Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com

Temaer Trender 2002 – 2007 (2002 reelle tall) Er det sammenheng mellom standarder? Typiske oppdrag Hvordan arbeide med: Ledergruppen Organisasjonen IT-avdelingen Forbedringsorientering

Reklamen finner dere på: www.scandpower.com

Konsulentprofil Utdannelse Yrkeserfaring Media og foredrag HIS/elektronikk Høyskolekandidat BI Yrkeserfaring Konsulent Rådgiver Informasjonssikkerhetssjef Divisjonsdirektør Media og foredrag Seminarer/konferanser Artikkelforfatter Verifiserer reportasjer Prosjekter offentlig sektor Forsvaret Departementer Etater Riksrevisjonen 6 av 10 største kommuner Helseregioner/helseforetak Prosjekter privat sektor CORUS GARD Bank/forsikring ”Pro bono”

Trender 2003 - 2007 Er det noen fremtid i dette her da? Hva er det IT-sjefer ser etter når de lager budsjetter?

Kategorier 2002 – 2007 (verden) CAGR (2002 – 2007): Information Security: 19.1% Business continuity: 8.4% Infrastructure: 13.1%

Segment Information Security 2002 – 2007 (verden) CAGR (2002 – 2007): Services: 20,7% Software: 15,8% Hardware: 21,2%

Information Security Services 2002 – 2007 (verden) CAGR (2002 – 2007): Consulting: 20,0% Implementation: 21,6% Security management: 22,1% Education/training: 16,7%

Information Security Software 2002 – 2007 (verden) CAGR (2002 – 2007): 3As: 15,3% Firewall: 5,8% Sec. Cont. management: 18,8% Intrusion detection: 16,4%

Information Security Hardware 2002 – 2007 (verden) CAGR (2002 – 2007): Firewall/VPN: 14,6% Biometrics: 16,1% Token smart cards: 15,0% Other: 28,0%

Hva må man kunne? Ser virksomheter etter synergieffekter? Sammenhenger Hva må man kunne? Ser virksomheter etter synergieffekter?

Tre viktige sammenhenger! BS 15000 (ITIL) Strategi Styring Prosess Forbedring Læring ISO 17799 BS 7799 ISO 9001:2000

Hvilke oppdrag utføres i dag av konsulenter? Typiske oppdrag Hvilke oppdrag utføres i dag av konsulenter?

Oppdragstyper som konsulent Strategi Risikohåndtering Risikoanalyser Organisering Opplæring Forståelse Lover/regler Kartlegging GAP analyser Kvalitetsrevisjon Prosedyrer Prosesser Kontinuitetsplaner Rådgivning Endringsledelse / Prosjektledelse Bistand anskaffelse Leverandørvalg Evaluering tilbud Ledelse Mngt for hire Prosess-/prosjektrevisjon Drift Fjerndrift IT-sikkerhet ERT-tjenester ”På stedet drift” Penetrasjonstesting Teknologi revisjoner Hendelseshåndtering Rammeverk BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814 Teknisk plattform Symantec, HP, IBM, Oracle, ”Freeware”, Microsoft Forretning Realisering Forvaltning Arkitektur Design IT-sikkerhetsarkitektur Programvaresalg Maskinvaresalg IT-sikkerhetspolicy ”IT-sikk. Roadmaps” Implementering

Ledergruppen Hvordan jobber ledelsen? Hvordan forstår ledelsen informasjonssikkerhet?

Risikostyring Risikoområder: Konsekvens Svært sannsynlig Sannsynlig Mindre sannsynlig Lite sannsynlig Liten Middels Katastrofale Store Sannsynlighet 4 1 2 3 5 Risikoområder: Nr 1: Ressurser Nr 2: Hjelpeverktøy Nr 3: Organisering Nr 4: Kjøling på datarom Nr 5: Kunnskap om HA løsning

( ) Σ + Basis ROI modell ** Kjernevirksomhet N År=1 * Bruk korrigeringsfaktorer (ikke alle besparelser eller forbedringer vil bli benyttet) - Direkte tilbakebetalinger - Indirekte tilbakebetalinger ** ( Σ N År=1 + Forventede strategiske tilbakebetaling per år ) Forventede kvantiserbar tilbakebetaling av investering per år** Kostnader per år* Kjernevirksomhet Direkte systemkostnader per år Vedlikeholdskostnader per år Finansieringskostnader per år Konsulentkostnader per år CONC – Skjulte kostnader Opplæring ….. *

