ITLED4021: IT og Ledelse Høst Styring av IT Sikkerhet. Audun Jøsang Universitetet i Oslo

Transkript

1 ITLED4021: IT og Ledelse Høst 2018 Styring av IT Sikkerhet Audun Jøsang Universitetet i Oslo

2 Relevant governance types Corporate Governance GRC IT Governance IT Security Governance Risk Manage ment Compliance Manage ment Security Manage ment ITLED IT Sikkerhetsledelse 2

3 Begreper rundt styring av IT sikkerhet Oppfylle foretakets mål. Definere foretakets visjoner og verdier. Balansere eieres mål og prioriteter. Information Security Governance Strategisk styring av informasjonssikkerhet Information Security Management Ledelse/styring av info. sikkerhet (Internkontroll) IT Security Operations Drift/Administrasjon av informasjonssikkerhet ITLED IT Sikkerhetsledelse 3

4 Information Security Governance Styring/strategist ledelse av informasjonssikkerhet IS governance provides strategic direction, ensures objectives are achieved, manages risk appropriately, uses organizational resources responsibly, and monitors the success or failure of the enterprise security programme. - IT Governance Institute Merk: Begrepet: information security management oversettes offisielt til ledelse av informasjonssikkerhet. Vær oppmerksom på at frem til 2014 ble information security management oversatt til styring av informasjonssikkerhet, og at mange organisasjoner (f.eks. NSM) fortsetter med det. Det særnorske begrepet internkontroll er omtrent ekvivalent med ledelse av informasjonsikkerhet. ITLED IT Sikkerhetsledelse Security 4 Governance

5 Benefits of IT Security Governance Protecting assets = creating value Trust from customers, partners, investors, own staff Reputation, brand, image Competitive advantage Prevention and reduction of losses Business continuity & resilience In case of disasters and major incidents Increase shareholder value ITLED IT Sikkerhetsledelse 5 Security Governance

6 Goals of information security governance as defined by COBIT and ISACA 1. Strategic alignment of the security program 2. Risk management 3. Value delivery 4. Resource management 5. Performance measurement ITLED IT Sikkerhetsledelse 6 Security Governance

7 ISACA - Mål for styring av IT-sikkerhet 1. Strategisk tilpasning av sikkerhetsprogrammet IS-aktiviteter skal støtte organisasjonens helhetlige strategi. 2. Risikohåndtering Avdekke trusler, sårbarheter og risiko. Deretter bruke adekvate virkemidler for å redusere risiko til et akseptabelt nivå. 3. Verdiskapning Søk optimal balanse mellom reduksjon av risiko og tap, og kostnader forbundet med sikkerhetsvirkemidler. 4. Ressursbruk Arbeidet med informasjonssikkerhet skal gjøres effektivt 5. Målbarhet Effekten av sikkerhetsarbeidet skal måles ITLED IT Sikkerhetsledelse Styring av 7 IT-sikkerhet

8 Characteristics of good IS Governance Managed as a business-wide issue Alignment of frameworks, policies and activities Viewed as business requirement Seen as essential for sustainable business operations Leaders are informed Leaders understand security risks and get regular reviews Leaders take responsibility Visible leaders who set clear goals and priorities Risk-based priorities Tolerances to risk understood and established Roles & responsibilities defined Clear segregation of duties ITLED IT Sikkerhetsledelse 8 Security Governance

9 Information security management Ledelse av informasjonssikkerhet (Internkontroll) Includes: Development and maintenance of security policies Documented goals, rules and practice for IS Planning and organisation of the security activities Information Security Management System (ISMS) Inventory and classification of resources and Information Threat and risk assessment Reporting and coordination with top level management Deployment and maintenance of security controls Security education and training Incident response and business continuity planning Security ITLED IT Sikkerhetsledelse Management 9

10 Who is responsible for ISM? Management CEO, CSO, CIO Allocate resources, endorse and abide security policies IT Security staff General security staff, i.e. guards, janitors etc. Important for physical security IT staff Users Third parties Outsourced information security management Customers, suppliers, business partners Sikkerhetsledelse ITLED IT Sikkerhetsledelse 10

11 Compliance: Following law and regulation Law and regulation, e.g. National laws and regulation International laws and regulation (e.g. GDPR, Basel II) It is mandatory to follow laws and regulation, Breach of compliance is sanctioned by national authorities Explicit company policy Defines who is authorized to do what Defines appropriate use It is good practice to follow company policy, Breach of compliance is sanctioned by company Can lead to liability if incidents result from breach of policy ITLED IT Sikkerhetsledelse 11

