informasjonssikkerhet – det virkelige liv høyskolen i sør trøndelag 19 mars 2004

Informasjonssikkerhet – det virkelige liv

Høyskolen i Sør Trøndelag 19 mars 2004

Tomas M. Huseby, Senior Rådgivertomas.huseby@scandpower.com

Temaer

• Trender 2002 – 2007 (2002 reelle tall)• Er det sammenheng mellom standarder?• Typiske oppdrag• Hvordan arbeide med:

– Ledergruppen– Organisasjonen– IT-avdelingen

• Forbedringsorientering

Reklamen finner dere på:

www.scandpower.com

Konsulentprofil

• Utdannelse– HIS/elektronikk– Høyskolekandidat BI

• Yrkeserfaring– Konsulent– Rådgiver– Informasjonssikkerhetssjef– Divisjonsdirektør

• Media og foredrag– Seminarer/konferanser– Artikkelforfatter– Verifiserer reportasjer

• Prosjekter offentlig sektor– Forsvaret– Departementer– Etater– Riksrevisjonen– 6 av 10 største kommuner– Helseregioner/helseforetak

• Prosjekter privat sektor– CORUS– GARD– Bank/forsikring– ”Pro bono”

Trender 2003 - 2007

Er det noen fremtid i dette her da?Hva er det IT-sjefer ser etter når de lager budsjetter?

Kategorier 2002 – 2007 (verden)

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

50000

2002 2003 2004 2005 2006 2007

År

Forv

ente

t om

setn

ing

($M

)

Information securityBusiness continuityInfrastructure

CAGR (2002 – 2007):Information Security: 19.1%Business continuity: 8.4%Infrastructure: 13.1%

Segment Information Security 2002 – 2007 (verden)

0

5000

10000

15000

20000

25000

2002 2003 2004 2005 2006 2007

År

Forv

ente

t om

setn

ing

($M

)

ServicesSoftwareHardware

CAGR (2002 – 2007):Services: 20,7%Software: 15,8%Hardware: 21,2%

Information Security Services 2002 – 2007 (verden)

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

10000

2002 2003 2004 2005 2006 2007

År

Forv

ente

t om

setn

ing

($M

)

Services Consulting

ServicesImplementationServices SecuritymanagementServicesEducation/Training

CAGR (2002 – 2007):Consulting: 20,0%Implementation: 21,6%Security management: 22,1%Education/training: 16,7%

Information Security Software2002 – 2007 (verden)

0

1000

2000

3000

4000

5000

6000

7000

2002 2003 2004 2005 2006 2007

År

Forv

ente

t om

setn

ing

($M

)

Software 3As

Software Firewall

Software Secure contentmanagementSoftware IntrusiondetectionSoftware Other

CAGR (2002 – 2007):3As: 15,3%Firewall: 5,8%Sec. Cont. management: 18,8%Intrusion detection: 16,4%

Information Security Hardware2002 – 2007 (verden)

0

1000

2000

3000

4000

5000

6000

2002 2003 2004 2005 2006 2007

År

Forv

ente

t om

setn

ing

($M

)

Hardware Firewall/VPN

Hardware Biometrics

Hardware Token smartcardsHardware Other

CAGR (2002 – 2007):Firewall/VPN: 14,6%Biometrics: 16,1%Token smart cards: 15,0%Other: 28,0%

Sammenhenger

Hva må man kunne?Ser virksomheter etter synergieffekter?

Tre viktige sammenhenger!

ISO 9001:2000

BS 15000 (ITIL)

ISO 17799BS 7799

StrategiStyringProsess

ForbedringLæring

Typiske oppdrag

Hvilke oppdrag utføres i dag av konsulenter?

StrategiRisikohåndteringRisikoanalyserOrganiseringOpplæringForståelseLover/reglerKartleggingGAP analyserKvalitetsrevisjonProsedyrerProsesserKontinuitetsplaner

Rådgivning Endringsledelse / Prosjektledelse

Bistand anskaffelse

Leverandørvalg

Evaluering tilbud

Ledelse

Mngt for hire

Prosess-/prosjektrevisjon

RisikoanalyserDrift

Fjerndrift IT-sikkerhet

ERT-tjenester

”På stedet drift”

Penetrasjonstesting

Teknologi revisjoner

Hendelseshåndtering

Rammeverk

BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814

Teknisk plattform

Symantec, HP, IBM, Oracle, ”Freeware”, Microsoft

ForretningForretning RealiseringRealisering ForvaltningForvaltning

Arkitektur

Design IT-sikkerhetsarkitektur

Programvaresalg

Maskinvaresalg

IT-sikkerhetspolicy

”IT-sikk. Roadmaps”

Implementering

Oppdragstyper som konsulent

Ledergruppen

Hvordan jobber ledelsen?Hvordan forstår ledelsen informasjonssikkerhet?

