Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver

Liknende presentasjoner


Presentasjon om: "Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver"— Utskrift av presentasjonen:

1 Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver

2 Temaer •Trender 2002 – 2007 (2002 reelle tall) •Er det sammenheng mellom standarder? •Typiske oppdrag •Hvordan arbeide med: –Ledergruppen –Organisasjonen –IT-avdelingen •Forbedringsorientering

3 Reklamen finner dere på:

4 Konsulentprofil •Utdannelse –HIS/elektronikk –Høyskolekandidat BI •Yrkeserfaring –Konsulent –Rådgiver –Informasjonssikkerhetssjef –Divisjonsdirektør •Media og foredrag –Seminarer/konferanser –Artikkelforfatter –Verifiserer reportasjer •Prosjekter offentlig sektor –Forsvaret –Departementer –Etater –Riksrevisjonen –6 av 10 største kommuner –Helseregioner/helseforetak •Prosjekter privat sektor –CORUS –GARD –Bank/forsikring –”Pro bono”

5 Trender Er det noen fremtid i dette her da? Hva er det IT-sjefer ser etter når de lager budsjetter?

6 Kategorier 2002 – 2007 (verden) CAGR (2002 – 2007): Information Security: 19.1% Business continuity: 8.4% Infrastructure: 13.1%

7 Segment Information Security 2002 – 2007 (verden) CAGR (2002 – 2007): Services: 20,7% Software: 15,8% Hardware: 21,2%

8 Information Security Services 2002 – 2007 (verden) CAGR (2002 – 2007): Consulting: 20,0% Implementation:21,6% Security management:22,1% Education/training:16,7%

9 Information Security Software 2002 – 2007 (verden) CAGR (2002 – 2007): 3As: 15,3% Firewall: 5,8% Sec. Cont. management: 18,8% Intrusion detection: 16,4%

10 Information Security Hardware 2002 – 2007 (verden) CAGR (2002 – 2007): Firewall/VPN: 14,6% Biometrics:16,1% Token smart cards:15,0% Other:28,0%

11 Sammenhenger Hva må man kunne? Ser virksomheter etter synergieffekter?

12 Tre viktige sammenhenger! ISO 9001:2000 BS (ITIL) ISO BS 7799 Strategi Styring Prosess Forbedring Læring

13 Typiske oppdrag Hvilke oppdrag utføres i dag av konsulenter?

14 Strategi Risikohåndtering Risikoanalyser Organisering Opplæring Forståelse Lover/regler Kartlegging GAP analyser Kvalitetsrevisjon Prosedyrer Prosesser Kontinuitetsplaner RådgivningEndringsledelse / Prosjektledelse Bistand anskaffelse Leverandørvalg Evaluering tilbud Ledelse Mngt for hire Prosess-/prosjektrevisjon Risikoanalyser Drift Fjerndrift IT-sikkerhet ERT-tjenester ”På stedet drift” Penetrasjonstesting Teknologi revisjoner Hendelseshåndtering Rammeverk BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814 Teknisk plattform Symantec, HP, IBM, Oracle, ”Freeware”, MicrosoftForretningRealiseringForvaltning Arkitektur Design IT-sikkerhetsarkitektur Programvaresalg Maskinvaresalg IT-sikkerhetspolicy ”IT-sikk. Roadmaps” Implementering Oppdragstyper som konsulent

15 Ledergruppen Hvordan jobber ledelsen? Hvordan forstår ledelsen informasjonssikkerhet?

16 Konsekvens Svært sannsynlig Sannsynlig Mindre sannsynlig Lite sannsynlig LitenMiddelsKatastrofaleStore Sannsynlighet Risikostyring Risikoområder: Nr 1: Ressurser Nr 2: Hjelpeverktøy Nr 3: Organisering Nr 4: Kjøling på datarom Nr 5: Kunnskap om HA løsning