12 Norske lover som omhandler IT-sikkerhet Offentleglova Forvaltningsloven eforvaltningsforskriften Sikkerhetsloven Arkivlova Beskyttelsesinstruksen Personopplysningsloven Ekomloven esignaturloven Barnevernloven Familievernkontorloven Helsepersonelloven Helseregisterloven (og «Normen») Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen Forskrift om sikkerhet ved vassdragsanlegg ITLED IT Sikkerhetsledelse 12

13 Personvernforordningen (PVF = GDPR) ITLED IT Sikkerhetsledelse 13

14 Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. ITLED IT Sikkerhetsledelse 14

15 Person(opplysnings)vern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn Sørge for adekvat informasjonssikkerhet (KIT) rundt personinformasjon Definere klar ansvarsfordeling ITLED IT Sikkerhetsledelse 15

16 Personvernforordningen EUs lovtekst oversettes uendret EU 25. mai 2018, Norge/EFTA 20. juli artikler Bøter opp til eller 4% av omsetning (høyeste beløp) Håndheves av Datatilsynet 99 paragrafer, hvorav 25 og 32 er særlig sikkerhetsrelevante Foretak får nye plikter og innbyggere får nye rettigheter Plikt til *god* informasjon om behandling av personopplysn. Plikt til å følge prinsippet om innebygd personvern ( 25) Plikt til risikovurdering av personvernkonsekvenser ( 32) Store foretak må ha egen stilling som personvernombud ITLED IT Sikkerhetsledelse 16

17 PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. ITLED IT Sikkerhetsledelse 17

18 PVF 32: Sikkerhet ved behandlingen 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen ITLED IT Sikkerhetsledelse 18

19 Rettigheter og plikter under PVF Plikter Behandlingsansvarlig Databehandler Underleverandører Rettigheter De registrerte ITLED IT Sikkerhetsledelse 19

20 De registrertes rettigheter Informasjon om innsamling og lagring Innsyn Korrigering og sletting Begrensning Dataportabilitet Innsigelse Unngå automatiserte avgjørelser, inkludert profilering ITLED IT Sikkerhetsledelse 20

21 Integrering av prinsippene for innebygd sikkerhet i utvikling av IT-systemer Krav Drift Design Opplæring Produksjonssetting Koding Test ITLED IT Sikkerhetsledelse 21

22 Examples of Management System Standars ISO 9001 (quality) ISO (environment) ISO/IEC (IT service management) ISO (business continuity) ISO/IEC 27001(information security management) ISO (oil and gas management) ISO (road safety management) ISO (energy management) ITLED IT Sikkerhetsledelse 22

23 IS Management Standards ISO/IEC 27K security standards: ISO: International Standards Organization ISO 27001: Information Security Management System (ISMS) ISO 27002: Code of practice for information security controls + many more ISO/IEC standards cost money USA NIST (National Institute for Standards and Technology) Special Publications 800, Cover similar topics as ISO27K NIST standards are free Norge NSM Veileder i sikkerhetsstyring Risikovurdering for sikring ITLED IT Sikkerhetsledelse 23

24 ISO/IEC family of standards and related standards as of Oct Vocabulary Principles and guidelines Risk assessment techniques Guide Overview and vocabulary Code of practice Requirements Risk Management Organizational economics Governance Implementation guidance Conformity Assessment Vocabulary and general principals Conformity assessment Guidelines for auditing management system Business Continuity Certification Requirements for bodies audit and certification Guidelines for ISMS auditing Guidance for auditors on controls - TR Operation Application areas Measurements Inter-sector and Inter organizational Telecommunications Financial services Cyber Security Cloud Computing service Network Security Application Security Incident Management ITLED Digital Evidence Mgmt Data protection control of public cloud computing service Process control system - TR Health IT Sikkerhetsledelse 24

25 Evolution of ISO & Standards 1995 BS 7799: Code of Practice for Information Security Management 1999 BS : Information Security Management System (ISMS) 2001 BS 7799 ISO/IEC BS ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO Management Standards Alignment - ISO/IEC 27001: ISMS - ISO/IEC 27002: Code of Practice for Information Security Controls 2018 Major changes to ISO/IEC 27001: ISMS planned ITLED IT Sikkerhetsledelse 25

26 ISO/IEC 27001:2013- What is it? ISO specifies requirements for establishing, implementing, maintaining and continually improving an information security management system (ISMS) within the context of the organization. ISMS is a holistic approach to IS management not an IT system While the ISO (code of practice) defines a set of security goals and controls, ISO (ISMS) defines how to manage the implementation of security controls. Organizations can be certified against ISO but not against ISO ISO is to be used in conjunction with ISO ITLED IT Sikkerhetsledelse 26

27 NSM Styringshjul for sikkerhet Sikringsrisikovurdering Rapportering Styringshjul for sikkerhet Planlegging Oppfølging og kontroll Tiltak ITLED IT Sikkerhetsledelse 27

