jesper bo hansen

Offentlig digitalisering16.-17. marts 2016

Digitalisering ændrer alt... eller gør det? Brian Troelsen, Business Development Director, NNIT

BEREDSKAB

BEREDSKAB DER VIRKER I PRAKSIS

• LIDT OM OS

• HVORFOR BEREDSKAB?

• FORUDSÆTNINGER FOR DET GODE BEREDSKAB

• BEREDSKAB - OPBYGNING OG STRUKTUR

• BEREDSKABSTEST

• Hvorfor

• Test-eksempler

• Læring

ControlManager by Siscon 3

AGENDA

OM SISCON

Dansk konsulenthus og softwareleverandør siden 2004

ControlManager™ Værktøjet der giver et helhedsbillede og dokumentere virksomhedens Informationssikkerheds niveau

Kompetente konsulenter giver sparring og rådgivning

Kontor i Allerød med kursusfaciliteter

Mere end 80 kunder i Danmark og Norge

AAA® rating for 2010, 2011, 2012, 2013 & 2014

JESPER HANSEN, SISCON ESL, CISM, CRISC, CISSP

15+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHEDSDISCIPLINER:• BEREDSKABSPLANLÆGNING (ISO 22301 / ISO 27031)• SCENARIETBASEREDE BEREDSKABSTEST• IMPLEMENTERING AF ISMS (ISO 27001)• OPBYGNING AF KONTROLMILJØ• RISIKOVURDERINGSFRAMEWORKS (ISO 27005)• SIKKERHED I FORBINDELSE MED OUTSOURCING

ERHVERVSERFARING:• ANSVARLIG FOR PFA’S IT-INFRASTRUKTUR

• IT-infrastrukturberedskab• IT-Beredskab hos driftsleverandører

• IT-SIKKERHEDSCHEF PFA

• Overordnet it-beredskab• Beredskabstest

• MANAGER PWC

• Design af beredskab• Beredskabstest

OM JESPER B. HANSEN

CONTROLMANAGER™- RYGRADEN I DIT ISMS


ControlManager by Siscon

7

SÅ ER DET GODT AT HAVE EN PLAN

Er vi klar til at håndtere

hændelser?

Har vi et beredskab for

IT? (forretning)?

Hvordan ved vi om det virker?


TYPISKE SPØRGSMÅL

FORUDSÆTNINGER FOR DET GODE BEREDSKAB

FORRETNING BØR FOKUSERE PÅ:

• FORRETNINGSVIDEREFØRELSE

• MEDARBEJDERE

• BYGNINGER

IT-AFDELINGEN GENETABLERER:

• IT

• TELEFONI

• ØVRIGE TEKNISKE INSTALLATIONER

STYR PÅ ROLLER OG ANSVAR !?

BUSINESS IMPACT ASSESSMENT- UDGANGSPUNKTET


Kilde: BS 25777 : 2008

ISO/IEC 27031ISO/IEC 22031

BIA

FORRETNINGSMÆSSIG RISIKOVURDERING- ET GODT GRUNDLAG FOR BEREDSKABET


Hvad er forretningskonsekvensen

Hvis der sker brud på tilgængeligheden

Hvilke IT-services understøtter

vores kritiske processer?

http://www.google.dk/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRxqFQoTCMK31rv-kccCFcrdLAodW2AGEw&url=http://www.iconsplace.com/orange-icons/temperature-icon&ei=iAfCVcLTKsq7swHbwJmYAQ&bvm=bv.99261572,d.bGg&psig=AFQjCNH1ClmKKCqOta-vxBho5kjUdVzZqQ&ust=1438865666549853

http://www.google.dk/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRxqFQoTCMK31rv-kccCFcrdLAodW2AGEw&url=http://www.iconsplace.com/orange-icons/temperature-icon&ei=iAfCVcLTKsq7swHbwJmYAQ&bvm=bv.99261572,d.bGg&psig=AFQjCNH1ClmKKCqOta-vxBho5kjUdVzZqQ&ust=1438865666549853