17 Basis ROI modell ( Σ N År=1 + Forventede strategiske tilbakebetaling per år ) Forventede kvantiserbar tilbakebetaling av investering per år** Kostnader per år* Kjernevirksomhet - Direkte systemkostnader per år - Vedlikeholdskostnader per år - Finansieringskostnader per år - Konsulentkostnader per år - CONC – Skjulte kostnader - Opplæring -….. * - Direkte tilbakebetalinger - Indirekte tilbakebetalinger ** Bruk korrigeringsfaktorer (ikke alle besparelser eller forbedringer vil bli benyttet)

18 Hvordan gjennomføre ROI Undersøk ROI potensialet Hvor mange?Hvor ofte? Dyr prosess?Gjenbruk? Samarbeid? Kostnader som må tas med: - direkte tilknyttet prosjektet - drevet av prosjektet Engangskost.Løpende kost. Fordeler ROI formel Tilbakebetalingsperiode Innsamling informasjonKalkulasjon

19 Eksempel: Hendelsesprosess + service desk (1/2) Undersøk ROSMI potensialet brukere hendelser pr år - Opprettelsestid 10 min - Finne rett person tar 5 min - Lite gjenbruk av løsninger - Lite kommunikasjon i drift - 8 dager pr år i rapportering Kalkulasjon Kvanitifiserbare gevinster: Nåtid – fremtid bruk av tid Kostnader: Konsulentbruk + prog. vare + lisensavgifter Strategiske tilbakebetaling: Vi mangler strategier, derfor ikke medtatt Innsamling informasjon - 150,- pr time pr ansatt arbeidsdager pr år ,- i helpdesksystem i lisensavgifter ,- i konsulent - Tilbakebetaling etter 2 år Forventede fordeler: - 5 min reduksjon i løsning - 4 min mindre ventetid - 4 dager mindre tid på rapportering

20 Eksempel: Hendelsesprosess + service desk (2/2) Kvantifiserbare gevinster Nå tid kostnader pr år: 5000 * 10/60 * 150,- = , * 5/60 * 150,- = ,- 8 * 8 *150,- = 9.600,- Forventet fremtidig kostnad pr år: 5000 * 5/60 * 150,- = , * 1/60 *150,- = ,- 4 * 8 * 150,-= 4.800,- Brutto kvantifiserbar gevinst pr år: ( ) – ( ) = ,- Kostnader Initielle kostnader: , ,- = ,- n år: ,- ROSMI analyse Netto første år: – 0 = Netto andre og tredje år: – = ROSMI er da: ( ( *2))/3/ = 0,74 Dette betyr at prosjektet forventes å ha 74% avkastning

21 Sikkerhet og IKT-strategi •IKT-anvendelser –Beskrivelse av hva virksomheten skal benytte IKT til og forventningsnivåer –Støttes overordnede planer, strategier og visjoner? •Organisasjon –Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT- anvendelser •Sikkerhet –Hvilke sikkerhetstiltak må innføres for å sikre ”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet •Kommunikasjonsarkitektur –Hvilken arkitektur er valgt for å støtte ansatte i elektronisk kommunikasjon gjennom IKT anvendelser •Systemarkitektur –Støttes den underliggende systemarkitekturen kommunikasjonsarkitekturen •Teknisk infrastruktur –Støttes arkitektur gjennom de valg og implementeringer som er utført? Forretningsplaner/ Virksomhetsplaner IKT-anvendelser Sikkerhet Organisasjon Kommunikasjon arkitektur System arkitektur Teknisk infrastruktur IKT-strategi

22 ROI koblet til IKT-strategi •Mål IKT skal bidra med å nå •Strategier for hver ”modul” –Strateginavn –Argument/begrunnelse –Strategiske fokusområder –Eventuell kommentar –(Forventninger) ….. Strategi 2 (Org.) Strategi 1 (IKT-anv.) ROI (Kr.) Effekt. (kr.) Servic e (%) Strategi (navn) Måltabell Prosessmodell

