350 likes | 518 Views
Informasjonssikkerhet – det virkelige liv Høyskolen i Sør Trøndelag 19 mars 2004. Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com. Temaer. Trender 2002 – 2007 (2002 reelle tall) Er det sammenheng mellom standarder? Typiske oppdrag Hvordan arbeide med: Ledergruppen
E N D
Informasjonssikkerhet – det virkelige livHøyskolen i Sør Trøndelag 19 mars 2004 Tomas M. Huseby, Senior Rådgiver tomas.huseby@scandpower.com
Temaer • Trender 2002 – 2007 (2002 reelle tall) • Er det sammenheng mellom standarder? • Typiske oppdrag • Hvordan arbeide med: • Ledergruppen • Organisasjonen • IT-avdelingen • Forbedringsorientering
Reklamen finner dere på: www.scandpower.com
Utdannelse HIS/elektronikk Høyskolekandidat BI Yrkeserfaring Konsulent Rådgiver Informasjonssikkerhetssjef Divisjonsdirektør Media og foredrag Seminarer/konferanser Artikkelforfatter Verifiserer reportasjer Prosjekter offentlig sektor Forsvaret Departementer Etater Riksrevisjonen 6 av 10 største kommuner Helseregioner/helseforetak Prosjekter privat sektor CORUS GARD Bank/forsikring ”Pro bono” Konsulentprofil
Trender 2003 - 2007 Er det noen fremtid i dette her da? Hva er det IT-sjefer ser etter når de lager budsjetter?
Kategorier 2002 – 2007 (verden) CAGR (2002 – 2007): Information Security: 19.1% Business continuity: 8.4% Infrastructure: 13.1%
Segment Information Security 2002 – 2007 (verden) CAGR (2002 – 2007): Services: 20,7% Software: 15,8% Hardware: 21,2%
Information Security Services 2002 – 2007 (verden) CAGR (2002 – 2007): Consulting: 20,0% Implementation: 21,6% Security management: 22,1% Education/training: 16,7%
Information Security Software2002 – 2007 (verden) CAGR (2002 – 2007): 3As: 15,3% Firewall: 5,8% Sec. Cont. management: 18,8% Intrusion detection: 16,4%
Information Security Hardware2002 – 2007 (verden) CAGR (2002 – 2007): Firewall/VPN: 14,6% Biometrics: 16,1% Token smart cards: 15,0% Other: 28,0%
Sammenhenger Hva må man kunne? Ser virksomheter etter synergieffekter?
Tre viktige sammenhenger! BS 15000 (ITIL) Strategi Styring Prosess Forbedring Læring ISO 17799 BS 7799 ISO 9001:2000
Typiske oppdrag Hvilke oppdrag utføres i dag av konsulenter?
Forretning Realisering Forvaltning IT-sikkerhetspolicy ”IT-sikk. Roadmaps” Implementering Ledelse Mngt for hire Prosess-/prosjektrevisjon Risikoanalyser Rådgivning Endringsledelse / Prosjektledelse Bistand anskaffelse Leverandørvalg Evaluering tilbud Strategi Risikohåndtering Risikoanalyser Organisering Opplæring Forståelse Lover/regler Kartlegging GAP analyser Kvalitetsrevisjon Prosedyrer Prosesser Kontinuitetsplaner Arkitektur Design IT-sikkerhetsarkitektur Programvaresalg Maskinvaresalg Drift Fjerndrift IT-sikkerhet ERT-tjenester ”På stedet drift” Penetrasjonstesting Teknologi revisjoner Hendelseshåndtering Rammeverk BS 7799, ISO 17799, POL/f, Kredittilsynet, NS5814 Teknisk plattform Symantec, HP, IBM, Oracle, ”Freeware”, Microsoft Oppdragstyper som konsulent
Ledergruppen Hvordan jobber ledelsen? Hvordan forstår ledelsen informasjonssikkerhet?