Hvordan gjennomføre ROI Undersøk ROI potensialet Innsamling informasjon Hvor mange? Hvor ofte? Dyr prosess? Gjenbruk? Samarbeid? Kalkulasjon Kostnader som må tas med: direkte tilknyttet prosjektet drevet av prosjektet Engangskost. Løpende kost. Fordeler ROI formel Tilbakebetalingsperiode

Eksempel: Hendelsesprosess + service desk (1/2) Undersøk ROSMI potensialet 500 brukere 5000 hendelser pr år Opprettelsestid 10 min Finne rett person tar 5 min Lite gjenbruk av løsninger Lite kommunikasjon i drift 8 dager pr år i rapportering Innsamling informasjon 150,- pr time pr ansatt 200 arbeidsdager pr år 100.000,- i helpdesksystem 10.000 i lisensavgifter 50.000,- i konsulent Tilbakebetaling etter 2 år Forventede fordeler: 5 min reduksjon i løsning 4 min mindre ventetid 4 dager mindre tid på rapportering Kalkulasjon Kvanitifiserbare gevinster: Nåtid – fremtid bruk av tid Kostnader: Konsulentbruk + prog. vare + lisensavgifter Strategiske tilbakebetaling: Vi mangler strategier, derfor ikke medtatt

Eksempel: Hendelsesprosess + service desk (2/2) Kvantifiserbare gevinster Nå tid kostnader pr år: 5000 * 10/60 * 150,- = 125.000,- 5000 * 5/60 * 150,- = 62.550,- 8 * 8 *150,- = 9.600,- Forventet fremtidig kostnad pr år: 5000 * 1/60 *150,- = 12.450,- 4 * 8 * 150,-= 4.800,- Brutto kvantifiserbar gevinst pr år: (125.000 + 62.550 + 9.600) – (62.550 + 12.450 + 4.800) = 117.350,- Kostnader Initielle kostnader: 50.000,- + 100.000,- = 150.000,- n år: 10.000,- ROSMI analyse Netto første år: 117.350 – 0 = 117.350 Netto andre og tredje år: 117.350 – 10.000 = 107.350 ROSMI er da: (117.350 + (107.350*2))/3/150.000 = 0,74 Dette betyr at prosjektet forventes å ha 74% avkastning

Sikkerhet og IKT-strategi IKT-anvendelser Beskrivelse av hva virksomheten skal benytte IKT til og forventningsnivåer Støttes overordnede planer, strategier og visjoner? Organisasjon Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT-anvendelser Sikkerhet Hvilke sikkerhetstiltak må innføres for å sikre ”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet Kommunikasjonsarkitektur Hvilken arkitektur er valgt for å støtte ansatte i elektronisk kommunikasjon gjennom IKT anvendelser Systemarkitektur Støttes den underliggende systemarkitekturen kommunikasjonsarkitekturen Teknisk infrastruktur Støttes arkitektur gjennom de valg og implementeringer som er utført? Forretningsplaner/ Virksomhetsplaner IKT-anvendelser Sikkerhet Organisasjon Kommunikasjon arkitektur System Teknisk infrastruktur IKT-strategi

ROI koblet til IKT-strategi Mål IKT skal bidra med å nå Strategier for hver ”modul” Strateginavn Argument/begrunnelse Strategiske fokusområder Eventuell kommentar (Forventninger) ….. Strategi 2 (Org.) Strategi 1 (IKT-anv.) ROI (Kr.) Effekt. (kr.) Service (%) Strategi (navn) Måltabell Prosessmodell

Organisasjonen Hvordan skape eierskap og forståelse? Hvordan opprette og vedlikeholde gode holdninger?

Risikoanalyser skaper forståelse Sannsynlighet 1 2 3 4 5 Prioritert tiltaksplan: Identifiserte tiltak mot hendelser Beregnet risiko overstiger grenseverdi 5 5 10 15 20 25 Tiltaksplanen er oppført med prioritet i forhold til hvilken risikoverdi hendelsen har fått. Der hvor flere hendelser har samme tiltak men med forskjellig verdi er disse slått sammen. Tiltaket får da prioriteten til den hendelsen med lavest verdi. Risikoverdi 20-25 = pri. 1 Risikoverdi 15-16 = pri. 2 Risikoverdi 10-12 = pri. 3 Risikoverdi 8-9 = pri. 4 Risikoverdi 5-6 = pri. 5 4 4 8 12 16 20 Konsekvens 3 3 6 9 12 15 2 2 4 6 8 10 1 1 2 3 4 5 Aksepttabell

