Risikovurdering for folk og ledere Normkonferansen 2018

Transkript

1 Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT

2 Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet for og antatte konsekvenser av uønskede hendelser» (Gammelt jungelord) Risiko Sannsynlighet Konsekvens

3 Kommunikasjon Overvåking og gjennomgang Riskovurdering og risikostyring Etablere (kontekst) Identifisere Analysere Evaluere Håndtere Monitorere Kommunisere Etablere kontekst Risikovurdering Risikoidentifikasjon Risikoanalyse Risikoevaluering Risikohåndtering

4 Trenger vi en metode for risikoidentifikasjon? Flere må kunne delta i og forstå risikovurderinger Risikovurderinger må være forutsigbare Vi må ta hensyn til ulik risikoopplevelse

5 Opplevelse av risiko og nytte

6 Slik vi tror det er Risiko Nytte

7 Slik vi opplever det Risiko Nytte Risiko Nytte

8 Følelser påvirker Risiko Nytte

9 Følelser påvirker Risiko Nytte

10

11 Vi trenger noe som gjør det Enkelt Forståelig Logisk Korrekt vi må tenkte saaakte!

12 Risikoidentifikasjon Identifisere verdier Informasjon og forretningsprosesser (IT-systemer, nettverk, personell, etc.) Identifisere trusselaktører Identifisere hendelser Identifisere trusler/angrep Identifisere sårbarheter/svakheter Identifisere eksisterende sikkerhetstiltak Identifisere konsekvenser Etablere kontekst Risikovurdering Risikoidentifikasjon Risikoanalyse Risikoevaluering Risikohåndtering

13 Noen sammenhenger* Trusselaktør Sårbarhet utfører Trussel skaper Hendelse medfører Konsekvenser utnytter motvirker angår Sikkerhetstiltak Verdi En hendelse innebærer et brudd på konfidensialitet, integritet eller tilgjengelighet for en eller flere verdier

14 Strukturert risikoidentifikasjon

15 Verdier Systemer Infrastruktur Tjenester Applikasjoner MTU Informasjon Helseopplysninger Dokumentasjon Fortrolig bedriftsinformasjon Autentiseringsinformasjon Prosesser

16 Trusselaktører Interne eller eksterne Menneskelig eller ikke-menneskelig Tilsiktet eller utilsiktet

17 Trusselhandling Hva gjør trusselaktøren med verdien? Handling Beskrivelse Sikkerhetsbrudd Gjør tilgjengelig Trusselaktøren gjør verdien tilgengelig for uvedkommende Konfidensialitet Endring Trusselaktøren gjør endringer med/i Integritet verdien Hindrer tilgang Trusselaktøren forstyrrer (tilgang til) Tilgjengelighet verdien Sletter/fjerner Trusselaktøren sletter/fjerner verdien Integritet/ Tilgjengelighet Misbruker Trusselaktøren misbruker verdien (f.eks for et annet formål) Konfidensialitet Oppnår tilgang Trusselaktøren får tilgang til verdien Konfidensialitet/ Integritet

18 Hendelseskonstruksjon Aktør Intensjon Handling Verdi Hendelse Ansatt Utilsiktet Endrer logg Ansatt endrer logg utilsiktet Utenlandsk etterretning Naturkatastrofe (flom/skred/etc) Tilsiktet Oppnår tilgang beredskapsplaner Utenlandsk etterretning får tilgang til beredskapsplaner - Hindrer tilgang IT-system Flom gjør IT-System utilgjengelig Haktivister Tilsiktet Gjør tilgjengelig Personopplysninger Haktivister gjør personopplysninger tilgjengelige på internett

19 Hva med resten? Trusler Sårbarheter Sikkerhetstiltak konsekvenser Sikkerhetstiltak: «Det er omfattende spam-filtre på plass og alle vedlegg som er kjørbare filer blir blokkert/filtrert.» Konsekvenser: «Ansatte får ikke gjort jobben sin og ressurser må brukes på å gjenopprette». Hendelse: «økonomisk kriminelle hindrer tilgang til IT-system». Trussel: «Aktøren bruker e-post for å lure ansatte til å installere skadevare (krypteringsvirus) på sin egen maskin» Sårbarhet: «Ansatte har i stor grad rettigheter til å kjøre filer på egen maskin.»

20 Oppsummering Alle skal med! Enkelt Forståelig Tenk sakte! Logisk Strukturert tilnærming kan være en hjelp!

21 Takk for meg!