1 / 35

Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004

Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004. Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com. Temaer. Trender 2002 – 2007 (2002 reelle tall) Er det sammenheng mellom standarder? Typiske oppdrag Hvordan arbeide med: Ledergruppen

yves
Download Presentation

Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Informasjonssikkerhet – det virkelige livHøyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com

  2. Temaer • Trender 2002 – 2007 (2002 reelle tall) • Er det sammenheng mellom standarder? • Typiske oppdrag • Hvordan arbeide med: • Ledergruppen • Organisasjonen • IT-avdelingen • Forbedringsorientering

  3. Reklamen finner dere på: www.scandpower.com

  4. Utdannelse HIS/elektronikk Høyskolekandidat BI Yrkeserfaring Konsulent Rådgiver Informasjonssikkerhetssjef Divisjonsdirektør Media og foredrag Seminarer/konferanser Artikkelforfatter Verifiserer reportasjer Prosjekter offentlig sektor Forsvaret Departementer Etater Riksrevisjonen 6 av 10 største kommuner Helseregioner/helseforetak Prosjekter privat sektor CORUS GARD Bank/forsikring ”Pro bono” Konsulentprofil

  5. Trender 2003 - 2007 Er det noen fremtid i dette her da? Hva er det IT-sjefer ser etter når de lager budsjetter?

  6. Kategorier 2002 – 2007 (verden) CAGR (2002 – 2007): Information Security: 19.1% Business continuity: 8.4% Infrastructure: 13.1%

  7. Segment Information Security 2002 – 2007 (verden) CAGR (2002 – 2007): Services: 20,7% Software: 15,8% Hardware: 21,2%

  8. Information Security Services 2002 – 2007 (verden) CAGR (2002 – 2007): Consulting: 20,0% Implementation: 21,6% Security management: 22,1% Education/training: 16,7%

  9. Information Security Software2002 – 2007 (verden) CAGR (2002 – 2007): 3As: 15,3% Firewall: 5,8% Sec. Cont. management: 18,8% Intrusion detection: 16,4%

  10. Information Security Hardware2002 – 2007 (verden) CAGR (2002 – 2007): Firewall/VPN: 14,6% Biometrics: 16,1% Token smart cards: 15,0% Other: 28,0%

  11. Sammenhenger Hva må man kunne? Ser virksomheter etter synergieffekter?

  12. Tre viktige sammenhenger! BS 15000 (ITIL) Strategi Styring Prosess Forbedring Læring ISO 17799 BS 7799 ISO 9001:2000

  13. Typiske oppdrag Hvilke oppdrag utføres i dag av konsulenter?

  14. Forretning Realisering Forvaltning IT-sikkerhetspolicy ”IT-sikk. Roadmaps” Implementering Ledelse Mngt for hire Prosess-/prosjektrevisjon Risikoanalyser Rådgivning Endringsledelse / Prosjektledelse Bistand anskaffelse Leverandørvalg Evaluering tilbud Strategi Risikohåndtering Risikoanalyser Organisering Opplæring Forståelse Lover/regler Kartlegging GAP analyser Kvalitetsrevisjon Prosedyrer Prosesser Kontinuitetsplaner Arkitektur Design IT-sikkerhetsarkitektur Programvaresalg Maskinvaresalg Drift Fjerndrift IT-sikkerhet ERT-tjenester ”På stedet drift” Penetrasjonstesting Teknologi revisjoner Hendelseshåndtering Rammeverk BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814 Teknisk plattform Symantec, HP, IBM, Oracle, ”Freeware”, Microsoft Oppdragstyper som konsulent

  15. Ledergruppen Hvordan jobber ledelsen? Hvordan forstår ledelsen informasjonssikkerhet?

  16. Konsekvens Liten Middels Store Katastrofale Svært sannsynlig Sannsynlig Sannsynlighet Mindre sannsynlig Lite sannsynlig Risikostyring 4 1 2 3 5 Risikoområder: Nr 1: Ressurser Nr 2: Hjelpeverktøy Nr 3: Organisering Nr 4: Kjøling på datarom Nr 5: Kunnskap om HA løsning

  17. Kjernevirksomhet ** ( ) - Direkte tilbakebetalinger - Indirekte tilbakebetalinger Forventede kvantiserbar tilbakebetaling av investering per år** N Σ + Forventede strategiske tilbakebetaling per år Kostnader per år* År=1 * • Direkte systemkostnader per år • Vedlikeholdskostnader per år • Finansieringskostnader per år • Konsulentkostnader per år • CONC – Skjulte kostnader • Opplæring • ….. Basis ROI modell Bruk korrigeringsfaktorer (ikke alle besparelser eller forbedringer vil bli benyttet)

