informasjonssikkerhet – det virkelige liv høyskolen i sør trøndelag 19 mars 2004
DESCRIPTION
Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004. Tomas M. Huseby, Senior Rådgiver [email protected]. Temaer. Trender 2002 – 2007 (2002 reelle tall) Er det sammenheng mellom standarder? Typiske oppdrag Hvordan arbeide med: Ledergruppen - PowerPoint PPT PresentationTRANSCRIPT
Informasjonssikkerhet – det virkelige liv
Høyskolen i Sør Trøndelag 19 mars 2004
Tomas M. Huseby, Senior Rå[email protected]
Temaer
• Trender 2002 – 2007 (2002 reelle tall)• Er det sammenheng mellom standarder?• Typiske oppdrag• Hvordan arbeide med:
– Ledergruppen– Organisasjonen– IT-avdelingen
• Forbedringsorientering
Konsulentprofil
• Utdannelse– HIS/elektronikk– Høyskolekandidat BI
• Yrkeserfaring– Konsulent– Rådgiver– Informasjonssikkerhetssjef– Divisjonsdirektør
• Media og foredrag– Seminarer/konferanser– Artikkelforfatter– Verifiserer reportasjer
• Prosjekter offentlig sektor– Forsvaret– Departementer– Etater– Riksrevisjonen– 6 av 10 største kommuner– Helseregioner/helseforetak
• Prosjekter privat sektor– CORUS– GARD– Bank/forsikring– ”Pro bono”
Trender 2003 - 2007
Er det noen fremtid i dette her da?Hva er det IT-sjefer ser etter når de lager budsjetter?
Kategorier 2002 – 2007 (verden)
0
5000
10000
15000
20000
25000
30000
35000
40000
45000
50000
2002 2003 2004 2005 2006 2007
År
Forv
ente
t om
setn
ing
($M
)
Information securityBusiness continuityInfrastructure
CAGR (2002 – 2007):Information Security: 19.1%Business continuity: 8.4%Infrastructure: 13.1%
Segment Information Security 2002 – 2007 (verden)
0
5000
10000
15000
20000
25000
2002 2003 2004 2005 2006 2007
År
Forv
ente
t om
setn
ing
($M
)
ServicesSoftwareHardware
CAGR (2002 – 2007):Services: 20,7%Software: 15,8%Hardware: 21,2%
Information Security Services 2002 – 2007 (verden)
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
2002 2003 2004 2005 2006 2007
År
Forv
ente
t om
setn
ing
($M
)
Services Consulting
ServicesImplementationServices SecuritymanagementServicesEducation/Training
CAGR (2002 – 2007):Consulting: 20,0%Implementation: 21,6%Security management: 22,1%Education/training: 16,7%
Information Security Software2002 – 2007 (verden)
0
1000
2000
3000
4000
5000
6000
7000
2002 2003 2004 2005 2006 2007
År
Forv
ente
t om
setn
ing
($M
)
Software 3As
Software Firewall
Software Secure contentmanagementSoftware IntrusiondetectionSoftware Other
CAGR (2002 – 2007):3As: 15,3%Firewall: 5,8%Sec. Cont. management: 18,8%Intrusion detection: 16,4%
Information Security Hardware2002 – 2007 (verden)
0
1000
2000
3000
4000
5000
6000
2002 2003 2004 2005 2006 2007
År
Forv
ente
t om
setn
ing
($M
)
Hardware Firewall/VPN
Hardware Biometrics
Hardware Token smartcardsHardware Other
CAGR (2002 – 2007):Firewall/VPN: 14,6%Biometrics: 16,1%Token smart cards: 15,0%Other: 28,0%
Sammenhenger
Hva må man kunne?Ser virksomheter etter synergieffekter?
Tre viktige sammenhenger!
ISO 9001:2000
BS 15000 (ITIL)
ISO 17799BS 7799
StrategiStyringProsess
ForbedringLæring
Typiske oppdrag
Hvilke oppdrag utføres i dag av konsulenter?
StrategiRisikohåndteringRisikoanalyserOrganiseringOpplæringForståelseLover/reglerKartleggingGAP analyserKvalitetsrevisjonProsedyrerProsesserKontinuitetsplaner
Rådgivning Endringsledelse / Prosjektledelse
Bistand anskaffelse
Leverandørvalg
Evaluering tilbud
Ledelse
Mngt for hire
Prosess-/prosjektrevisjon
RisikoanalyserDrift
Fjerndrift IT-sikkerhet
ERT-tjenester
”På stedet drift”
Penetrasjonstesting
Teknologi revisjoner
Hendelseshåndtering
Rammeverk
BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814
Teknisk plattform
Symantec, HP, IBM, Oracle, ”Freeware”, Microsoft
ForretningForretning RealiseringRealisering ForvaltningForvaltning
Arkitektur
Design IT-sikkerhetsarkitektur
Programvaresalg
Maskinvaresalg
IT-sikkerhetspolicy
”IT-sikk. Roadmaps”
Implementering
Oppdragstyper som konsulent
Ledergruppen
Hvordan jobber ledelsen?Hvordan forstår ledelsen informasjonssikkerhet?
