Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com.

Presentasjon om: "Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com."— Utskrift av presentasjonen:

1 Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004
Tomas M. Huseby, Senior Rådgiver

2 Temaer Trender 2002 – 2007 (2002 reelle tall)
Er det sammenheng mellom standarder? Typiske oppdrag Hvordan arbeide med: Ledergruppen Organisasjonen IT-avdelingen Forbedringsorientering

3 Reklamen finner dere på:

4 Konsulentprofil Utdannelse Yrkeserfaring Media og foredrag
HIS/elektronikk Høyskolekandidat BI Yrkeserfaring Konsulent Rådgiver Informasjonssikkerhetssjef Divisjonsdirektør Media og foredrag Seminarer/konferanser Artikkelforfatter Verifiserer reportasjer Prosjekter offentlig sektor Forsvaret Departementer Etater Riksrevisjonen 6 av 10 største kommuner Helseregioner/helseforetak Prosjekter privat sektor CORUS GARD Bank/forsikring ”Pro bono”

5 Trender 2003 - 2007 Er det noen fremtid i dette her da?
Hva er det IT-sjefer ser etter når de lager budsjetter?

6 Kategorier 2002 – 2007 (verden) CAGR (2002 – 2007):
Information Security: 19.1% Business continuity: 8.4% Infrastructure: 13.1%

7 Segment Information Security 2002 – 2007 (verden)
CAGR (2002 – 2007): Services: 20,7% Software: 15,8% Hardware: 21,2%

8 Information Security Services 2002 – 2007 (verden)
CAGR (2002 – 2007): Consulting: 20,0% Implementation: 21,6% Security management: 22,1% Education/training: 16,7%

9 Information Security Software 2002 – 2007 (verden)
CAGR (2002 – 2007): 3As: ,3% Firewall: ,8% Sec. Cont. management: 18,8% Intrusion detection: ,4%

10 Information Security Hardware 2002 – 2007 (verden)
CAGR (2002 – 2007): Firewall/VPN: 14,6% Biometrics: 16,1% Token smart cards: 15,0% Other: 28,0%

11 Hva må man kunne? Ser virksomheter etter synergieffekter?
Sammenhenger Hva må man kunne? Ser virksomheter etter synergieffekter?

12 Tre viktige sammenhenger!
BS (ITIL) Strategi Styring Prosess Forbedring Læring ISO 17799 BS 7799 ISO 9001:2000

13 Hvilke oppdrag utføres i dag av konsulenter?
Typiske oppdrag Hvilke oppdrag utføres i dag av konsulenter?

14 Oppdragstyper som konsulent
Strategi Risikohåndtering Risikoanalyser Organisering Opplæring Forståelse Lover/regler Kartlegging GAP analyser Kvalitetsrevisjon Prosedyrer Prosesser Kontinuitetsplaner Rådgivning Endringsledelse / Prosjektledelse Bistand anskaffelse Leverandørvalg Evaluering tilbud Ledelse Mngt for hire Prosess-/prosjektrevisjon Drift Fjerndrift IT-sikkerhet ERT-tjenester ”På stedet drift” Penetrasjonstesting Teknologi revisjoner Hendelseshåndtering Rammeverk BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814 Teknisk plattform Symantec, HP, IBM, Oracle, ”Freeware”, Microsoft Forretning Realisering Forvaltning Arkitektur Design IT-sikkerhetsarkitektur Programvaresalg Maskinvaresalg IT-sikkerhetspolicy ”IT-sikk. Roadmaps” Implementering

15 Ledergruppen Hvordan jobber ledelsen?
Hvordan forstår ledelsen informasjonssikkerhet?

16 Risikostyring Risikoområder: Konsekvens Svært sannsynlig Sannsynlig
Mindre sannsynlig Lite sannsynlig Liten Middels Katastrofale Store Sannsynlighet 4 1 2 3 5 Risikoområder: Nr 1: Ressurser Nr 2: Hjelpeverktøy Nr 3: Organisering Nr 4: Kjøling på datarom Nr 5: Kunnskap om HA løsning

17 ( ) Σ + Basis ROI modell ** Kjernevirksomhet N År=1 *
Bruk korrigeringsfaktorer (ikke alle besparelser eller forbedringer vil bli benyttet) - Direkte tilbakebetalinger - Indirekte tilbakebetalinger ** ( Σ N År=1 + Forventede strategiske tilbakebetaling per år ) Forventede kvantiserbar tilbakebetaling av investering per år** Kostnader per år* Kjernevirksomhet Direkte systemkostnader per år Vedlikeholdskostnader per år Finansieringskostnader per år Konsulentkostnader per år CONC – Skjulte kostnader Opplæring ….. *