Konsekvens Liten Middels Store Katastrofale Svært sannsynlig Sannsynlig Sannsynlighet Mindre sannsynlig Lite sannsynlig Risikostyring 4 1 2 3 5 Risikoområder: Nr 1: Ressurser Nr 2: Hjelpeverktøy Nr 3: Organisering Nr 4: Kjøling på datarom Nr 5: Kunnskap om HA løsning
Kjernevirksomhet ** ( ) - Direkte tilbakebetalinger - Indirekte tilbakebetalinger Forventede kvantiserbar tilbakebetaling av investering per år** N Σ + Forventede strategiske tilbakebetaling per år Kostnader per år* År=1 * • Direkte systemkostnader per år • Vedlikeholdskostnader per år • Finansieringskostnader per år • Konsulentkostnader per år • CONC – Skjulte kostnader • Opplæring • ….. Basis ROI modell Bruk korrigeringsfaktorer (ikke alle besparelser eller forbedringer vil bli benyttet)
Hvor mange? Hvor ofte? Innsamling informasjon Dyr prosess? Gjenbruk? Samarbeid? Engangskost. Løpende kost. • Kostnader som må tas med: • direkte tilknyttet prosjektet • drevet av prosjektet Fordeler Kalkulasjon ROI formel Tilbakebetalingsperiode Hvordan gjennomføre ROI Undersøk ROI potensialet
Forretningsplaner/ Virksomhetsplaner IKT-anvendelser Sikkerhet Kommunikasjon arkitektur Organisasjon System arkitektur Teknisk infrastruktur IKT-strategi Sikkerhet og IKT-strategi • IKT-anvendelser • Beskrivelse av hva virksomheten skal benytte IKT til og forventningsnivåer • Støttes overordnede planer, strategier og visjoner? • Organisasjon • Hvilke drifts-/forvaltnings-/prosjektprosesser bør innføres for å støtte opp under IKT-anvendelser • Sikkerhet • Hvilke sikkerhetstiltak må innføres for å sikre ”godt nok” nivå mht konfidensialitet, tilgjengelighet og integritet • Kommunikasjonsarkitektur • Hvilken arkitektur er valgt for å støtte ansatte i elektronisk kommunikasjon gjennom IKT anvendelser • Systemarkitektur • Støttes den underliggende systemarkitekturen kommunikasjonsarkitekturen • Teknisk infrastruktur • Støttes arkitektur gjennom de valg og implementeringer som er utført?
Organisasjonen Hvordan skape eierskap og forståelse? Hvordan opprette og vedlikeholde gode holdninger?
Risikoanalyser skaper forståelse Sannsynlighet 5 1 2 3 4 • Prioritert tiltaksplan: • Identifiserte tiltak mot hendelser • Beregnet risiko overstiger grenseverdi 5 10 15 20 25 5 4 8 12 16 20 4 Konsekvens 3 6 9 12 15 3 2 4 6 8 10 2 1 2 3 4 5 1 Aksepttabell
Mål, strategier, krav Risikoanalyse Identifisere risikoområder Akseptabel risiko Risikoanalyse Trussel analyse Sårbarhetsanalyse Konsekvens-analyse Uakseptabel risiko Risikokontroll Unngå Forebygge Redusere Overføre Risikofinansiering Oppfølging og evaluering Selvfinansiering Tradisjonell finansiering Selvassuranse Finansiell forsikring NS 5814: Gjennomføring risikoanalyse
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? Forståelse skaper holdninger • Til: • Fra:
IT-avdelingen Hvilket teknologi fokus er det i dag? Hvordan vil fremtidig driftsfokusering være?
Bruker Bruker Bruker Bruker Fra…….. Applikasjons- utvikling “Call” senter Brukerstøtte Drift Til…….. Eksterne leverandører IT-avdelingen transformerer
Forbedringsorientering Hva er ”deminghjulet”? Finnes det noe annet enn alt eller ingenting?
Arbeidsgjennomføring Prosessledelse Leveranser Avgrensning og identifisering Omforent avgrensningsdokument Planlegge Faktainnsamling Beskrive faktorer pr. aktivitet Nåsituasjonsanalyse Dokumentert nåsituasjon Gjennomføre Identifisere og etablere tiltak Gjennomføring og dokumentasjon av tiltak Etablere og re-etablere målekriterier (KPI) Vurdere eksisterende og ny målekriterier Kontinuerlig forbedring Monitorering Dokumentert måleresultater Kontrollere Dokumenterte vurderinger Handle Kompetanseoverført gjennomføring Omfang Hva Hvor er vi? Hvor vil vi? Over tid Vurdering av resultater Trender
Mål – kontinuerlig forbedring Delmål 3 - perfeksjonering Aktuell tilstand ved delmål 3 Revidert delmål 2 Tiltak Delmål 2 - full kontroll Tid Revidert delmål 1 Delmål 1 - bedre kontroll Tiltak Aktuell tilstand ved delmål 1 Start / fastsette Målsetting og hovedplan Avvik Måloppnåelse – revisjon - korrigering
TUSEN TAKK FOR OPPMERKSOMHETEN Spørsmål?