  18. Hvor mange? Hvor ofte? Innsamling informasjon Dyr prosess? Gjenbruk? Samarbeid? Engangskost. Løpende kost. • Kostnader som må tas med: • direkte tilknyttet prosjektet • drevet av prosjektet Fordeler Kalkulasjon ROI formel Tilbakebetalingsperiode Hvordan gjennomføre ROI Undersøk ROI potensialet

  19. Forretningsplaner/ Virksomhetsplaner IKT-anvendelser Sikkerhet Kommunikasjon arkitektur Organisasjon System arkitektur Teknisk infrastruktur IKT-strategi Sikkerhet og IKT-strategi • IKT-anvendelser • Beskrivelse av hva virksomheten skal benytte IKT til og forventningsnivåer • Støttes overordnede planer, strategier og visjoner? • Organisasjon • Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT-anvendelser • Sikkerhet • Hvilke sikkerhetstiltak må innføres for å sikre ”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet • Kommunikasjonsarkitektur • Hvilken arkitektur er valgt for å støtte ansatte i elektronisk kommunikasjon gjennom IKT anvendelser • Systemarkitektur • Støttes den underliggende systemarkitekturen kommunikasjonsarkitekturen • Teknisk infrastruktur • Støttes arkitektur gjennom de valg og implementeringer som er utført?

  20. Organisasjonen Hvordan skape eierskap og forståelse? Hvordan opprette og vedlikeholde gode holdninger?

  21. Risikoanalyser skaper forståelse Sannsynlighet 5 1 2 3 4 • Prioritert tiltaksplan: • Identifiserte tiltak mot hendelser • Beregnet risiko overstiger grenseverdi 5 10 15 20 25 5 4 8 12 16 20 4 Konsekvens 3 6 9 12 15 3 2 4 6 8 10 2 1 2 3 4 5 1 Aksepttabell

  22. Mål, strategier, krav Risikoanalyse Identifisere risikoområder Akseptabel risiko Risikoanalyse Trussel analyse Sårbarhetsanalyse Konsekvens-analyse Uakseptabel risiko Risikokontroll Unngå Forebygge Redusere Overføre Risikofinansiering Oppfølging og evaluering Selvfinansiering Tradisjonell finansiering Selvassuranse Finansiell forsikring NS 5814: Gjennomføring risikoanalyse

  23. ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? Forståelse skaper holdninger • Til: • Fra:

  24. Enkel kommunikasjon sikrer holdninger

  25. Enkel kommunikasjon sikrer holdninger

  26. Prosesser og prosedyrer dersom…

  27. Prosesser og prosedyrer dersom…

  28. IT-avdelingen Hvilket teknologi fokus er det i dag? Hvordan vil fremtidig driftsfokusering være?

  29. IT-avd. vil alltid tenke på teknologi

  30. Bruker Bruker Bruker Bruker Fra…….. Applikasjons- utvikling “Call” senter Brukerstøtte Drift Til…….. Eksterne leverandører IT-avdelingen transformerer

  31. Forbedringsorientering Hva er ”deminghjulet”? Finnes det noe annet enn alt eller ingenting?

  32. Forbedringsprosessen

  33. Arbeidsgjennomføring Prosessledelse Leveranser Avgrensning og identifisering Omforent avgrensningsdokument Planlegge Faktainnsamling Beskrive faktorer pr. aktivitet Nåsituasjonsanalyse Dokumentert nåsituasjon Gjennomføre Identifisere og etablere tiltak Gjennomføring og dokumentasjon av tiltak Etablere og re-etablere målekriterier (KPI) Vurdere eksisterende og ny målekriterier Kontinuerlig forbedring Monitorering Dokumentert måleresultater Kontrollere Dokumenterte vurderinger Handle Kompetanseoverført gjennomføring Omfang Hva Hvor er vi? Hvor vil vi? Over tid Vurdering av resultater Trender

  34. Mål – kontinuerlig forbedring Delmål 3 - perfeksjonering Aktuell tilstand ved delmål 3 Revidert delmål 2 Tiltak Delmål 2 - full kontroll Tid Revidert delmål 1 Delmål 1 - bedre kontroll Tiltak Aktuell tilstand ved delmål 1 Start / fastsette Målsetting og hovedplan Avvik Måloppnåelse – revisjon - korrigering

  35. TUSEN TAKK FOR OPPMERKSOMHETEN Spørsmål?

More Related