klister - västkom...klister kartlÄggning informationssÄkerhet i kommuner institutionen fÖr...
TRANSCRIPT
-
Bild 1
KLISTER KARTLÄGGNING
INFORMATIONSSÄKERHET I KOMMUNER
I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I , H Ö G S K O L A N S K Ö V D E
Rose-Mharie Åhlfeldt
Eva Söderström
Marcus Nohlberg
Joeri van Laere
Christian Lennerholt
Metod och resultat
-
Bild 2
PROJEKTGRUPP HÖGSKOLAN I SKÖVDE
Rose-Mharie Åhlfeldt
Informations-säkerhet
Ledning och styrning
Eva SöderströmInformations-
säkerhet, Trust, E-tjänster
Marcus Nohlberg
Informations-säkerhet, Social
enginering, Forensic
Christian LennerholtDatabaser,
IT-utveckling
Joeri Van LaereKrishantering, Informations-
hantering
-
Bild 3
• Information är ett av våra viktigaste
arbetsverktyg.
• Ingen information – ingen fungerande
verksamhet.
• God och säker informationshantering är
därför en verksamhets- och kvalitetsfråga.
VARFÖR INFORMATIONSSÄKERHET?
-
Bild 4
• Sveriges kommuner hanterar en betydande del av samhällets tjänster
• Kommunernas informationsförsörjning är blir därför en kritisk del i samhällets informationssäkerhet
• För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt
(Informationssäkerhet i kommuner, MSB 2012)
INFORMATIONSHANTERING I
KOMMUNER
-
Bild 5
INFORMATIONSSÄKERHETSMODELLEN
-
Bild 6
KARTLÄGGNING INFORMATIONSSÄKERHET
-
Bild 7
• GAP-analys
• Analyserar gapet mellan det nuvarande läget mot kraven i
standarden (ISO/IEC 27001 och 27002)
• Ger en helhetsbild över informationssäkerhetsnivån i kommunens
verksamhet baserat på en vedertagen/jämförbar ”best practice”
• Är en viktig (omfattande) del i den grundläggande analysen för ett
införande av ett ledningssystem för informationssäkerhet (LIS).
METOD FÖR KARTLÄGGNING
-
Bild 8
METODSTÖD FÖR LIS
-
Bild 9
GAP-ANALYS
-
Bild 10
Identifiera kunskapskällor
• Befintliga dokument
• Utse nyckelpersoner/roller för intervjuer
Dokumentera nuläget
• Platsbesök, intervjuer
Dokumentera förbättringsförslag
• Handlingsplan för åtgärder
GAP-ANALYS
-
Bild 11
FORSKNINGSUTBLICK
-
Bild 12
• Utvärdera utifrån ett tillstånd
• Olika funktioner / roller i en verksamhet
• Baserat på olika kriterier och mål
• Nivåer på “skydd”: D, C1, C2, B1, B2, A1. D= minimalt skydd,
A=bra skydd.
• Utvärdera genom jämförelse
• Utifrån givna standarder
• Hur gör andra?
FORSKNINGSUTBLICK ÖVER
METODER FÖR KARTLÄGGNING
(Solms, 2012)
(Tu & Yuan, 2014)
(Lopes & Oliveira, 2015)
-
Bild 13
• Matriser
• Ger helhetssyn på vilka nivåer som är uppfyllda och vilka
brister som finns
• Verksamhetens struktur
• Organisatorisk support
• Medvetenhet: utbildning av anställda
• IT-kompetens: rent generellt
VERKTYG FÖR KARTLÄGGNING AV
INFORMATIONSSÄKERHET
(Behnia & Rashid, 2012)
(Solms, 2012)
(Tu & Yuan, 2014)
(Lopes & Oliveira, 2015)
-
Bild 14
• Mindre enkäter
• Inför nya policies
• Saknar “riktiga” IT-verktyg
VERKTYG FÖR KARTLÄGGNING AV
INFORMATIONSSÄKERHET
(Behnia & Rashid, 2012)
(Solms, 2012)
(Tu & Yuan, 2014)
(Lopes & Oliveira, 2015)
-
Bild 15
• Hur översätts GAP-analysens frågebatteri till ett IT-stöd?
• Kommunanpassa frågorna: hur påverkar det IT-stödet?
• Förändras arbetsprocessen med kartläggningen om ett IT-stöd
används? Hur?
VÅRT FÖRENKLADE IT-STÖD -
UTMANINGAR
-
Bild 16
DEMO
-
Bild 17
• Processbaserat IT-stöd
• Utifrån olika roller
• Säkerhetskrav kopplade till IT-stödet
• Förslag på frågor som är intressanta för respektive roll
FÖRBÄTTRINGSFÖRSLAG
-
Bild 18
Behnia, A., Rashid, R.A and Chandry, J.A, 2012. A Survey of Information Security
Risk Analysis Methods. Smart Computing Review, Vol.2, No.1.
Lopes, I and Oliveira, P, 2015. Implementation of Information Security Olives: A
Survey in Small and Medium Sized Enterprises, New Contributions in Information
Systems and Technologies, Vol. 353, pp. 459-468.
