Risikostyring ifølge ISO27005 v. Klaus Kongsted

Agenda

• Dubex A/S

• Formålet med risikovurderinger

• Komponenterne

• Risikovurderinger

Dubex A/S – fakta og værdier

Managing risk –

Enabling growth

First mover

50 ansatte

Omsætning

100 mio. DKK

Selvfinansierende

og privatejet

Den førende

sikkerhedspartner

De bedste

specialister

Eftertragtet

arbejdsplads

Motiverede

medarbejdere

Kvalitet

Service

Kompetence

Vores engagement

skaber

arbejdsglæde

360° it-sikkerhed

Dubex tilbyder:

Sikkerheds- og risikoanalyser

Rådgivning og analyse af sikkerhedsløsninger

Drift & vedligeholdelse

Analyse af behov

Specifikation og design af sikkerhedsløsning og system

Sikkerhedsløsninger

Overvågning

Support, projekt- & konsulentydelser

Security as a Service

It er forretningen

• Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden

• It er grundlaget for alle forretningsprocesser

• Synliggørelse af den risiko som it-anvendelsen medfører

• Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden

• Udfordringer: • Umuligt at synliggøre teknisk it-risiko

uden forretningssammenhæng • Forretning forstår sjældent værdien

og betydningen af it-systemer • Forskellige interessenter har

forskellig opfattelse af sikkerhed og risiko

Mission for it-afdelingen: Øge virksomhedens indtjening og vækst

IT

Sikkerhed

Risiko

Bestyrelse

Ledelse

CIO

Medarbejder

Kunder

Myndigheder

Hvorfor tale risici?

• Fokuserer ledelsen på de forretningsmæssige risici og gevinster

• Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden

• It er grundlaget for alle forretningsprocesser

• Synliggørelse af den risiko som it-anvendelsen medfører

• Risikostyring er det værktøj vi kan bruge til beskytte værdien af

virksomheden

• Giver et dokumenteret grundlag for beslutninger

• Viser at sikkerhed ikke ”bare” er IT’s ansvar

Risikobaseret tilgang

• Risikostyring er et værktøj til at sikre korrekt anvendelse

af ressourcer

• Identificerer informationsaktiver, deres værdi og risiko

• Sikkerhed er altid et spørgsmål om prioritering

• Implementering af sikkerhed forbundet med udgifter

• Som regel begrænsede ressourcer

• Beslutninger baseres på en vurdering af risici

• Informationscenteret

• Viser de faktiske sårbarheder i en forretningsmæssige

sammenhæng

• Risikobaseret

• Klar prioritering og baggrund for

sikkerhedsinvesteringer

• Risikostyring er en løbende proces

Information

Risiko

Foranstaltninger

Risikostyring

• Ofte fokuseres på risikoregistre og på risikovurdering af systemer

• Man kan have fint styr på de identificerede risici

• Tager måske udgangspunkt i forretningsrisici

• Kan være baseret på de risici man har oplevet/hørt om

• Hvordan sikres, at man ikke ”glemmer” noget?

• Der mangler ofte en top-down tilgang

• Man skal sikre, at man kommer 360 grader rundt

• Der skal tages højde for det moderne trusselsbillede

• APT angreb kan fx ramme meget bredere end før

• Man bør forholde sig til at perimeteren IKKE er sikker

• En struktureret tilgang til risikovurderinger kan give dette overblik

• ISO 27005:2011 metodikken kan bruges som tilgang til en 360 graders

risikovurdering

ISO 27005 Metodikken

• Risikoidentifikation

• Identifikation af aktiver

• Identifikation af trusler

• Identifikation af nuværende kontroller

• Identifikation af sårbarheder

• Identifikation af konsekvenser

• Risikoanalyse og -evaluering

• Risikohåndtering

Risikovurdering i praksis

• Man risikovurderer de forretningskritiske aktiver

• Det er dem som har en kritisk værdi for forretningen

• Start med en kvalitativ vurdering for at få et overblik

• Efterfølgende kan man så uddybe de vurderinger hvor der er behov, evt. med

en kvantitativ vurdering

• Pas på med ikke at drukne i teori

• Uanset metode bør ledelsen fastsætte risikovilligheden inden start

Aktiver

• Aktiver

• Har en kritisk værdi for forretningen

• Kan fx udpeges ud fra de forretningskritiske processer

• Se også appendiks B i ISO 27005:2011 standarden

• Er sårbare overfor brud på

• Fortroligheden

• Integriteten

• Tilgængeligheden

• Kan fx være

• Informationer

• Hardware

• Software

• Medarbejdere

• Services

• Fysisk

• Processer

• Det er en god ide at gruppere aktiver hvor det giver mening

Trusler

• Der findes mange trusler

• Se fx appendiks C i ISO 27005:2011 standarden

• Kan mere generelt gruppers som trusler om

• Brud på fortroligheden (F)

• Brud på integriteten (I)

• Brud på tilgængeligheden (T)

• Sammenhold truslerne med de sårbarheder det enkelte aktiv har

• Det viser hvilke trusler der er relevante for det aktiv

• I praksis ses trusler og sårbarheder ofte under ét som ”brud”

Kontroller

• Man kan tage udgangspunkt i en liste med mulige kontroller

• Se fx appendiks A i ISO 27001:2013 standarden

• Husk egne og branchespecifikke kontroller fx baseret på lovkrav

• Man har typisk allerede mange kontroller, fx

• Firewalls, proxy, antivirus, UPS mv.

