Upload
dangkhanh
View
225
Download
2
Embed Size (px)
Citation preview
Risikostyring ifølge ISO27005 v. Klaus Kongsted
Agenda
• Dubex A/S
• Formålet med risikovurderinger
• Komponenterne
• Risikovurderinger
Dubex A/S – fakta og værdier
Managing risk –
Enabling growth
First mover
50 ansatte
Omsætning
100 mio. DKK
Selvfinansierende
og privatejet
Den førende
sikkerhedspartner
De bedste
specialister
Eftertragtet
arbejdsplads
Motiverede
medarbejdere
Kvalitet
Service
Kompetence
Vores engagement
skaber
arbejdsglæde
360° it-sikkerhed
Dubex tilbyder:
Sikkerheds- og risikoanalyser
Rådgivning og analyse af sikkerhedsløsninger
Drift & vedligeholdelse
Analyse af behov
Specifikation og design af sikkerhedsløsning og system
Sikkerhedsløsninger
Overvågning
Support, projekt- & konsulentydelser
Security as a Service
It er forretningen
• Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden
• It er grundlaget for alle forretningsprocesser
• Synliggørelse af den risiko som it-anvendelsen medfører
• Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden
• Udfordringer: • Umuligt at synliggøre teknisk it-risiko
uden forretningssammenhæng • Forretning forstår sjældent værdien
og betydningen af it-systemer • Forskellige interessenter har
forskellig opfattelse af sikkerhed og risiko
Mission for it-afdelingen: Øge virksomhedens indtjening og vækst
IT
Sikkerhed
Risiko
Bestyrelse
Ledelse
CIO
Medarbejder
Kunder
Myndigheder
Hvorfor tale risici?
• Fokuserer ledelsen på de forretningsmæssige risici og gevinster
• Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden
• It er grundlaget for alle forretningsprocesser
• Synliggørelse af den risiko som it-anvendelsen medfører
• Risikostyring er det værktøj vi kan bruge til beskytte værdien af
virksomheden
• Giver et dokumenteret grundlag for beslutninger
• Viser at sikkerhed ikke ”bare” er IT’s ansvar
Risikobaseret tilgang
• Risikostyring er et værktøj til at sikre korrekt anvendelse
af ressourcer
• Identificerer informationsaktiver, deres værdi og risiko
• Sikkerhed er altid et spørgsmål om prioritering
• Implementering af sikkerhed forbundet med udgifter
• Som regel begrænsede ressourcer
• Beslutninger baseres på en vurdering af risici
• Informationscenteret
• Viser de faktiske sårbarheder i en forretningsmæssige
sammenhæng
• Risikobaseret
• Klar prioritering og baggrund for
sikkerhedsinvesteringer
• Risikostyring er en løbende proces
Information
Risiko
Foranstaltninger
Risikostyring
• Ofte fokuseres på risikoregistre og på risikovurdering af systemer
• Man kan have fint styr på de identificerede risici
• Tager måske udgangspunkt i forretningsrisici
• Kan være baseret på de risici man har oplevet/hørt om
• Hvordan sikres, at man ikke ”glemmer” noget?
• Der mangler ofte en top-down tilgang
• Man skal sikre, at man kommer 360 grader rundt
• Der skal tages højde for det moderne trusselsbillede
• APT angreb kan fx ramme meget bredere end før
• Man bør forholde sig til at perimeteren IKKE er sikker
• En struktureret tilgang til risikovurderinger kan give dette overblik
• ISO 27005:2011 metodikken kan bruges som tilgang til en 360 graders
risikovurdering
ISO 27005 Metodikken
• Risikoidentifikation
• Identifikation af aktiver
• Identifikation af trusler
• Identifikation af nuværende kontroller
• Identifikation af sårbarheder
• Identifikation af konsekvenser
• Risikoanalyse og -evaluering
• Risikohåndtering
Risikovurdering i praksis
• Man risikovurderer de forretningskritiske aktiver
• Det er dem som har en kritisk værdi for forretningen
• Start med en kvalitativ vurdering for at få et overblik
• Efterfølgende kan man så uddybe de vurderinger hvor der er behov, evt. med
en kvantitativ vurdering
• Pas på med ikke at drukne i teori
• Uanset metode bør ledelsen fastsætte risikovilligheden inden start
Aktiver
• Aktiver
• Har en kritisk værdi for forretningen
• Kan fx udpeges ud fra de forretningskritiske processer
• Se også appendiks B i ISO 27005:2011 standarden
• Er sårbare overfor brud på
• Fortroligheden
• Integriteten
• Tilgængeligheden
• Kan fx være
• Informationer
• Hardware
• Software
• Medarbejdere
• Services
• Fysisk
• Processer
• Det er en god ide at gruppere aktiver hvor det giver mening
Trusler
• Der findes mange trusler
• Se fx appendiks C i ISO 27005:2011 standarden
• Kan mere generelt gruppers som trusler om
• Brud på fortroligheden (F)
• Brud på integriteten (I)
• Brud på tilgængeligheden (T)
• Sammenhold truslerne med de sårbarheder det enkelte aktiv har
• Det viser hvilke trusler der er relevante for det aktiv
• I praksis ses trusler og sårbarheder ofte under ét som ”brud”
Kontroller
• Man kan tage udgangspunkt i en liste med mulige kontroller
• Se fx appendiks A i ISO 27001:2013 standarden
• Husk egne og branchespecifikke kontroller fx baseret på lovkrav
• Man har typisk allerede mange kontroller, fx
• Firewalls, proxy, antivirus, UPS mv.
