DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT
Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv KOMBIT lægger ud for it-løsninger, og kommunerne betaler først for løsningerne, når de er i drift KOMBITs bestyrelse består af 5 borgmestre og 3 medarbejderrepræsentanter En kommunal porteføljegruppe rådgiver KOMBITs ledelse KOMBIT er i 2016 ca. 180 medarbejdere
KOMBITs behov Billede af sikkerheden og de største sikkerhedsrisici Detaljeret beskrivelse af nuværende informationssikkerhed holdt op i mod ISO 27002 standarden Et billede af modenheden hos vores medarbejdere Overblik over de kritiske digitale sikkerhedsrisici Prioriterede anbefalinger til forbedringer af informationssikkerheden holdt op imod KOMBITs behov Rapport til brug for både ledelse, sikkerhed og teknik
Hvad fik KOMBIT ud af en sikkerhedsanalyse? Erfaren og målrettet sparring og rådgivning KOMBIT fik en detaljeret beskrivelse af nuværende informationssikkerhed KOMBIT fik et billede af ISO 27002 modenheden KOMBIT fik et overblik over de kritiske sikkerhedsrisici KOMBIT fik prioriterede anbefalinger til forbedringer af informationssikkerheden holdt op imod de konkrete behov
Sikkerhedsanalysen var en hjælp til ISO processen Gennemgangen baseredes på ISO 27002 standardens kontroller ISO 27002 kontrollerne var en god guide til at sikre, at vi kom hele vejen rundt. Ingen grund til at bruge andet end anerkendt standard og best practice
Hvilke fordele opnåede KOMBIT ved ekstern bistand? Adgang til viden og kompetencer, som vi ikke har selv Forventning om en effektiv tilgang til processen KOMBIT er selv en ekspertorganisation, så vi har god forståelse for, hvornår vi bør kalde eksperter ind Vi tror på, at dette er en billigere løsning end at gøre det selv
Sikkerhedsanalysen er et værktøj Baserer sig på ISO 27001 processen og ISO 27002 kontrollerne Bruges når man skal i gang, eller hvis det videre arbejde skal planlægges o Opbygning og vedligeholdelse af IT-sikkerhed er en løbende proces Fastlægger de reelle forretningsmæssige krav og behov o Det er vigtigt, at IT-sikkerheden afstemmes med de forretningsmæssige forventninger Tekniske sårbarheder knyttes til forretningsmæssige risici Afklarer det aktuelle sikkerhedsniveau og de største risici/gab o Giver input til en prioriteret handlingsplan for det videre forløb o Kan identificere de lavt hængende frugter
Hvad omfatter en sikkerhedsanalyse? Aktivitet 1 Opstartsmøde Detaljer omkring område for analyse, interviews og adgang til dokumentation aftales Aktivitet 2 Gennemgang af nuværende sikkerhedsstatus, interviews Vigtigt, at det er forretningen, som ejer dette. En sikkerhedsanalyse er ikke en IT afdelingsøvelse Interviews med nøglepersoner hos virksomheden inden for områderne: forretningen, sikkerhed og organisation, samt IT Aktivitet 3 Gennemgang af nuværende implementering, interviews Interviews med nøglepersoner hos kunden inden for områderne: fysisk sikkerhed, netværk, applikationer og server infrastruktur Aktivitet 4 Analyse og behandling Analyse af de indsamlede informationer fra aktivitet 1, 2 og 3 samt udarbejdelse af rapport, herunder indarbejdelse af kundens kommentarer Aktivitet 5 Afrapportering Fremlæggelse af rapport og konklusioner for ledelse og/eller projektdeltagere
Eksempler på anbefalinger På firewallen bør der etableres et dedikeret segment til terminering af XXXnettet, så det ikke længere har direkte og ufiltreret adgang til de servere som er placeret på det nuværende segment I forhold til eftersporing af sikkerhedshændelser bør man også logge trafik kommende indefra og ud, og ikke kun udefra kommende trafik Man kan også overveje tilkøb af VPN licens til det passive firewall modul, således at der er en fuld redundant løsning og så at nedetid ifm. genetablering af VPN tunneler undgås såfremt den aktive node går ned Dette er ikke de konkrete anbefalinger til KOMBIT, men eksemplerne illustrerer, at vi fik meget konkrete anbefalinger, som vi nu enten har implementeret eller står lige foran De forskellige alarmeringsfunktioner på webproxy og mailscanner udstyret bør aktiveres, sådan at unormale hændelser aktivt registreres af IT-afdelingen Der bør indføres kryptering af backupbåndene, som flyttes uden for den primære lokalitet, da der ellers er en risiko for tab af fortrolighed, hvis et bånd forsvinder eller bliver tabt Der bør udformes et sæt IT-regler, som klart beskriver acceptabel brug af firmaets IT-udstyr og konsekvenserne ved brud på disse regler. Reglerne bør accepteres skriftligt af medarbejderen og kvitteringen bør opbevares i personalemappen Vi anbefaler, at den centrale serverrums-ups overvåges, sådan at skift til batteridrift registreres og sikker nedlukning af servere kan ske på en forsvarlig vis. UPS erne bør desuden testes regelmæssigt for at kontrollere, at batterierne har kapacitet nok til at en nedlukningsprocedure kan gennemføres, inden batteriet er fladt. Endvidere bør der overføres statuskommunikation mellem den centrale UPS og serverne, så automatisk nedlukning af serverne ved længerevarende strømafbrydelser kan startes automatisk Der bør laves en beredskabsplan, som beskriver procedurer ved f.eks. virusudbrud og som udpeger de kontaktpersoner, der kan/skal kontaktes ved aktivering af planen
Resultatet Organisationen får: Ledelses-resumé med en opsummering af de kritiske problemer og forbedringsforslag o Detaljeret beskrivelse af nuværende IT-sikkerhed o Et prioriteret billede af gabet imellem den faktiske ITsikkerhed og ISO 27002/ best practices i lyset af forretningens forventninger
Vi startede her hvad er næste step? Certificering i 2017, der skal sikre, at sikkerhedsprocessen og tankegangen er forankret i dagligdagen Tæt samarbejde med KL, kommuner, leverandører og andre om sikkerhed Analysen og certificeringen er bare starten sikkerhed er og vil altid være en del af vores hverdag Vi sender et signal til omverdenen om, at vi tager dette seriøst