Leverandøren en god venn i sikkerhetsnøden?

Transkript

1 Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring

2 Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver

3

4

5 Hva gjør vi? Nasjonal Sikkerhetsmåned foredrag pr år 250 møter pr år 15 medieoppslag pr uke på e-post liste/ nyhetsmail Slettmeg, 1. halvår henvendelser sidevisninger slettmeg.no

6 Egne arrangementer Sikkerhetstoppmøte, 3 pr år Security Divas Tilsyn og departement Sikkerhetskultur IDentitet Kraft IS Sikkert NOK - åpning av sikkerhetsmåneden

7 NOEN UTFORDRINGER

8 Økt sårbarhet Mørketallsundersøkelsen 2012 Tar i bruk mer teknologi Større avhengighet av teknologi Informasjonsverdien øker Synkende sikkerhetsbevissthet 62 % kritisk når ITsystemene er nede inntil 1 dag Halvparten outsourcer ITdriften

9 Forskjell og likheter? Utkontraktering Skytjenester

10

11 TRUSLER VI SER

12 Små bedrifter

13

14

15

16

17

18 TU, 11. september 2012 kl. 15:

19

20

21 Erfaringer fra MSB Konsentrasjon av it-drift til få, store driftleverandører skaper nye sårbarheter i samfunnet En teknisk feil kan treffe flere deler av samfunnet samtidig. Det skjer raskt, og det er vanskelig for samfunnet og få oversikt over konsekvensene Det er nødvendig med bedre forebyggende sikkerhetsarbeid: Risikovurderinger Informasjonsklassifisering Berdskapsplanlegging Stille krav til sikkerhet

22

23 Ddos angrep Angrepet Norsk Tipping DNB Politiets sikkerhetstjeneste IT-avisen, Den britiske sikkerhetstjenesten SOCA Den tyske avisen Bild

24

25 TENK PÅ

26 Tiltak - leverandører Formål Ansvar og omfang Valg av leverandør Avtaler Overføring til ny leverandør Oppfølging av avtalene og servicenivå

27 Ansvar og omfang Ledelsen har uansett ansvar for å følge lover/ forskrifter Hva kan / skal leverandører gjøre? Hva er målet med å bruke leverandør? Kostnader, effektivisering, ny teknologi, kompetanse, sikkerhet? Hva er kjernekompetansen i virksomheten? Gjennomfør verdivurdering/ klassifisering Hva er kritisk Ha orden i eget hus Hva skal være inn og hva kan være ute?

28 Valg av leverandør Anskaffelsesprosessen Prekvalifisering (3-5) Anbudsprosess beskriv hva jobben går ut på Forhandlinger (2-3) Kravspesifikasjon Risikovurderinger Hva kan gå galt? Sammen med leverandøren? Driftsstans, gjenoppretting, sikkerhetskopiering, beskyttelse av informasjon mv

29 Hva er dine krav sikkerhet? Arbeidsdeling sikkerhet, beredskap Krav til Tilgjengelighet (oppe-/ nedetider, feilutbedring) Integritet (tap av data, data på avveier) konfidensialitet Håndtering av lovkrav, f eks personopplysningsloven, beredskapsforskriften Beredskapsløsninger/ planer Sikkerhetsløsninger Lisenser Hvordan måle? Sanksjoner

30 Avtaler god og balansert Avtaleforhandlinger Bransjeavtaler? Standardavtaler? Må dekke alle faser (Oppstart, drift, avslutning) Viktige krav i alle faser Underleverandører/ 3. part Databehandleravtaler DnDs avtaler IKT-Norge Statens standard Datatilsynet

31 Avtalens krav til informasjonssikkerhet Følger anerkjente standarder Taushetsplikt Risikovurderinger Sikkerhetsoppdateringer Sikkerhetskopiering/ gjenopprette Sikkerhetsløsninger Tilgang- og adgangskontroll Endringshåndtering Sikkerhetshendelser Beredskap og iverksetting Gjennomganger og sikkerhetskontroller

32 Overføring til leverandør Ha egne krav ved overføring/ oppstart Gjennomfør risikovurdering av overgangen

33 Fallgruver ved utkontraktering Utilstrekkelig kvalitet ved tjenestene Mangelfull kontrakt Uklare ansvarsforhold Dårlig samarbeid/ samhandling Virksomheten mister kompetanse og mangler evne til Å vurdere kvalitet Styring og kontroll (f eks sikkerhet) Å sørge for å følge loven Integrasjon med systemer virksomheten selv drifter Undersøkelse ved BI

34 Ikke glem Ha tydelige roller hos virksomhet og leverandør Behold noe IT-kompetanse «hjemme» Ha god endringskontroll Risikovurdering ved større endringer Definer målepunkter i SLA Møter jevnlig, f eks månedlig Oppfølging / sikkerhetsgjennomganger

35 Sjekklister Vær forberedt Mange hjelpemidler finnes Ha kontroll

36 Sikkerhetsarbeid er som husarbeid du ser det først når det ikke blir gjort