18 Hvordan gjennomføre ROI
Undersøk ROI potensialet Innsamling informasjon Hvor mange? Hvor ofte? Dyr prosess? Gjenbruk? Samarbeid? Kalkulasjon Kostnader som må tas med: direkte tilknyttet prosjektet drevet av prosjektet Engangskost. Løpende kost. Fordeler ROI formel Tilbakebetalingsperiode

19 Eksempel: Hendelsesprosess + service desk (1/2)
Undersøk ROSMI potensialet 500 brukere 5000 hendelser pr år Opprettelsestid 10 min Finne rett person tar 5 min Lite gjenbruk av løsninger Lite kommunikasjon i drift 8 dager pr år i rapportering Innsamling informasjon 150,- pr time pr ansatt 200 arbeidsdager pr år ,- i helpdesksystem i lisensavgifter 50.000,- i konsulent Tilbakebetaling etter 2 år Forventede fordeler: 5 min reduksjon i løsning 4 min mindre ventetid 4 dager mindre tid på rapportering Kalkulasjon Kvanitifiserbare gevinster: Nåtid – fremtid bruk av tid Kostnader: Konsulentbruk + prog. vare + lisensavgifter Strategiske tilbakebetaling: Vi mangler strategier, derfor ikke medtatt

20 Eksempel: Hendelsesprosess + service desk (2/2)
Kvantifiserbare gevinster Nå tid kostnader pr år: 5000 * 10/60 * 150,- = ,- 5000 * 5/60 * 150,- = ,- 8 * 8 *150,- = 9.600,- Forventet fremtidig kostnad pr år: 5000 * 1/60 *150,- = ,- 4 * 8 * 150,-= ,- Brutto kvantifiserbar gevinst pr år: ( ) – ( ) = ,- Kostnader Initielle kostnader: 50.000, ,- = ,- n år: 10.000,- ROSMI analyse Netto første år: – 0 = Netto andre og tredje år: – = ROSMI er da: ( ( *2))/3/ = 0,74 Dette betyr at prosjektet forventes å ha 74% avkastning

21 Sikkerhet og IKT-strategi
IKT-anvendelser Beskrivelse av hva virksomheten skal benytte IKT til og forventningsnivåer Støttes overordnede planer, strategier og visjoner? Organisasjon Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT-anvendelser Sikkerhet Hvilke sikkerhetstiltak må innføres for å sikre ”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet Kommunikasjonsarkitektur Hvilken arkitektur er valgt for å støtte ansatte i elektronisk kommunikasjon gjennom IKT anvendelser Systemarkitektur Støttes den underliggende systemarkitekturen kommunikasjonsarkitekturen Teknisk infrastruktur Støttes arkitektur gjennom de valg og implementeringer som er utført? Forretningsplaner/ Virksomhetsplaner IKT-anvendelser Sikkerhet Organisasjon Kommunikasjon arkitektur System Teknisk infrastruktur IKT-strategi

22 ROI koblet til IKT-strategi
Mål IKT skal bidra med å nå Strategier for hver ”modul” Strateginavn Argument/begrunnelse Strategiske fokusområder Eventuell kommentar (Forventninger) ….. Strategi 2 (Org.) Strategi 1 (IKT-anv.) ROI (Kr.) Effekt. (kr.) Service (%) Strategi (navn) Måltabell Prosessmodell

23 Organisasjonen Hvordan skape eierskap og forståelse?
Hvordan opprette og vedlikeholde gode holdninger?

24 Risikoanalyser skaper forståelse
Sannsynlighet 1 2 3 4 5 Prioritert tiltaksplan: Identifiserte tiltak mot hendelser Beregnet risiko overstiger grenseverdi 5 5 10 15 20 25 Tiltaksplanen er oppført med prioritet i forhold til hvilken risikoverdi hendelsen har fått. Der hvor flere hendelser har samme tiltak men med forskjellig verdi er disse slått sammen. Tiltaket får da prioriteten til den hendelsen med lavest verdi. Risikoverdi = pri. 1 Risikoverdi = pri. 2 Risikoverdi = pri. 3 Risikoverdi 8-9 = pri. 4 Risikoverdi 5-6 = pri. 5 4 4 8 12 16 20 Konsekvens 3 3 6 9 12 15 2 2 4 6 8 10 1 1 2 3 4 5 Aksepttabell

