IT-sikkerhetsledelse og -krav Geir Ove Rosvold AITeL/HiST Hva er informasjonssikkerhet? "Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet)." Datatilsynets definisjon De tre sikkerhetsfaktorene Konfidensialitet: Beskyttelse mot at uvedkommende får tilgang til informasjon Integritet: Beskyttelse mot utilsiktet eller uautorisert endring av informasjon Tilgjengelighet: Beskyttelse mot hendelser som gjør at informasjon ikke er tilstede og anvendelig for de som trenger den til enhver tid 1
Konsekvenser av uønskede hendelser Tjenester og leveranser kan settes ut av drift (nedetid og tapt omsetning) Informasjon kan gå tapt eller bli misbrukt Det kan oppstå feil i datagrunnlaget Identiteter kan bli misbrukt Mediaoppslag og tap av kundekontrakter (ødelagt image og tapte muligheter i markedet) Etterforskning + nye tiltak uansett: Det genererer kostnader!! Kostnader (eksempel) Datatrøbbel koster milliarder Nettavisen 17. mar 2002 10:08 Ansatte i større norske bedrifter bruker tre timer i uken på egne eller andres datatrøbbel. Totalt koster problemene 33,6 milliarder per år. 136 timer i året Ifølge undersøkelsen brukte hver ansatt i fjor 136 timer i året, eller bortimot tre timer i uken, på egne og andres dataproblemer. Dette koster norske bedrifter til sammen 33,6 milliarder kroner, skriver Aftenposten, ifølge NTB. 800 intervjuet En norsk bedrift med 200 ansatte bruker hele 6,4 millioner kroner i året på dataproblemer, viser undersøkelsen. Fra dagspressen 1 Eksansatte hacker for hevn Utgjør stor sikkerhetsrisiko tor 5. jul 2001 kl. 11:15 De mange oppsigelsene i IT-bransjen har forårsaket en bølge av dataforbrytelser. I ren frustrasjon hevner eksansatte seg ved å angripe sine tidligere arbeidsgiveres datasystemer. Eksansatte som trenger inn i datasystemer for å hevne seg er et økende problem, hevder FBI. 2
Fra dagspressen 2 Hackere har blitt stort problem 06. apr 2001 14:09 Hackere brøt seg inn i og tok kontrollen I hele 155 datasystemer hos 32 føderale enheter i USA. Datainnbrudd har blitt en farsott, og USA lekker hemmeligstemplet informasjon. Fra dagspressen 3 I alt blev 2675 såkaldte 'hosts' undersøgt hos 47 forskellige kunder over en periode på tre måneder. Og i stort set samtlige tilfælde var sikkerheden så ringe, at direktør Henrik Pedersen fra Cautela måtte rive sig i håret. - Vores scanninger viser helt klart, at de danske firmaer ikke tager deres IT-sikkerhed ret alvorligt, siger han. 25.10.2001 Fra dagspressen 4 Ett av tre selskaper hacket Av Einar Ryvarden Publisert 04.04.2001 12:18 Oslo (04.04.2001) - Hackerne er mange og de er flinke, hevder en fersk engelsk undersøkelse som omfatter 2.000 IT-sjefer. Hacking og IT-innbrudd er vanskelige å måle. I tillegg offentliggjør ikke alle at de har blitt rammet i frykt av dårlig PR, eller at bekymrede partnere og kunder skal ringe. 3
Fra dagspressen 5 Slaskete sikkerhet og muldvarper truer e-biz Av Per Chr. Klingenberg Stokke Publisert 31.10.2001 09:42 To av tre e-handelsbedrifter slurver med sikkerheten sin, ifølge en ny rapport. Svært få gjennomfører sikkerhetstiltak på systemer eller rutiner. Opplysningene fremkommer i en pressemelding skrevet av det oppdragsfinansierte nyhetsbyrået Newswire. Meldingen er skrevet på oppdrag fra konsulentselskapet KPMG, som har snakket med 1.200 toppledere over hele verden. - Det er et klart paradoks at bedriftene på den ene siden definerer god sikkerhet som et viktig konkurransefortrinn, og samtidig lar være å utbedre sikkerheten, sier Elisabeth G. Myhre, sjef for informasjons-risikostyring i KPMG. Hun mener norske ledere og bedrifter er ekstremt naive når det kommer til sikkerhetsspørsmål, og ikke er bevisst den informasjonen de faktisk forvalter. - Ledere har en lei tendens til å gi IT-sjefen blankofullmakter til å håndtere ITsystemet slik denne vil, uten at de har gjort de nødvendige risikoanalysene av hva som må sikres, sier Myhre. Styringssystem for informasjonssikkerhet Krav til at det skal finnes en sikkerhetsorganisering med pålagt ansvar, risikovurderinger, logging, loggrutiner og avvikshåndtering er nå blitt så sentrale elementer i lovpålagte forskrifter at det må vies spesiell oppmerksomhet. Innføring av ISMS ISMS (Information Security Management System) eller Styringssystem for informasjonssikring på norsk. For å bygge opp et ISMS vurderer man hvilke behov bedriften har for å beskytte sine informasjonsressurser. Dette er grunnlaget for å velge de prinsipper, retningslinjer, prosedyrer, standarder etc. som er nødvendige for at bedriften kan være sikker på at informasjonens integritet, konfidensialitet og tilgjengelighet bevares. Vi ser ulike sikkerhetshensyn i sammenheng med hverandre og i forhold til resten av virksomheten, og vi må forstå hva som kreves av et styringssystem for informasjonssikring. I praksis gjennomfører vi da det som kalles sikkerhetsledelse. Omfang og innhold av sikkerhetsledelse kan være vesensforskjellig i forskjellige bedrifter fordi behovet er vesensforskjellig. Det er bedriftens konkrete situasjon som avgjør. 4