28 Abstrakt risikomodell (NSM) Verdier Risiko Trusler Sårbarheter Abstrakt modell for risiko Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere sårbar du er, desto større risiko har du. Modellen kan ikke brukes til praktisk risikovurdering ITLED IT Sikkerhetsledelse 28

29 Konkret risikomodell Trusselaktør Forklaring: har aspekt bidrar til Enhver risiko er et resultat av et gitt trusselscenario som fører til en hendelse som skader verdier. Motivasjon, kapasitet, sårbarhet og konsekvens bestemmer risikonivået for den konkrete risikoen. Sannsynlighet for (at trusselscenario skal forårsake) hendelse Sårbarhet for trusselscenario Konkret risiko Trusselaktørstyrke Trusselaktørmotivasjon Trusselaktørkapasitet Trusselscenario Hendelsens konsekvens ITLED IT Sikkerhetsledelse 29 Hendelse

30 Ingen sårbarhet uten trusler Ny trussel oppstår i 2016 Sårbarhet fjernet og trussel blokkert ITLED IT Sikkerhetsledelse 30

31 Feilbetegnelsen ROS-analyse ROS-analyse = Risiko- og sårbarhetsanalyse ROS-analyse fokuserer på å identifisere sårbarheter, som typisk gjør at man mister fokus på trusler Det viktigste er å identifisere trusler (trusselscenarier) En sårbarhet er en mangel på sikkerhetstiltak mot trusler Begrepet ROS-analyse brukes ofte på norsk, og er faktisk et særnorsk begrep. Det snakkes det aldri om risk and vulnerability analysis som eget begrep i engelsk faglitteratur. Engelsk faglitteratur bruker threat and risk analysis, som på norsk kan oversettes til TOR-analyse. Sårbarhetsanalyse gjøres typisk med verktøy som scanner systemer og nettverk for sikkerhetshull. ITLED IT Sikkerhetsledelse 31

32 ISO/IEC What is it? Code of practice for information security management ISO provides a checklist of general security controls to be considered implemented/used in organizations Contains 14 categories (control objectives) of security controls Each category contains a set of security controls In total, the standard describes 113 generic security controls Not all controls are relevant to every organisation Objective of ISO 27002: gives guidelines for [ ] information security management practices including the selection, implementation and management of controls taking into consideration the organization s information security risk environment(s). ITLED IT Sikkerhetsledelse 32

33 The 14 Control Objectives of ISO/IEC 27002:2013 Business continuity Incident management Supplier relationships Compliance Information security policy Security Controls Security Organization Human resources security Asset management Access control System acq., develop. & maint. Communications security Operations security Physical and environmental security Cryptography ITLED IT Sikkerhetsledelse 33

34 20 CSC: Critical Security Controls Alternative to ISO/IEC Description of each control: Why control is critical How to implement controls Specific tasks Procedures and tools Advice on implementation Effectiveness metrics Automation metrics How to automate effectiveness metrics Effectiveness tests System entity relationship diagram Relevant architecture integration ITLED IT Sikkerhetsledelse 34

35 Security Awareness Account Control Wireless Access Control Need-to-know Access Control Pentesting Incident Response Application Security Data Protection Boundary Defense Inventory of Hardware Inventory of Software 20 Critical Security Controls Configuration of Firewalls, Routers, and Switches Continuous Vulnerability Management Data Recovery Capabilities Control of Admin. Privileges Secure Configuration Analysis of Audit Logs and Browser Protections Malware Defences Control of Ports, Protocols and Services ITLED IT Sikkerhetsledelse 35

36 Grunnprinsipper for IKT-sikkerhet Oversettelse og sammendrag av ISO/IEC ITLED IT Sikkerhetsledelse 36

37 CMMI Capability Maturity Model Integration Considerable effort and time is required to reach each next level in the maturity model. Managed 5: Optimized / Cultural 4: Managed and measurable 3: Defined processes 2: Repeatable but intuitive processes Chaotic 0: No security processes 1: Initial / Ad Hoc processes ITLED IT Sikkerhetsledelse 37

38 CMM levels Initial / Ad Hoc + Processes are ad-hoc and disorganised. + Risks are considered on an ad hoc basis, but no formal processes exist. 2. Repeatable but intuitive + Processes follow a regular pattern. + Emerging understanding of risk and the need for security 3. Defined process + Processes are documented and communicated. + Company-wide risk management. + Awareness of security and security policy ITLED IT Sikkerhetsledelse 38

39 CMM levels Managed and measurable + Processes are monitored and measured. + Risks assessment standard procedures + Roles and responsibilities are assigned + Policies and standards are in place 5. Optimized + Security culture permeates organisation + Organisation-wide security processes are implemented, monitored and followed ITLED IT Sikkerhetsledelse 39

40 End of lecture