25 NS 5814: Gjennomføring risikoanalyse
Mål, strategier, krav Risikoanalyse Identifisere risikoområder Konsekvens-analyse Sårbarhetsanalyse Trussel analyse Risikokontroll Overføre Redusere Forebygge Unngå Risikofinansiering Selvfinansiering Tradisjonell finansiering Selvassuranse Finansiell forsikring Oppfølging og evaluering Akseptabel risiko Uakseptabel risiko NS 5814: Gjennomføring risikoanalyse

26 Forståelse skaper holdninger
Fra: ? Til:

27 Enkel kommunikasjon sikrer holdninger

28 Enkel kommunikasjon sikrer holdninger

29 Prosesser og prosedyrer dersom…
Ansvar Stilling Dato Signatur Utforming Hvem har laget prosedyren? Godkjenning Hvem har godkjent prosedyren? Dokumenteier Hvem er eier av prosedyren? Gjennomføring Hvem skal utføre prosedyren? Beskrivelse Formål Hvorfor har man denne prosedyren? Punktliste da dette letter lesningen? Henvisninger Henvisninger til overliggende dokumentasjon, tilhørende sjekklister, sideordnede prosedyrer etc. Punktliste da dette letter lesningen. Omfang Hva favner prosedyren om? KORTFATTET BESKRIVELSE. HENVIS DERSOM MAN MÅ SKRIVE TEKST FRA ANDRE DOKUMENTER

30 Prosesser og prosedyrer dersom…
Nr. Handling Ansvarlig Når 1 Hva skal gjøres først? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! Hvem utfører? Når utføres 2 Hva skal gjøres etter første handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! 3 Hva skal gjøres etter andre handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! 4 Hva skal gjøres etter tredje handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! 5 OSV

31 IT-avdelingen Hvilket teknologi fokus er det i dag?
Hvordan vil fremtidig driftsfokusering være?

32 IT-avd. vil alltid tenke på teknologi

33 IT-avdelingen transformerer
Fra…….. Bruker Applikasjons- utvikling Brukerstøtte Drift “Call” senter Eksterne leverandører Til…….. Vi tror at bedriftenes fremtidige IT-avdelinger vil være laget i midten på figuren over - Tjenesteyteren. Mye teknikk vil etterhvert bli like uinteressant som telefon og fax. Spesielt komplisert teknikk vil bli satt bort til spesialister, som man f.eks. setter bort WAN-tjenester i dag. Men det som er viktig vil bli beholdt, nemlig det å styre og overvåke tjenestene vertikalt i modellen over, d.v.s. full kontroll fra minste tekniske detalj til ytterste bruker (og kunde) uten selv å måtte utføre alle arbeidsoperasjoner. For å få dette til må IT-avdelingen begynne å tenke nytt, og kanskje gi fra seg noe av teknikken til underleverandører som gjør dette bedre og mer effektivt, men som IT-avdelingen har full kontroll på. Man må bli mer prosessorientert! IT-aktiviteter skal være en følge av brukernes behov for IT-tjenester - og bare det. Kunden har alltid rett!

34 Forbedringsorientering
Hva er ”deminghjulet”? Finnes det noe annet enn alt eller ingenting?

35 Forbedringsprosessen

36 Kompetanseoverført gjennomføring
Arbeidsgjennomføring Prosessledelse Leveranser Gjennomføre Planlegge Kontrollere Handle Avgrensning og identifisering Omforent avgrensningsdokument Omfang Faktainnsamling Beskrive faktorer pr. aktivitet Hva Nåsituasjonsanalyse Dokumentert nåsituasjon Hvor er vi? Identifisere og etablere tiltak Gjennomføring og dokumentasjon av tiltak Hvor vil vi? Kontinuerlig forbedring Etablere og re-etablere målekriterier (KPI) Vurdere eksisterende og ny målekriterier Monitorering Dokumentert måleresultater Over tid Vurdering av resultater Dokumenterte vurderinger Trender

37 Måloppnåelse – revisjon - korrigering
Start / fastsette Målsetting og hovedplan Mål – kontinuerlig forbedring Avvik Tid Delmål 1 - bedre kontroll Delmål 2 - full kontroll Delmål 3 - perfeksjonering Aktuell tilstand ved delmål 3 Revidert delmål 2 Tiltak Revidert delmål 1 Tiltak Aktuell tilstand ved delmål 1

38 TUSEN TAKK FOR OPPMERKSOMHETEN
Spørsmål?