Konsekvens
Svært sannsynlig
Sannsynlig
Mindre sannsynlig
Lite sannsynlig
Liten Middels KatastrofaleStore
Sann
synl
ighe
t
Risikostyring
41
3
2
5
Risikoområder:Nr 1: RessurserNr 2: HjelpeverktøyNr 3: OrganiseringNr 4: Kjøling på dataromNr 5: Kunnskap om HA løsning
Basis ROI modell
(ΣN
År=1+ Forventede strategiske
tilbakebetaling per år )Forventede kvantiserbar tilbakebetaling av investering per år**
Kostnader per år*
Kjernevirksomhet
- Direkte systemkostnader per år- Vedlikeholdskostnader per år - Finansieringskostnader per år- Konsulentkostnader per år- CONC – Skjulte kostnader- Opplæring-…..
*
- Direkte tilbakebetalinger- Indirekte tilbakebetalinger
**Bruk korrigeringsfaktorer (ikke alle besparelser eller
forbedringer vil bli benyttet)
Hvordan gjennomføre ROI
Undersøk ROI potensialet
Hvor mange? Hvor ofte?
Dyr prosess? Gjenbruk?
Samarbeid?
Kostnader som må tas med:- direkte tilknyttet prosjektet- drevet av prosjektet
Engangskost. Løpende kost.
FordelerROI formel
Tilbakebetalingsperiode
Innsamling informasjon
Kalkulasjon
Sikkerhet og IKT-strategi
• IKT-anvendelser– Beskrivelse av hva virksomheten skal benytte
IKT til og forventningsnivåer– Støttes overordnede planer, strategier og
visjoner?• Organisasjon
– Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT-anvendelser
• Sikkerhet– Hvilke sikkerhetstiltak må innføres for å sikre
”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet
• Kommunikasjonsarkitektur– Hvilken arkitektur er valgt for å støtte ansatte i
elektronisk kommunikasjon gjennom IKT anvendelser
• Systemarkitektur– Støttes den underliggende
systemarkitekturen kommunikasjonsarkitekturen
• Teknisk infrastruktur– Støttes arkitektur gjennom de valg og
implementeringer som er utført?
Forretningsplaner/Virksomhetsplaner
IKT-anvendelser
Sikkerhet
Organisasjon
Kommunikasjonarkitektur
Systemarkitektur
Tekniskinfrastruktur
IKT-strategi
Organisasjonen
Hvordan skape eierskap og forståelse?Hvordan opprette og vedlikeholde gode holdninger?
Risikoanalyser skaper forståelse
Uønsket hendelse K I T Årsak Mulig konsekvens K Eksisterende tiltak S R Nye tiltak
Sensitiv data lagres i intern sone
Systemer plassert i feil sone – Eks. økonomi, regnskap, som inneholder bedriftssensitiv data, men muligens også person-sensitive data
Sensitiv data kan aksesseres av uvedkommende
Opplæring/bevisstgjøring Vurdering med risikovurdering før plassering av applikasjoner – særlig i intern sone.
1 32 4
21
345
5
1
2
3
Sannsynlighet
4
5
6
4
2 3 4 5
10
8
6
9
12
15
8
12
16
20
20
15
10
25
Kon
sekv
ens
Aksepttabell
Prioritert tiltaksplan:• Identifiserte tiltak mot hendelser• Beregnet risiko overstiger grenseverdi
Mål, strategier, krav
RisikoanalyseIdentifisere risikoområder
Konsekvens-analyseSårbarhetsanalyseTrussel analyse
Risikoanalyse
Risikokontroll
OverføreRedusereForebyggeUnngå
Risikofinansiering
Selvfinansiering Tradisjonell finansiering Selvassuranse Finansiell forsikring
Oppfølging og evaluering
Akseptabel risiko
Uakseptabel risiko
NS 5814: Gjennomføring risikoanalyse
Forståelse skaper holdninger
• Fra: • Til:
?
??
?
????
??
???? ?? ?
? ??
Enkel kommunikasjon sikrer holdninger
Enkel kommunikasjon sikrer holdninger
Prosesser og prosedyrer dersom…
Ansvar Stilling Dato Signatur
Utforming Hvem har laget prosedyren?