• Backups og katastrofeplaner

• Adgangskontrol, brandsikring, tyverialarm mv.

• Kontrakter med fortrolighedserklæringer

• Overordnet sikkerhedspolitik

• Regler i personalehåndbog

• Vejledning om email og internetbrug

Sårbarheder

• Der findes mange sårbarheder

• Se fx appendiks D i ISO 27005:2011 standarden

• Overordnet kan et aktiv være sårbar over for:

• Ondsindede handlinger (forsæt)

• Fejl og ubevidste handlinger (uforsætligt)

• Uheld/ulykker

• Naturkatastrofer/Force Majeure

• En række af sårbarhederne er dækket af nuværende kontroller

• Disse bør også identificeres og knyttes til de anvendte kontroller

• Som en del af den samlede dokumentation

• Brud er trusler, der kan udnytte sårbarheder

Konsekvens

• Overordnet skal man beskytte sine forretningskritiske aktiver mod:

• Brud på fortroligheden (F)

• Brud på integriteten (I)

• Brud på tilgængeligheden (T)

• Brudene har alle har en konsekvens, som vurderes af aktivets ejer, typisk fra

forretningen

• Evt. ud fra en Business Impact Analysis (BIA)

• Evt. i en dialog med en erfaren sikkerhedskonsulent

• Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere konsekvensen af de tre typer

af brud

Sandsynlighed

• Brud har en sandsynlighed, som vurderes fx af den teknisk ansvarlige for

sikring af aktivet

• Fx i en dialog med en erfaren sikkerhedskonsulent

• Kan også håndteres vha. risikostyringsværktøjer

• Sandsynligheden afhænger bl.a. af de sikringsforanstaltninger, der allerede er

på plads

• Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere sandsynligheden for de

forskellige typer af brud

• Det kan give mening at samle/gruppere brudene

• Overvej at samle dem til sandsynlighederne for brud på:

• Fortroligheden

• Integriteten

• Tilgængeligheden

Virksomhedens risikovillighed

Ko

nse

kve

ns

Sandsynlighed

inkl. Sikkerhedsmiljø

Attribut Data

Grøn Her kan risiko accepteres uden af der gennemføres ændringer

Gul Her skal risiko normalt håndteres, så rest risiko bringes ned i det

grønne område, enten ved ændringer i løsning/procedurer, eller

kompenserende kontroller

Rød Her skal risiko overføres eller nedbringes, f.eks. kan der indføres

tekniske foranstaltninger, som bringer risiko ned i det gule område,

og resterende risiko fjernes med kompenserende kontroller.

Ko

nse

kve

ns

Sandsynlighed

inkl. Sikkerhedsmiljø

Lavere Højere

Risikovurdering

• Risikoen bliver så et tal fra 1 (lav) til 25 (høj)

• Risikovilligheden defineres typisk i tre intervaller:

• Grøn – de laveste værdier, der umiddelbart kan accepteres

• Gul – de mellemste værdier, som ledelsen skal tage stilling til

• Rød – de højeste værdier, der ikke umiddelbart kan accepteres

• Risikovurderingen danner grundlag for en håndteringsplan

• Husk at vedligeholde vurdering ihf. årligt og ved større ændringer

Risikovurderingsskema Eksempel på vurdering

Farver baseret på ledelsens risikovillighed - i eksemplet er det en 1 (lav) til 25 (høj) skala

Risikohåndteringsplan

• Er risikoen gul eller rød skal den håndteres

• Det kan generelt ske ved at den:

• Accepteres alligevel, ihf. for en periode

• Overføres til andre, fx ved forsikring

• Undgås, fx ved at man holder op med noget eller ændrer det

• Nedbringes, fx ved hjælp af nye/ekstra sikringsforanstaltninger

• Forslag til dette samles i en risikohåndteringsplan (RTP), som godkendes af

ledelsen

• Det kan være en iterativ proces at nå til en godkendt plan

• I ISO 27001 er valget af sikringsforanstaltninger også dokumenteret i en

Redegørelse for anvendelighed (Statement of Applicabillity - SOA)

• Husk at vedligeholde planen, ihf. årligt og ved større ændringer

Udvidet risikovurdering

• Detaljeret risikovurdering af kritiske eller særligt komplicerede systemer og

områder

• Ser detaljeret på en række konkrete risici for de udvalgte systemer/områder

• Iterativ proces, der indarbejder ledelsens stillingstagen til restrisikoen

Den udvidede risikovurdering Eksempel

Glem ikke

• Husk at inddrage:

• Afhængigheder af andre aktiver / akkumulering af risici

• fx netværk, medarbejdere

• De forskellige tilstande informationer kan befinde sig

• Emails kan fx være på en server, i transit, på klienter, på en mobil

Resultatet

• Virksomheden får:

• Synliggjort hvor der bør sættes ind, for at opnå et ønsket sikkerhedsniveau

• Grundlaget for at træffe de mest hensigtsmæssige valg

• Overblik over værdier, ansvar og risici

• Forankret sikkerheden i forretningen og ledelsen

TAK!

For yderligere information besøg

www.dubex.dk