Grunnprinsipp: Kontinuerlig forbedring Arbeidet må gå kontinuerlig, vi blir aldri ferdige Det vi gjør, må baseres på fakta som vi skaffer oss gjennom målinger og evaluering Arbeidet starter med at vi velger ut og planlegger tiltak for forbedring Disse tiltakene gjennomfører vi Så måler vi hvordan det gikk og hvordan effekten var Basert på dette, vurderer vi om forbedringene var riktige og skal fortsette, eller om det må gjøres nye forbedringer Basert på det vi nå har lært, identifiserer og planlegger vi nye tiltak Dette fremstilles ofte som Demings sirkel: Demings sirkel Iverksette vedlikehold og forbedringer Iverksette Planlegge Planlegge sikringstiltak Følge opp Følge opp hvor godt sikringstiltakene fungerer Utføre Utføre de planlagte sikringstiltak Det viktige poenget: Arbeidet går kontinuerlig. Vi måler og vi planlegger det vi skal gjøre. Så gjør vi det. Identifikasjon av forbedringsbehov Gjennomfør korrigerende tiltak Læring av uønskede hendelser Iverksette Planlegge Forankring Mål for sikkerhetsarbeidet Overordnet sikkerhetspolitikk Gap-analyse Risikoanalyse Velg tiltak for å håndtere risiko Følge opp Revisjoner Måling Oppfølging og evaluering Trend analyser Benchmarking Sikring av bevis Utføre Opplæring, motivasjon, informasjon Sikkerhetskultur, etikk Detaljert sikkerhetspolitikk Prosedyrer og retningslinjer Sertifisering av produkter og systemer 5
Gapanalyse Essensen så langt Arbeidet med informasjonssikkerheten i bedriften bør følge prinsippet om kontinuerlig forbedring. I standardene BS 7799 og NS-ISO/IEC 17799 anbefales det at bedriftens arbeid med sikkerhet styres etter prinsippene fra Demings sirkel for å oppnå kontinuerlig forbedring. En plan for arbeidet Egen del for å fokusere særskilt på forankring Gjennomfør kulturprogram Oppstart Planlegg Evaluer Gjennomfør teknisk program Kontinuerlig forbedring 6
Et ISMS vil ha både en formell del og en uformell del. Hvis det ikke er samsvar mellom disse to vil vi aldri lykkes med sikkerhetsarbeidet i bedriften. En plan for arbeidet Gjennomfør kulturprogram Fokus på den uformelle delen av sikkerhetssystemet. Den vi finner i folks holdninger og bedriftskulturen. Oppstart Planlegg Evaluer Gjennomfør teknisk program Få på plass alle krav, retningslinjer og prosedyrer som skal gjelde. Kontinuerlig forbedring En plan for arbeidet Hver aktivitet er nærmere beskrevet i leksjonen. Legg spesielt merke til: 1. Forankring i ledelsen: Ledelsen formulerer mål og strategi for arbeidet og en overordnet sikkerhetspolitikk for firmaet. Hensikten er å fortelle hva ledelsen forventer av sikkerhetsarbeidet i bedriften og hva ISMS skal gi av resultater. Dette skal også gi klart utrykk for hvilke holdninger de ansatte forventes å ha til sikkerhet. 2. For at et sikkerhetsarbeid skal bli vellykket må hele organisasjonen stå bak. Hensikten med kulturprogrammet er å skaffe slik støtte. Her jobber vi med folks holdninger og kompetanse, og gjøre alle delaktige i arbeidet. 3. For gjennomføring av teknisk program vil standarden NS- ISO/IEC 17799 være til uvurderlig hjelp. Kvalitetssystem Et kvalitetssystem er samlingen av de elementene som ledelsen innfører i bedriften for å kunne styre den. Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. ISMS er en del av bedriftens kvalitetssystem. Kvalitetssystemer kan være mer eller mindre formell og veldokumentert (avhengig av bedriftens behov) 7
Totalt kvalitetssystem Det totale kvalitetssystemet består av tre deler: 1. Det dokumenterte system (håndbøker, stillingsinstruksjoner osv) 2. Det formaliserte system. Dette er det dokumenterte system + alt som er formalisert i bedriftens behandling av ulike styringsspørsmål, selv om det ikke er dokumentert. (Ledermøter, medarbeidersamtaler osv). 3. Det uformelle system. Her finner vi normer, ritualer, holdninger og regler for adferd som ikke lar seg dokumentere i form av prosedyrer og instrukser. Standarder for kvalitetssystemet og for ISMS gjelder for det dokumenterte systemet. Oppsummering Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil - som for kvalitetssystemet - avhenge av bedriftens behov. Det er viktig å være oppmerksom på at ISMS har både en formell og en uformell del, og at bare deler av den formelle kan finnes igjen i dokumentene. Hvis vi vil lykkes med sikkerhetsarbeidet, må vi sørge for at det er samsvar mellom alle delene av ISMS. Det hjelper ikke om vi har verdens beste system på papiret, hvis ingen i bedriften gjør det etter boka. Kilder: Greta Hjertø: Leksjoner og foredrag om kvalitet i programvare og informasjonsforvaltning Tomas M. Huseby: Foredrag på AITeL 13. februar 2003. De fleste foiler er hentet fra disse to kilder. Vær så snill å ikke bruk stoffet i andre sammenhenger uten avtale med forfattere. 8