NS 5814: Gjennomføring risikoanalyse Mål, strategier, krav Risikoanalyse Identifisere risikoområder Konsekvens-analyse Sårbarhetsanalyse Trussel analyse Risikokontroll Overføre Redusere Forebygge Unngå Risikofinansiering Selvfinansiering Tradisjonell finansiering Selvassuranse Finansiell forsikring Oppfølging og evaluering Akseptabel risiko Uakseptabel risiko NS 5814: Gjennomføring risikoanalyse

Forståelse skaper holdninger Fra: ? Til:

Enkel kommunikasjon sikrer holdninger

Enkel kommunikasjon sikrer holdninger

Prosesser og prosedyrer dersom… Ansvar Stilling Dato Signatur Utforming Hvem har laget prosedyren? Godkjenning Hvem har godkjent prosedyren? Dokumenteier Hvem er eier av prosedyren? Gjennomføring Hvem skal utføre prosedyren? Beskrivelse Formål Hvorfor har man denne prosedyren? Punktliste da dette letter lesningen? Henvisninger Henvisninger til overliggende dokumentasjon, tilhørende sjekklister, sideordnede prosedyrer etc. Punktliste da dette letter lesningen. Omfang Hva favner prosedyren om? KORTFATTET BESKRIVELSE. HENVIS DERSOM MAN MÅ SKRIVE TEKST FRA ANDRE DOKUMENTER

Prosesser og prosedyrer dersom… Nr. Handling Ansvarlig Når 1 Hva skal gjøres først? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! Hvem utfører? Når utføres 2 Hva skal gjøres etter første handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! 3 Hva skal gjøres etter andre handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! 4 Hva skal gjøres etter tredje handling? IKKE roller, stillinger eller annet som kan identifisere utførende her. Her kommer kun korte oppgavebeskrivelser!! 5 OSV

IT-avdelingen Hvilket teknologi fokus er det i dag? Hvordan vil fremtidig driftsfokusering være?

IT-avd. vil alltid tenke på teknologi

IT-avdelingen transformerer Fra…….. Bruker Applikasjons- utvikling Brukerstøtte Drift “Call” senter Eksterne leverandører Til…….. Vi tror at bedriftenes fremtidige IT-avdelinger vil være laget i midten på figuren over - Tjenesteyteren. Mye teknikk vil etterhvert bli like uinteressant som telefon og fax. Spesielt komplisert teknikk vil bli satt bort til spesialister, som man f.eks. setter bort WAN-tjenester i dag. Men det som er viktig vil bli beholdt, nemlig det å styre og overvåke tjenestene vertikalt i modellen over, d.v.s. full kontroll fra minste tekniske detalj til ytterste bruker (og kunde) uten selv å måtte utføre alle arbeidsoperasjoner. For å få dette til må IT-avdelingen begynne å tenke nytt, og kanskje gi fra seg noe av teknikken til underleverandører som gjør dette bedre og mer effektivt, men som IT-avdelingen har full kontroll på. Man må bli mer prosessorientert! IT-aktiviteter skal være en følge av brukernes behov for IT-tjenester - og bare det. Kunden har alltid rett!

Forbedringsorientering Hva er ”deminghjulet”? Finnes det noe annet enn alt eller ingenting?

Forbedringsprosessen

Kompetanseoverført gjennomføring Arbeidsgjennomføring Prosessledelse Leveranser Gjennomføre Planlegge Kontrollere Handle Avgrensning og identifisering Omforent avgrensningsdokument Omfang Faktainnsamling Beskrive faktorer pr. aktivitet Hva Nåsituasjonsanalyse Dokumentert nåsituasjon Hvor er vi? Identifisere og etablere tiltak Gjennomføring og dokumentasjon av tiltak Hvor vil vi? Kontinuerlig forbedring Etablere og re-etablere målekriterier (KPI) Vurdere eksisterende og ny målekriterier Monitorering Dokumentert måleresultater Over tid Vurdering av resultater Dokumenterte vurderinger Trender

Måloppnåelse – revisjon - korrigering Start / fastsette Målsetting og hovedplan Mål – kontinuerlig forbedring Avvik Tid Delmål 1 - bedre kontroll Delmål 2 - full kontroll Delmål 3 - perfeksjonering Aktuell tilstand ved delmål 3 Revidert delmål 2 Tiltak Revidert delmål 1 Tiltak Aktuell tilstand ved delmål 1

TUSEN TAKK FOR OPPMERKSOMHETEN Spørsmål?