Sols, R, 2012. Information Security Management: Processes and Metrics. Diss,
University of Johannesburg.
Tu, Z and Yuah, Y, 2014. Critical Success Factors, Analysis on Information Security
Management: A Literature Review, CSF Analysis on Effective Information Security
Management.
REFERENSER
-
Bild 19
KLISTERGENOMFÖRANDE OCH RESULTAT
-
Bild 20
Planering/Upplägg
• April - Aug
Genomförande
• Sep- Nov
Analys ochefterarbete
• Nov – Dec
Resultat-redovisning
• Januari 2016
PROJEKTPLAN
-
Bild 21
På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt,
Påskynda och öka arbetet med informationssäkerhet,
Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten,
Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs,
Få en fördjupad information om styrkor och svagheter i skyddet av information,
FÖRVÄNTAT RESULTAT KOMMUNER
-
Bild 22
Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område
Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt
Möjlighet till produktifiering av metod och förenklat it-stöd,
Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland
FÖRVÄNTAT RESULTAT ÖVRIGT
-
Bild 23
Styrgrupp
• Representanter från SSVIT, HiS, samt deltagande kommuner
Projektgrupp
• Intern grupp med HiS samt Skaraborgs kommunalförbund
• Extern grupp med ytterligare 2 representanter från deltagande
kommuner.
Referensgrupp
• Representanter från både deltagande kommuner i Skaraborg
samt övriga Västra Götaland.
ORGANISATION AV PROJEKTET
-
Bild 24
UTVECKLING METODSTÖD
-
Bild 25
UTVECKLING AV METODSTÖD
Utgångspunkter
• Befintlig GAP-analys i metodstödet
• Uppdaterad ISO 27002 standard
Hur uppdaterade vi GAP-analysen?
• Kritiska/ickekritiska åtgärder
• Kommunperspektiv (= fyra extra kritiska åtgärder)
• Identifiering av roller för respektive kartläggningsområde
• Samarbete med referensgruppen
Kravställning/utveckling av förenklat IT-stöd
-
Bild 26
KARTLÄGGNING - PILOTSTUDIE
-
Bild 27
KARTLÄGGNING - PILOTSTUDE
15 kommuner i Skaraborg
Mål: bidra till etablering av LIS i VGRs kommuner
Observera!
• Varje analys baseras på kommunernas självskattning och
analysledarnas subjektiva bedömningar och jämförelse kan
endast ske internt inom en kommun.
• Ett fokus har skett på skola, vård och social verksamhet
(duktiga men utsatta verksamheter).
-
Bild 28
Arbetssätt
Planering Genomförande Efterarbete
Uppdateringav metodstöd
Förberedelseav GAP-analys
Schemaläggningav besök
Förberedelseav GAP-analys
Inbokningav besök
ForskareReferensgrupp
Kommuner
Pilotstudie hos 15 kommuner
Analysförbere-delser utifrån
resultatet
Samman-ställning och förbättrings-åtgärder på
kommunnivå
Helhetsresultat och projekt-
dokumentation
Förbättrings-åtgärder
metodstöd
-
Bild 29
Bedömningen är graderad i fyra nivåer:
0 = Ingen efterlevnad
1 = Bristande efterlevnad
2 = Acceptabel efterlevnad
3 = Stor efterlevnad
Maxvärde: 3
Normvärde: 2
Kommunernas genomsnitt: 1,2
Bedömningsnivåer
-
Bild 30
-
Bild 31
RESULTAT PER DELOMRÅDE
Kartläggningsområde Snitt
Informationsäkerhetspolicy 0,8
Organisation av informationssäkerhet 0,9
Personalsäkerhet 1,1
Hantering av tillgångar 0,9
Styrning av åtkomst 1,7
Kryptering 0,2
Fysisk säkerhet 1,6
-
Bild 32
RESULTAT PER DELOMRÅDE
Kartläggningsområde Snitt
Driftsäkerhet 1,4
Kommunikationssäkerhet 1,9
Anskaffning, utveckling o underhåll av IS 1,3
Leverantösrelationer 1,2
Hantering av informationssäkerhetsincidenter 0,8
Kontinuitetshantering informationssäkerhet 1,1
Efterlevnad 1,2
-
Bild 33
• Informationssäkerhetspolicyn
• Organisation av informationssäkerhet - roller/ansvar
• Avsaknad av kompetens inom informationssäkerhetsområdet
• Hantering av informationstillgångar
• Regler för kryptering
• Incidenthantering
• Kontinuitetshantering
• Efterlevnad
• Formalisering av processer
• Befintliga system styr behov
BRISTER - ÖVERGRIPANDE
-
Bild 34
• Kommunikationssäkerhet
• Driften
• Styrning och åtkomst - dubbelbottnad
STYRKOR - ÖVERGRIPANDE
-
Bild 35
VAD BEHÖVER HÄNDA NU? (1 av 2)
Kommuner
• Regelverk och organisation av arbetet en prioritet
• Systematiskt och långsiktigt tänk – LIS-arbete
• Samarbete såväl inom kommuner som mellan kommuner
GAP-verktyg
• Vidare arbete med kommunanpassning
• Språkbruk och formuleringar
• Skalbarhet gällande kommunstorlek och komplexitet
-
Bild 36
Forskare
• Sprida resultat till forskarsamhället
• Fördjupa pilotstudien och dess resultat
• Förbättra både standard och metod
• Resurser i att stärka kommunernas eget arbete
VAD BEHÖVER HÄNDA NU (2 av 2)
-
Bild 37
Rose-Mharie Åhlfeldt, [email protected]
Maria Nilsson, [email protected] Skaraborgs kommunalförbund
Mer information om projektethttp://www.vastkom.se/samverkansomraden/esamhallet/gemensammafunktionerochtjanster/informationssakerhet/metodstodgapanalys.4.455606ea14bccfd925216c8b.html
KONTAKT
mailto:[email protected]:[email protected]://www.vastkom.se/samverkansomraden/esamhallet/gemensammafunktionerochtjanster/informationssakerhet/metodstodgapanalys.4.455606ea14bccfd925216c8b.html
-
Bild 38
DISKUSSION I BIKUPOR
-
Bild 39
• Varje bord har 3 frågor (delvis samma frågor men i annan ordning)
• Ni har totalt 20 minuter diskussionstid
• Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar
• För varje fråga:
• ta ett snabbt varv runt bordet (så att alla kommer till tals)
• skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst
• välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret !!)