Konsekvens

Svært sannsynlig

Sannsynlig

Mindre sannsynlig

Lite sannsynlig

Liten Middels KatastrofaleStore

Sann

synl

ighe

t

Risikostyring

41

3

2

5

Risikoområder:Nr 1: RessurserNr 2: HjelpeverktøyNr 3: OrganiseringNr 4: Kjøling på dataromNr 5: Kunnskap om HA løsning

Basis ROI modell

(ΣN

År=1+ Forventede strategiske

tilbakebetaling per år )Forventede kvantiserbar tilbakebetaling av investering per år**

Kostnader per år*

Kjernevirksomhet

- Direkte systemkostnader per år- Vedlikeholdskostnader per år - Finansieringskostnader per år- Konsulentkostnader per år- CONC – Skjulte kostnader- Opplæring-…..

*

- Direkte tilbakebetalinger- Indirekte tilbakebetalinger

**Bruk korrigeringsfaktorer (ikke alle besparelser eller

forbedringer vil bli benyttet)

Hvordan gjennomføre ROI

Undersøk ROI potensialet

Hvor mange? Hvor ofte?

Dyr prosess? Gjenbruk?

Samarbeid?

Kostnader som må tas med:- direkte tilknyttet prosjektet- drevet av prosjektet

Engangskost. Løpende kost.

FordelerROI formel

Tilbakebetalingsperiode

Innsamling informasjon

Kalkulasjon

Sikkerhet og IKT-strategi

• IKT-anvendelser– Beskrivelse av hva virksomheten skal benytte

IKT til og forventningsnivåer– Støttes overordnede planer, strategier og

visjoner?• Organisasjon

– Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT-anvendelser

• Sikkerhet– Hvilke sikkerhetstiltak må innføres for å sikre

”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet

• Kommunikasjonsarkitektur– Hvilken arkitektur er valgt for å støtte ansatte i

elektronisk kommunikasjon gjennom IKT anvendelser

• Systemarkitektur– Støttes den underliggende

systemarkitekturen kommunikasjonsarkitekturen

• Teknisk infrastruktur– Støttes arkitektur gjennom de valg og

implementeringer som er utført?

Forretningsplaner/Virksomhetsplaner

IKT-anvendelser

Sikkerhet

Organisasjon

Kommunikasjonarkitektur

Systemarkitektur

Tekniskinfrastruktur

IKT-strategi

Organisasjonen

Hvordan skape eierskap og forståelse?Hvordan opprette og vedlikeholde gode holdninger?

Risikoanalyser skaper forståelse

Uønsket hendelse K I T Årsak Mulig konsekvens K Eksisterende tiltak S R Nye tiltak

Sensitiv data lagres i intern sone

Systemer plassert i feil sone – Eks. økonomi, regnskap, som inneholder bedriftssensitiv data, men muligens også person-sensitive data

Sensitiv data kan aksesseres av uvedkommende

Opplæring/bevisstgjøring Vurdering med risikovurdering før plassering av applikasjoner – særlig i intern sone.

1 32 4

21

345

5

1

2

3

Sannsynlighet

4

5

6

4

2 3 4 5

10

8

6

9

12

15

8

12

16

20

20

15

10

25

Kon

sekv

ens

Aksepttabell

Prioritert tiltaksplan:• Identifiserte tiltak mot hendelser• Beregnet risiko overstiger grenseverdi

Mål, strategier, krav

RisikoanalyseIdentifisere risikoområder

Konsekvens-analyseSårbarhetsanalyseTrussel analyse

Risikoanalyse

Risikokontroll

OverføreRedusereForebyggeUnngå

Risikofinansiering

Selvfinansiering Tradisjonell finansiering Selvassuranse Finansiell forsikring

Oppfølging og evaluering

Akseptabel risiko

Uakseptabel risiko

NS 5814: Gjennomføring risikoanalyse

Forståelse skaper holdninger

• Fra: • Til:

?

??

?

????

??

???? ?? ?

? ??

Enkel kommunikasjon sikrer holdninger

Enkel kommunikasjon sikrer holdninger

Prosesser og prosedyrer dersom…

Ansvar Stilling Dato Signatur

Utforming Hvem har laget prosedyren?

Godkjenning Hvem har godkjent prosedyren?

Dokumenteier Hvem er eier av prosedyren?

