Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring
Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver 06.12.2012
www.norsis.no 06.12.2012
06.12.2012
Hva gjør vi? Nasjonal Sikkerhetsmåned 100 + foredrag pr år 250 møter pr år 15 medieoppslag pr uke 4.000 på e-post liste/ nyhetsmail Slettmeg, 1. halvår 2012 3.600 henvendelser 756.500 sidevisninger slettmeg.no 06.12.2012
Egne arrangementer Sikkerhetstoppmøte, 3 pr år Security Divas Tilsyn og departement Sikkerhetskultur IDentitet Kraft IS Sikkert NOK - åpning av sikkerhetsmåneden 06.12.2012
NOEN UTFORDRINGER 06.12.2012
Økt sårbarhet Mørketallsundersøkelsen 2012 Tar i bruk mer teknologi Større avhengighet av teknologi Informasjonsverdien øker Synkende sikkerhetsbevissthet 62 % kritisk når ITsystemene er nede inntil 1 dag Halvparten outsourcer ITdriften 06.12.2012
Forskjell og likheter? Utkontraktering Skytjenester 06.12.2012
06.12.2012
TRUSLER VI SER 06.12.2012
Små bedrifter 06.12.2012
06.12.2012
06.12.2012
06.12.2012
06.12.2012
06.12.2012
TU, 11. september 2012 kl. 15:03 06.12.2012
06.12.2012
www.msb.se 06.12.2012
Erfaringer fra MSB Konsentrasjon av it-drift til få, store driftleverandører skaper nye sårbarheter i samfunnet En teknisk feil kan treffe flere deler av samfunnet samtidig. Det skjer raskt, og det er vanskelig for samfunnet og få oversikt over konsekvensene Det er nødvendig med bedre forebyggende sikkerhetsarbeid: Risikovurderinger Informasjonsklassifisering Berdskapsplanlegging Stille krav til sikkerhet 06.12.2012
06.12.2012
Ddos angrep Angrepet Norsk Tipping DNB Politiets sikkerhetstjeneste IT-avisen, Den britiske sikkerhetstjenesten SOCA Den tyske avisen Bild
06.12.2012
TENK PÅ
Tiltak - leverandører Formål http://www.youtube.com/watch?v=ryaz57bn4pq Ansvar og omfang Valg av leverandør Avtaler Overføring til ny leverandør Oppfølging av avtalene og servicenivå
Ansvar og omfang Ledelsen har uansett ansvar for å følge lover/ forskrifter Hva kan / skal leverandører gjøre? Hva er målet med å bruke leverandør? Kostnader, effektivisering, ny teknologi, kompetanse, sikkerhet? Hva er kjernekompetansen i virksomheten? Gjennomfør verdivurdering/ klassifisering Hva er kritisk Ha orden i eget hus Hva skal være inn og hva kan være ute?
Valg av leverandør Anskaffelsesprosessen Prekvalifisering (3-5) Anbudsprosess beskriv hva jobben går ut på Forhandlinger (2-3) Kravspesifikasjon Risikovurderinger Hva kan gå galt? Sammen med leverandøren? Driftsstans, gjenoppretting, sikkerhetskopiering, beskyttelse av informasjon mv. 06.12.2012
Hva er dine krav sikkerhet? Arbeidsdeling sikkerhet, beredskap Krav til Tilgjengelighet (oppe-/ nedetider, feilutbedring) Integritet (tap av data, data på avveier) konfidensialitet Håndtering av lovkrav, f eks personopplysningsloven, beredskapsforskriften Beredskapsløsninger/ planer Sikkerhetsløsninger Lisenser Hvordan måle? Sanksjoner
Avtaler god og balansert Avtaleforhandlinger Bransjeavtaler? Standardavtaler? Må dekke alle faser (Oppstart, drift, avslutning) Viktige krav i alle faser Underleverandører/ 3. part Databehandleravtaler DnDs avtaler IKT-Norge Statens standard Datatilsynet
Avtalens krav til informasjonssikkerhet Følger anerkjente standarder Taushetsplikt Risikovurderinger Sikkerhetsoppdateringer Sikkerhetskopiering/ gjenopprette Sikkerhetsløsninger Tilgang- og adgangskontroll Endringshåndtering Sikkerhetshendelser Beredskap og iverksetting Gjennomganger og sikkerhetskontroller
Overføring til leverandør Ha egne krav ved overføring/ oppstart Gjennomfør risikovurdering av overgangen 06.12.2012
Fallgruver ved utkontraktering Utilstrekkelig kvalitet ved tjenestene Mangelfull kontrakt Uklare ansvarsforhold Dårlig samarbeid/ samhandling Virksomheten mister kompetanse og mangler evne til Å vurdere kvalitet Styring og kontroll (f eks sikkerhet) Å sørge for å følge loven Integrasjon med systemer virksomheten selv drifter Undersøkelse ved BI
Ikke glem Ha tydelige roller hos virksomhet og leverandør Behold noe IT-kompetanse «hjemme» Ha god endringskontroll Risikovurdering ved større endringer Definer målepunkter i SLA Møter jevnlig, f eks månedlig Oppfølging / sikkerhetsgjennomganger
Sjekklister Vær forberedt Mange hjelpemidler finnes Ha kontroll 20.9.2012
Sikkerhetsarbeid er som husarbeid du ser det først når det ikke blir gjort