Informasjonssikkerhet En tilnærming

Størrelse: px

Begynne med side:

Download "Informasjonssikkerhet En tilnærming"

Søren Martinsen
7 år siden
Visninger:

1 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming

2 EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet + Nettsky Hva kan vi hjelpe deg med? 2 SECURITY CONSULTANCY 2016

3 Hvorfor informasjonssikkerhet

4 EVRY Økt tilgjengelighet økt produktivitet og økt risiko Hva skal til for å håndtere dette? 4

5 EVRY Sikkerhet - Den menneskelig faktor 88 prosent av datainnbruddene er utløst av slendrian, særlig uvøren omgang med bærbare pc-er og mobile lagringsenheter. Innleide konsulenter og partnere er innblandet i 44 prosent av innbruddene. 5

omgang med bærbare pc-er og mobile lagringsenheter.

6 EVRY Paralleller til sikkerhet i industrien? 6 Kilde : Sikkerhetskurs for Herøya

7 Phising test to company xxxxxxx 7

8 EVRY Noen eksempler 8

9 EVRY Hva er informasjonssikkerhet? Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet).«datatilsynets definisjon Informasjonssikkerhet må ses i tre dimensjoner: Proaktiv Nå Reaktiv 9

at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og

10 Vår tilnærming

11 EVRY Strategi & Sikkerhet Hvorfor sikkerhet? Hva skal sikres? Hvem skal det sikres mot? Hva skal til? Strategi og arkitektur Kjerne aktivitet Sikkerhetsledelse 12

12 EVRY Noen kontrollspørsmål Output examples: Har dere: Step 1 Definition of Security Policy Policy Document Sikkerhetshåndbok (i relasjon til informasjonssikkerhet og ikke farlig avfall)? Policies og prosesser med underliggende prosedyrer, rutiner, guidelines etc.? Implementert risikostyring (Hva holder deg våken om natten)? Utført en Business Impact Analysis (BIA)? Etablert et ISMS (Information Security Management System) eller annet type kvalitetssikringssystem? Step 2 Step 3 Step 4 Step 5 Step 6 Input examples: Threats, Impacts, Vulnerabilities Risk Management Strategy Additional Controls ISMS Framework Definition of ISMS Scope Risk Assessment Risk Management Selection of Controls Statement of Applicability Scope of the ISMS List of assessed risks Identified Weaknesses for Assets Strength of Controls and Implementation Statement of Applicability Document 17

Etablert et ISMS (Information Security Management System) eller annet type kvalitetssikringssystem?

13 EVRY The soft part is the hard part Systemer og verktøy er: Nødvendige for å støtte implementeringen Måle effekten av tiltak og korrigere Men skaper i seg selv ingen endring Varig forbedring skapes gjennom: Endrede holdninger Endret adferd Endrede vaner Endret kultur 13

korrigere Men skaper i seg selv ingen endring Varig forbedring

14 Våre tjenester

15 Informasjonssikkerhet - Innsatsområder Security Audit & Audit support Ensure sufficient autonomy & ownership Support & show correct behaviour Mobility Security Compliance Management & Support Vulnerability testing & analysis Create sense and purpose in change Penetration Testing Security Culture ToolBox Deliveries in IT & information Security Business & IT Strategy & architecture ISMS Information Security Management System Security Management Business Continuity Management CMS Corporate Management System Risk Management ITSCM IT Service Continuity Management Policy, Prosesser, Prosedyrer & rutines Mobility Strategy BIA Business Impact Analysis 15

information Security Business & IT Strategy & architecture ISMS Information Security Management System Security Management Business Continuity Management CMS

16 EVRY Informasjonssikkerhet Vår tjenesteportefølje Leveranser Business & IT strategi og arkitektur Informasjonsarkitektur System design og implementering IT Strategi Strategi for Sikkerhet og Informasjonssikkerhet Prosjekt- og Endringsledelse Business Continuity Proaktiv Nå Reaktiv Mobilitets kontroll.... Arkitekturvaluering og oppdatering System evaluering og oppdatering Sikkerhetsledelse og system Styring, policy og system Prosedyrer og rutiner Revisjon av systemer, prosedyrer og praksis Disaster Recovery Avviksbeskrivelser med korrigerende tiltak Verktøykasse Sårbarhetsanalyse Business Impact Analysis Risikoanalyse Sikkerhetsrevisjon Risikoanalyse Ansvarsmatrise (RACI) Service Failure Analysis Sikkerhetskultur Sikre aksept og eierskap Endring av holdninger og adferd Kompetanseutvikling Vurdering av behov for endringsstøtte Måling av endringsberedskap Måling av implementeringsgrad og gevinstrealisering Korrigerende tiltak 16

... Arkitekturvaluering og oppdatering System evaluering og oppdatering Sikkerhetsledelse og system Styring, policy og system Prosedyrer og rutiner Revisjon av systemer, prosedyrer og praksis

17 EVRY Prosess Security Delivery Model Phase 0 DG0 DG1 DG2 DG3 DG4 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Business idea /Opportunity Service Strategy Analysis & Design Development Establish Delivery Chain Service in Production Anbefaling for implementering GAP analyse Risiko-/sårbarhets analyse Arkitektur/design Strategi og styring Innledende utfordringer og scope 17

Establish Delivery Chain Service in Production Anbefaling for implementering GAP analyse

for tilpasning til kundens behov og forretningsstrategi Prosesser,

18 EVRY Våre tjenester inkluderer Templates for implementering Inkluderer alle elementer som er relevant for de fleste kunder (store som små) Tilrettelagt for tilpasning til kundens behov og forretningsstrategi Prosesser, prosedyrer og rutiner Fast pris for: Oppstart og scoping Modulbasert implementering 18

19 Fokus i dag: Informasjonssikkerhet + Nettsky Du er her! Informasjonssikkerhet Informasjonsteknologi Regelverk 19

20 Nasjonale lover og forskrifter (informasjonssikkerhet) 20 KILDE: ISF 2008

21 Internasjonalt regelverk I (informasjonssikkerhet) 21

22 23 Eksempler på sektor-/bransjeføringer

23 24 Eksempler på retningslinjer i konsern/virksomhet

Tilnærming i praksis Våre erfaringer fra Cloud Planning Steg 1: Skaff deg oversikt over alle krav Svært få har full oversikt og alt på stell Steg 2: Lag deg et system / struktur Mye av dette driver

24 Tilnærming i praksis Våre erfaringer fra Cloud Planning Steg 1: Skaff deg oversikt over alle krav Svært få har full oversikt og alt på stell Steg 2: Lag deg et system / struktur Mye av dette driver du med allerede, men det er ikke satt i system (ref. ITIL) K.I.S.S. - Gjenbruk Steg 3: Gjennomfør nødvendige tiltak (eksempler fra POL/POF) Risikovurdering God sikkerhet Databehandleravtale Sikkerhetsrevisjon Oversikt ISMS (ISO/IEC 27001:2013) Improvement Context of the organization Leadership Planning Performance evaluation Support Operation 25

25 Hvem er vi

26 27 Børre Holmberg Henning Hogness

27 Takk for oppmerksomheten!

Like dokumenter

Følger sikkerhet med i digitaliseringen?

Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over