• Jag påminner om 10 minuter att det dags att byta till nästa fråga
BIKUPA - INSTRUKTIONER
-
Bild 40
Hur kan olika kommuner samverka med varandra när ni utvecklar och
förbättrar informationssäkerheten?
Hur skapas ett brett engagemang i en organisation för att förbättra
informationssäkerheten?
Vilken aspekt av informationssäkerhet är viktigast att åtgärda först,
när en kommun har en bristfällig utvärdering på de flesta områdena?
BIKUPA - DISKUSSIONSFRÅGOR
-
Bild 41
• Varje bord har 3 frågor (delvis samma frågor men i annan ordning)
• Ni har totalt 20 minuter diskussionstid
• Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar
• För varje fråga:
• ta ett snabbt varv runt bordet (så att alla kommer till tals)
• skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst
• välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret !!)
• Jag påminner om 10 minuter att det dags att byta till nästa fråga
BIKUPA - INSTRUKTIONER
-
Bild 42
PANELDEBATT
-
Bild 43
Nämn ett ”plus” och ett ”minus” med den använda metoden (GAP-
analys) för kartläggning.
FRÅGA FÖR PANELEN
-
Bild 44
GAP-analysen är en självskattningsmetod. Hur ser ni på det?
Lägger man sig högre eller lägre än verkligheten?
FRÅGA FÖR PANELEN
-
Bild 45
Har genomförandet av GAP-analysen redan gett en effekt i er
organisation, i så fall vilken?
FRÅGA FÖR PANELEN
-
Bild 46
”Fråga från salen”
FRÅGA FÖR PANELEN
-
Bild 47
Hur kan GAP-analysen förbättras bäst om ni bara får ge ett förslag?
FRÅGA FÖR PANELEN
-
Bild 48
Vid genomförandet av GAP-analysen har både enskilda
intervjuer och gruppintervjuer tillämpats.
Vad är för- och nackdelar med dessa metoder?
FRÅGA FÖR PANELEN
-
Bild 49
Vad tyckte de som deltog i GAP-analysens genomförande?
FRÅGA FÖR PANELEN
-
Bild 50
”fråga från salen”
FRÅGA FÖR PANELEN
-
Bild 51
Samstämmer den bild som analysen/rapporten ger med den uppfattning
som ni hade innan om informationssäkerhet i er organisation?
• Om JA => ska men ändå göra en sådan analys?
• Om NEJ => vad var största överraskningen för er/dig?
FRÅGA FÖR PANELEN
-
Bild 52
Vad kommer er organisation göra med utfallet av GAP-analysen
• på kort sikt (innan midsommar 2016)
• och på långsikt (därefter)?
FRÅGA FÖR PANELEN
-
Bild 53
Vad är största hindret/utmaningen för er i att bli bättre på
informationssäkerhet?
FRÅGA FÖR PANELEN
-
Bild 54
Vilka tänka-på-tips skulle du vilja skicka med till de som står inför
ett genomförande av en GAP-analys?
FRÅGA FÖR PANELEN
-
Bild 55
”Fråga från salen”
FRÅGA FÖR PANELEN
-
Bild 56
DISKUSSION:
HUR GÅR VI VIDARE?
-
Bild 57
Tillsammans ska vi hitta:
• Tre konkreta exempel som kommunerna kan samverka kring
• Tre förbättringsåtgärder som kommunerna behöver extern hjälp kring
• Tre viktiga framgångsfaktorer för arbetet med informationssäkerhet
• Tre stora hinder för arbetet med informationssäkerhet
• Tre förslag på ev förbättring av metoden för GAP-analys
Slutligen ska vi identifiera:
• Vad ska vi som konferensdeltagarna berätta om denna dag imorgon på vår
arbetsplats under fikat?
HUR GÅR VI VIDARE?