13

FORSTÅELSE FOR ORGANISATIONEN


ACCEPTERET NEDETID VS. REETABLERINGSTID

BEREDSKABOPBYGNING OG STRUKTUR

OPBYGNING AF BEREDSKABET- UDGANGSPUNKET


Kilde: BS 25777 : 2008

ISO/IEC 27031ISO/IEC 22031

OPBYGNING AF BEREDSKABET- STRATEGIERNE


Kilde: BS 25777 : 2008

Strategi elementer:1. People2. Premises3. Technology4. Data5. Processes6. Supplier

ISO/IEC 22031


STRUKTUR I BEREDSKABET

Overordnet beredskabsorganisation

IT-

beredskab

Forretnings-

beredskab

Facility-

beredskab

Overordnet kommunikation og styring

Stab - Kommunikation

Kriseledelse

IT-Kriseleder KriselederKriseleder

STRUKTUR I BEREDSKABSPLANERNE


Overordnet beredskabsorganisation

IT-

beredskab

Forretnings-

beredskab

Facility-

beredskab

Overordnet kommunikation og styring

Stab - Kommunikation

Kriseledelse

IT-Kriseleder KriselederKriseleder

Principopbygning

1. Detect

2. React

3. Recover

4. Operate

5. Return

20

IT-BEREDSKABET – HUSK AT TÆNKE ”END-TO-END”

IT-beredskab

IT-Kriseleder

Kontr

olle

r

Ge

net

able

rin

g sy

ste

m X

Ge

ne

tab

leri

ng

syst

em

Z

Ge

ne

tab

leri

ng

syst

em

Y

Geneta

ble

ringspla

ner

Vu

rdé

r sk

ade

Mo

bili

seri

ng

Age

nd

a kr

ise

mø

de

Instr

ukser

Ansvar Server Team Infrastruktur Team Klient Team

Overordnet Beredskabsplan

Organisering

Kontakt informationer

Instrukser

Eskalering

Forløb

IT- Reetablerings-planer

Dokumentation

Forretningsmæssige

Nødplaner

Førstehjælp for scenarier

Virusudbrud

Ransomware

Utilgængelighed af bygninger

STRUKTUR FOR BEREDSKAB


DE FORSKELLIGE PLANER


Overordnet beredskabsplan

- Evt. flere

BEREDSKABIGANGSÆTNING OG OPSTART

Backup

tidspunkt

Normal drift Nøddrift

Informér ledelse

Koordinere m. afdelingerne

Informér medarbejdere,

og interessenter

Afdelinger iværksætter nødplaner

Vurdering

Eskalering

Varsling

Igangsætning af katastrofeberedskab

Varsling og fremmøde

Beredskabsledelse og deltagere

Status for IT

ReetableringIT leverandører informeres


TRIN FOR TRIN

Er hændelse

en krise ?

Instruks: ”Notificering og

erklæring af krise”

KriseJa

(eller tvivl)

Nej

Kriseberedskabet

afblæses

Retur til major

incident proces

Mulig krise

rapporteret til

It-kriseleder

Maksimum

1. time

It-kriseledelse mobiliseres og vurderer skaden

Agenda: ”Første møde i kommandocentralen”

Instruks: ”Detaljeret skadesvurdering”

Understøtter den detaljerede

skadesvurdering erklæringen af

krisen?

Ja

Nej

Kriseberedskabet termineres

Retur til major incident proces

Påbegynd arbejde og monitorer situationen

KRISE

Maksimum

2. timer

Fase 1

Maksimum

1. time

ESKALERING


BEREDSKAB

TEST

HAR DU OGSÅ SÅDAN EN PLAN ?


• FÅ BESVARET SPØRGSMÅLET – VIRKER DET?!

• MAN FÅ FJERNET EVENTUELLE FEJL OG MANGLER FØR KRISEN RAMMER

• MAN FÅR VALIDERET, AT ALLE KAN SVARE PÅ:

• Hvad er min rolle?

• Hvad er mit ansvar?

• Hvilke processer er jeg en del af?

• Hvilke processer er jeg ikke en del af?

• BEREDSKABSDELTAGERE SOM IKKE NORMALT ER EN DEL AF DET OPERATIONELLE NIVEAU, FÅR BANKET RUSTEN AF, DET GÆLDER F.EKS.:

• Ledelsen

• Kommunikationsafdelingen

• Facility Management

• ALLE BLIVER BEDRE TIL AT TAGE (DET RIGTIGE) ANSVAR

HVAD FÅR MAN UD AF TESTE?