23 Organisasjonen Hvordan skape eierskap og forståelse? Hvordan opprette og vedlikeholde gode holdninger?

24 Risikoanalyser skaper forståelse Sannsynlighet Konsekvens Aksepttabell Prioritert tiltaksplan: • Identifiserte tiltak mot hendelser • Beregnet risiko overstiger grenseverdi

25 Mål, strategier, krav Risikoanalyse Identifisere risikoområder Konsekvens- analyse SårbarhetsanalyseTrussel analyse Risikoanalyse Risikokontroll OverføreRedusereForebyggeUnngå Risikofinansiering Selvfinansiering Tradisjonell finansiering SelvassuranseFinansiell forsikring Oppfølging og evaluering Akseptabel risiko Uakseptabel risiko NS 5814: Gjennomføring risikoanalyse

26 Forståelse skaper holdninger •Fra: • Til: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

27 Enkel kommunikasjon sikrer holdninger

28

29 Prosesser og prosedyrer dersom… AnsvarStillingDatoSignatur UtformingHvem har laget prosedyren? GodkjenningHvem har godkjent prosedyren? DokumenteierHvem er eier av prosedyren? GjennomføringHvem skal utføre prosedyren? Beskrivelse Formål•Hvorfor har man denne prosedyren? Punktliste da dette letter lesningen? Henvisninger•Henvisninger til overliggende dokumentasjon, tilhørende sjekklister, sideordnede prosedyrer etc. Punktliste da dette letter lesningen. Omfang•Hva favner prosedyren om? KORTFATTET BESKRIVELSE. HENVIS DERSOM MAN MÅ SKRIVE TEKST FRA ANDRE DOKUMENTER

30 Prosesser og prosedyrer dersom… Nr.HandlingAnsvarligNår 1•Hva skal gjøres først? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! Hvem utfører?Når utføres 2•Hva skal gjøres etter første handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! Hvem utfører?Når utføres 3•Hva skal gjøres etter andre handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! Hvem utfører?Når utføres 4•Hva skal gjøres etter tredje handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! Hvem utfører?Når utføres 5OSV

31 IT-avdelingen Hvilket teknologi fokus er det i dag? Hvordan vil fremtidig driftsfokusering være?

32 IT-avd. vil alltid tenke på teknologi

33 IT-avdelingen transformerer Til…….. Fra…….. Bruker Applikasjons- utvikling Applikasjons- utvikling Brukerstøtte Drift “Call” senter “Call” senter Eksterne leverandører Eksterne leverandører

34 Forbedringsorientering Hva er ”deminghjulet”? Finnes det noe annet enn alt eller ingenting?

35 Forbedringsprosessen

36 Kompetanseoverført gjennomføring Vurdering av resultater Avgrensning og identifisering Faktainnsamling Nåsituasjonsanalyse Etablere og re-etablere målekriterier (KPI) Monitorering Identifisere og etablere tiltak Gjennomføre Planlegge Kontrollere Handle Kontinuerlig forbedring Omforent avgrensningsdokument Beskrive faktorer pr. aktivitet Dokumentert nåsituasjon Gjennomføring og dokumentasjon av tiltak Vurdere eksisterende og ny målekriterier Dokumentert måleresultaterDokumenterte vurderinger Omfang Hva Hvor er vi? Hvor vil vi? Over tid Trender LeveranserProsessledelseArbeidsgjennomføring

37 Aktuell tilstand ved delmål 1 Start / fastsette Målsetting og hovedplan Mål – kontinuerlig forbedring Revidert delmål 1 Tiltak Revidert delmål 2 Tiltak Måloppnåelse – revisjon - korrigering Avvik Tid Delmål 1 - bedre kontroll Delmål 2 - full kontroll Delmål 3 - perfeksjonering Aktuell tilstand ved delmål 3

38 TUSEN TAKK FOR OPPMERKSOMHETEN Spørsmål?


Laste ned ppt "Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver"

Liknende presentasjoner


Annonser fra Google