• Backups og katastrofeplaner
• Adgangskontrol, brandsikring, tyverialarm mv.
• Kontrakter med fortrolighedserklæringer
• Overordnet sikkerhedspolitik
• Regler i personalehåndbog
• Vejledning om email og internetbrug
Sårbarheder
• Der findes mange sårbarheder
• Se fx appendiks D i ISO 27005:2011 standarden
• Overordnet kan et aktiv være sårbar over for:
• Ondsindede handlinger (forsæt)
• Fejl og ubevidste handlinger (uforsætligt)
• Uheld/ulykker
• Naturkatastrofer/Force Majeure
• En række af sårbarhederne er dækket af nuværende kontroller
• Disse bør også identificeres og knyttes til de anvendte kontroller
• Som en del af den samlede dokumentation
• Brud er trusler, der kan udnytte sårbarheder
Konsekvens
• Overordnet skal man beskytte sine forretningskritiske aktiver mod:
• Brud på fortroligheden (F)
• Brud på integriteten (I)
• Brud på tilgængeligheden (T)
• Brudene har alle har en konsekvens, som vurderes af aktivets ejer, typisk fra
forretningen
• Evt. ud fra en Business Impact Analysis (BIA)
• Evt. i en dialog med en erfaren sikkerhedskonsulent
• Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere konsekvensen af de tre typer
af brud
Sandsynlighed
• Brud har en sandsynlighed, som vurderes fx af den teknisk ansvarlige for
sikring af aktivet
• Fx i en dialog med en erfaren sikkerhedskonsulent
• Kan også håndteres vha. risikostyringsværktøjer
• Sandsynligheden afhænger bl.a. af de sikringsforanstaltninger, der allerede er
på plads
• Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere sandsynligheden for de
forskellige typer af brud
• Det kan give mening at samle/gruppere brudene
• Overvej at samle dem til sandsynlighederne for brud på:
• Fortroligheden
• Integriteten
• Tilgængeligheden
Virksomhedens risikovillighed
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Attribut Data
Grøn Her kan risiko accepteres uden af der gennemføres ændringer
Gul Her skal risiko normalt håndteres, så rest risiko bringes ned i det
grønne område, enten ved ændringer i løsning/procedurer, eller
kompenserende kontroller
Rød Her skal risiko overføres eller nedbringes, f.eks. kan der indføres
tekniske foranstaltninger, som bringer risiko ned i det gule område,
og resterende risiko fjernes med kompenserende kontroller.
Ko
nse
kve
ns
Sandsynlighed
inkl. Sikkerhedsmiljø
Lavere Højere
Risikovurdering
• Risikoen bliver så et tal fra 1 (lav) til 25 (høj)
• Risikovilligheden defineres typisk i tre intervaller:
• Grøn – de laveste værdier, der umiddelbart kan accepteres
• Gul – de mellemste værdier, som ledelsen skal tage stilling til
• Rød – de højeste værdier, der ikke umiddelbart kan accepteres
• Risikovurderingen danner grundlag for en håndteringsplan
• Husk at vedligeholde vurdering ihf. årligt og ved større ændringer
Risikovurderingsskema Eksempel på vurdering
Farver baseret på ledelsens risikovillighed - i eksemplet er det en 1 (lav) til 25 (høj) skala
Risikohåndteringsplan
• Er risikoen gul eller rød skal den håndteres
• Det kan generelt ske ved at den:
• Accepteres alligevel, ihf. for en periode
• Overføres til andre, fx ved forsikring
• Undgås, fx ved at man holder op med noget eller ændrer det
• Nedbringes, fx ved hjælp af nye/ekstra sikringsforanstaltninger
• Forslag til dette samles i en risikohåndteringsplan (RTP), som godkendes af
ledelsen
• Det kan være en iterativ proces at nå til en godkendt plan
• I ISO 27001 er valget af sikringsforanstaltninger også dokumenteret i en
Redegørelse for anvendelighed (Statement of Applicabillity - SOA)
• Husk at vedligeholde planen, ihf. årligt og ved større ændringer
Udvidet risikovurdering
• Detaljeret risikovurdering af kritiske eller særligt komplicerede systemer og
områder
• Ser detaljeret på en række konkrete risici for de udvalgte systemer/områder
• Iterativ proces, der indarbejder ledelsens stillingstagen til restrisikoen
Den udvidede risikovurdering Eksempel
Glem ikke
• Husk at inddrage:
• Afhængigheder af andre aktiver / akkumulering af risici
• fx netværk, medarbejdere
• De forskellige tilstande informationer kan befinde sig
• Emails kan fx være på en server, i transit, på klienter, på en mobil
Resultatet
• Virksomheden får:
• Synliggjort hvor der bør sættes ind, for at opnå et ønsket sikkerhedsniveau
• Grundlaget for at træffe de mest hensigtsmæssige valg
• Overblik over værdier, ansvar og risici
• Forankret sikkerheden i forretningen og ledelsen
TAK!
For yderligere information besøg
www.dubex.dk