Godkjenning Hvem har godkjent prosedyren?
Dokumenteier Hvem er eier av prosedyren?
Gjennomføring Hvem skal utføre prosedyren?
Beskrivelse
Formål • Hvorfor har man denne prosedyren? Punktliste da dette letter lesningen?
Henvisninger • Henvisninger til overliggende dokumentasjon, tilhørende sjekklister, sideordnede prosedyrer etc. Punktliste da dette letter lesningen.
Omfang • Hva favner prosedyren om? KORTFATTET BESKRIVELSE. HENVIS DERSOM MAN MÅ SKRIVE TEKST FRA ANDRE DOKUMENTER
Prosesser og prosedyrer dersom…
Nr. Handling Ansvarlig Når1 • Hva skal gjøres først? IKKE roller, stillinger eller annet
som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!
Hvem utfører? Når utføres
2 • Hva skal gjøres etter første handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!
Hvem utfører? Når utføres
3 • Hva skal gjøres etter andre handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!
Hvem utfører? Når utføres
4 • Hva skal gjøres etter tredje handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!
Hvem utfører? Når utføres
5 OSV OSV OSV
IT-avdelingen
Hvilket teknologi fokus er det i dag?Hvordan vil fremtidig driftsfokusering være?
IT-avd. vil alltid tenke på teknologi
Mindre instutisjoner medsensit iv informasjon
E-post-serverInternt/Eksternt
Adm. systemerNett-servere
Faglige systemer
Intranett
Sw itch Term ServerSw itch
BUP
Kontor
Bjorbekk
Kontor
Tyholmen
Kontor
HAB
Kontor
ISDN
VLAN - Indresikkerhetsbarriere
Ruter
WAN Nett -Krypterte faste forbindelser
Lukketbrukergruppe
Kryptert
Mindreinstutisjoner
Kontor
Sensitive systemerNett-servere
Faglige systemerSw itch
Eksterne forbindelser Sensitiv SoneSikret Sone
KonsesjonsområdeSentraladministrasjonen
Dokument-id:
ITSH 4.2
Utarbeidet av:Prosjektgruppa IT-sikkerhet
Opprettet:22.03.00
Sign: Revisjon:0.8
Sist endret:11.05.00
Tegning:Teknisk sikkerhetsarkitektur
Godkjent av:
DMZ
AntivirusWEB Filter
E-post ReleEkstern WEB
Polit ikere
Hjemmekontor
Hjemmekontor
Kontor
Skoler
Undervisning Administrasjon
Mindreinstutisjonerikke sensit iv
KontorLokalnett
FrittståendePC
KonsesjonsområdeASA
Brannmur
Brannmur
E-post-serverInternt/Eksternt
Adm. systemerNett-servere
Intranett Term Server
Sensitive systemerNett-servere
Faglige systemer
VLAN - Indresikkerhetsbarriere
Ruter
OT/ PP
Kontor
Sw itch
Fagsystemer
Brukere
Brukere
Sw itchSw itch
Internett
Telenor Teamco
SDS
Support
Kryptert
IT-avdelingen transformerer
Til……..
Fra……..
Bruker Bruker Bruker Bruker
Applikasjons-utvikling
Brukerstøtte Drift
“Call”senter
Eksterneleverandører
Forbedringsorientering
Hva er ”deminghjulet”?Finnes det noe annet enn alt eller ingenting?
Forbedringsprosessen
Kompetanseoverført gjennomføring
Vurdering av resultater
Avgrensning og identifisering
Faktainnsamling
Nåsituasjonsanalyse
Etablere og re-etablere målekriterier (KPI)
Monitorering
Identifisere og etablere tiltak
Gjennomføre
Planlegge
Kontrollere
Handle Kon
tinue
rlig
forb
edrin
g
Omforent avgrensningsdokument
Beskrive faktorer pr. aktivitet
Dokumentert nåsituasjon
Gjennomføring og dokumentasjon av tiltak
Vurdere eksisterende og ny målekriterier
Dokumentert måleresultater
Dokumenterte vurderinger
Omfang
Hva
Hvor er vi?
Hvor vil vi?
Over tid
Trender
LeveranserProsessledelseArbeidsgjennomføring
Aktuell tilstand ved delmål 1
Start / fastsette Målsetting og hovedplan
Mål – kontinuerlig forbedring
Revidert delmål 1
Tiltak
Revidert delmål 2
Tiltak
Måloppnåelse – revisjon - korrigering
Avvik
Tid
Delmål 1 - bedre kontroll
Delmål 2 - full kontroll
Delmål 3 - perfeksjoneringAktuell tilstand ved delmål 3
TUSEN TAKK FOR OPPMERKSOMHETEN
Spørsmål?