gennemføre med intern facilitering På sigt skal vi kunne gennemføre via selv-evaluering. Opmærksomhedspunkter Modenhedsvurderinger kan være et godt værktøj, men det kræver at man gør sig klart, hvad man ønsker at opnå. Ellers risikerer man at spilde en masse tid. Der skal afsættes de nødvendige ressourcer garbage in = garbage out. Høj modenhed er ikke det samme som høj sikkerhed! Men det er et godt fundament. 11
Tak for opmærksomheden - Spørgsmål? Kontakt information: Ole Boulund Knudsen Mail: obk@au.dk Telefon: +45 3062 2085 12