Gjennomføring Hvem skal utføre prosedyren?

Beskrivelse

Formål • Hvorfor har man denne prosedyren? Punktliste da dette letter lesningen?

Henvisninger • Henvisninger til overliggende dokumentasjon, tilhørende sjekklister, sideordnede prosedyrer etc. Punktliste da dette letter lesningen.

Omfang • Hva favner prosedyren om? KORTFATTET BESKRIVELSE. HENVIS DERSOM MAN MÅ SKRIVE TEKST FRA ANDRE DOKUMENTER

Prosesser og prosedyrer dersom…

Nr. Handling Ansvarlig Når1 • Hva skal gjøres først? IKKE roller, stillinger eller annet

som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!

Hvem utfører? Når utføres

2 • Hva skal gjøres etter første handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!

Hvem utfører? Når utføres

3 • Hva skal gjøres etter andre handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!

Hvem utfører? Når utføres

4 • Hva skal gjøres etter tredje handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!!

Hvem utfører? Når utføres

5 OSV OSV OSV

IT-avdelingen

Hvilket teknologi fokus er det i dag?Hvordan vil fremtidig driftsfokusering være?

IT-avd. vil alltid tenke på teknologi

Mindre instutisjoner medsensit iv informasjon

E-post-serverInternt/Eksternt

Adm. systemerNett-servere

Faglige systemer

Intranett

Sw itch Term ServerSw itch

BUP

Kontor

Bjorbekk

Kontor

Tyholmen

Kontor

HAB

Kontor

ISDN

VLAN - Indresikkerhetsbarriere

Ruter

WAN Nett -Krypterte faste forbindelser

Lukketbrukergruppe

Kryptert

Mindreinstutisjoner

Kontor

Sensitive systemerNett-servere

Faglige systemerSw itch

Eksterne forbindelser Sensitiv SoneSikret Sone

KonsesjonsområdeSentraladministrasjonen

Dokument-id:

ITSH 4.2

Utarbeidet av:Prosjektgruppa IT-sikkerhet

Opprettet:22.03.00

Sign: Revisjon:0.8

Sist endret:11.05.00

Tegning:Teknisk sikkerhetsarkitektur

Godkjent av:

DMZ

AntivirusWEB Filter

E-post ReleEkstern WEB

Polit ikere

Hjemmekontor

Hjemmekontor

Kontor

Skoler

Undervisning Administrasjon

Mindreinstutisjonerikke sensit iv

KontorLokalnett

FrittståendePC

KonsesjonsområdeASA

Brannmur

Brannmur

E-post-serverInternt/Eksternt

Adm. systemerNett-servere

Intranett Term Server

Sensitive systemerNett-servere

Faglige systemer

VLAN - Indresikkerhetsbarriere

Ruter

OT/ PP

Kontor

Sw itch

Fagsystemer

Brukere

Brukere

Sw itchSw itch

Internett

Telenor Teamco

SDS

Support

Kryptert

IT-avdelingen transformerer

Til……..

Fra……..

Bruker Bruker Bruker Bruker

Applikasjons-utvikling

Brukerstøtte Drift

“Call”senter

Eksterneleverandører

Forbedringsorientering

Hva er ”deminghjulet”?Finnes det noe annet enn alt eller ingenting?

Forbedringsprosessen

Kompetanseoverført gjennomføring

Vurdering av resultater

Avgrensning og identifisering

Faktainnsamling

Nåsituasjonsanalyse

Etablere og re-etablere målekriterier (KPI)

Monitorering

Identifisere og etablere tiltak

Gjennomføre

Planlegge

Kontrollere

Handle Kon

tinue

rlig

forb

edrin

g

Omforent avgrensningsdokument

Beskrive faktorer pr. aktivitet

Dokumentert nåsituasjon

Gjennomføring og dokumentasjon av tiltak

Vurdere eksisterende og ny målekriterier

Dokumentert måleresultater

Dokumenterte vurderinger

Omfang

Hva

Hvor er vi?

Hvor vil vi?

Over tid

Trender

LeveranserProsessledelseArbeidsgjennomføring

Aktuell tilstand ved delmål 1

Start / fastsette Målsetting og hovedplan

Mål – kontinuerlig forbedring

Revidert delmål 1

Tiltak

Revidert delmål 2

Tiltak

Måloppnåelse – revisjon - korrigering

Avvik

Tid

Delmål 1 - bedre kontroll

Delmål 2 - full kontroll

Delmål 3 - perfeksjoneringAktuell tilstand ved delmål 3

TUSEN TAKK FOR OPPMERKSOMHETEN

Spørsmål?