VEJEN TIL DET GODE BEREDSKAB- TEST

1. FØR

• Overvej hvad er det du vil teste • Vær konkret og fokuseret

• Udarbejd ”test-objectives”, og få evt. disse godkendt

• Vær velforberedt• Udarbejd gode test scenarier, og mulige udfald

• Keep it simple• Ting tager længere tid end forventet

2. UNDER

3. EFTER

VEJEN TIL EN GOD TEST- FØR


SCENARIER


GIFTUDSLIP

OVERSVØMMELSE

”DEN VREDE INFRASTRUKTUR-

TEKNIKER.”

BRAND I FABRIK

OPSTARTEN OG TESTAFVIKLING


Forløbet var fastlagt til kl. 11.00 - 14.00 og fordelt cirka sådan her:11:00 – 11:10 Testen startes op i internt mødelokale

(under dække af at være IT revision)11:10 – 11:30 Brandmand møder op

- Evt. Afgang til alternativ lokation11:30 – 13:45 Selve øvelsen13:45 – 14:00 Opsummering af testforløbet

1. FØR

2. UNDER

1. Husk afgrænsning og spilleregler2. Anvend evt. en ekstern ”gamemaster”, som ikke har

noget i klemme3. Følg planen, men afvig når det er nødvendigt

1. Pas på med at blive kørt ud på et sidespor

4. Skab noget stress – få statister til at ringe til IT-kriseledelsen

5. Husk løbende at have overblik over status og actions

3. EFTER

VEJEN TIL EN GOD TEST- UNDER


• FØR

• UNDER

• EFTER

• Evaluering

• Forankring

• Opfølgning

VEJEN TIL EN GOD TEST- EFTER


• FUNGERER PLAN OG BILAG I PRAKSIS?

• Bruger folk den?• Er den operationel nok?• Er der forbedringsområder?• Hvad vi de rigtige lister/instrukser

(Lister over systemer med MTD, kontaktoplysninger, oversigter over batchafvikling)

• HVORDAN ER KOMMUNIKATIONEN?

• På eskalationstidspunktet• Op/ned/på tværs i beredskabsorganisationen

• FUNGERER ROLLEFORDELINGEN?

• Har vi nok/de rigtige roller?• Ved folk hvad der ligger af ansvar i deres rolle?• Bevæger rollen sig på det rigtige niveau taktisk/operationelt?

TYPISKE OBSERVATIONER

35ControlManager by Siscon

• HVORDAN ER SAMARBEJDET?

• Internt i beredskabsorganisationen?

• Med eksterne interessenter (pressen, myndigheder, samarbejdsparter, driftsleverandører)?

• Med forretningen?

• HAR VI ET TILSTRÆKKELIGT OVERBLIK OVER STATUS?

• Services der kører

• Aktiviteter vi har sat i søen

TYPISKE OBSERVATIONER - FORTSAT


• DO

• Vær velforberedt, tænk scenariet helt igennem• Få godkendt dine testobjectives , så der er overens-

stemmelse med dine og virksomhedens mål

• DON’T

• Gør ikke scenarier eller øvelsen for kompleks – du skal kunne styre det og tiden, hellere lidt men godt.

• Løb ikke efter ”guldmedaljen” i version 1

• AWARENESS SKABES BEDST VED - AT FÅ FOLK TIL AT SPIDSE ØRER- AF SIG SELV

• ”Hyr” en brandmand• Lav scenarierne så realistiske som muligt• Gør det sjovt

3 TING TIL AT TAGE MED


38

SPRØD SAX OG INFORMATIONSSIKKERHEDMØD OS PÅ STAND 15

KONTAKT SISCON MED SPØRGSMÅL:

JESPER B. HANSEN

E-MAIL: [email protected]

TLF.: +45 60 16 14 59

KONTAKT SISCON FOR MØDE:

CHRISTINA WULFF JENSEN

E-MAIL: [email protected]

TLF.: +45 40 93 17 42

DELTAG I DANSK IT’S PÅ-VEJ-HJEM-MØDE 18. MAJ 2016 - HVOR SISCON LAVER LIVE BERESKABSTEST - MED DIG I CENTRUM