Bygging av en sikkerhetsarkitektur -Security Architecture another pie in the sky En kort presentasjon
Bakgrunn... ønsker en felles helhetstenkning for hele foretaket når det gjelder Sikkerhet. Man skal integrere sikkerhetsstyring med kvalitetsrapportering Man ønsker et klart skille mellom strategisk sikkerhetsstyring og operativ sikringskontroll
Dynamiske Statiske Filosofi Administrative, ikke-tekniske Operative, tekniske En sikkerhetsarkitektur bør bygges opp innefor 4 områder: 1. Administrative, ikke-tekniske elementer 2. Operative, tekniske elementer 3. Statiske, langsiktige aktiviteter 4. Dynamiske aktiviteter Fokuserer på 3 pilarer for å oppnå styring og kontroll med IT ( IT- Governance ). 1. Målsetning (kvantifiserbart, målbart) 2. Risiko (Vurdering og analyser) 3. Styring/kontroll (Kvalitetssirkel)
IKT Sikkerhet - to aspekter Administrative, ikketekniske tiltak (Sørge for og Påse tilfredsstillende leveransekvalitet) Sikre at prosedyrer eksisterer og blir fulgt Etablere og følge opp egenkontroll. Omforme et rammeverk til et praktisk og operativt verktøy for internt bruk Cobit ISO 27002 ITIL Tekniske, operative tiltak (Preventive, Detekterende og Korrigerende tiltak) Etablere sikkerhet i nye tekniske løsninger Overvåke og monitorere interne og eksterne hendelser Følge opp og sørge for utbedring av registrerte feil og mangler
Tekniske, operative tiltak IKT Sikkerhetsansvarlig skal i sitt operative virke holder på med 4 oppgaver: Plan Do Act Check slik at et akseptabelt risikonivå for leveranser holdes. Det vil si Planlegger tiltak, Utfører aktiviteter, Reagerer ved uønskede hendelser og sjekker at driftsorganisasjonens rutiner sørger for at sikkerhetshendelser ikke kan gjentas. Preventivt: Deltar aktivt i prosjekter for nye infrastrukturløsninger for å sikre at behov for konfidensialitet, integritet og tilgjengelighet ivaretas sammen med brukeropplevd funksjonalitet. (eks. Ny aksessløsning) Detekterende: Følger opp relevante sikkerhetsrelaterte hendelser og brudd som skjer internt og eksternt på Ad-hoc-basis. Foreslår strakstiltak i samarbeid med fagansvarlig og vurderer langsiktige forbedringstiltak. (eks. Vurdere Sikkerhetspatcher, etablere Incident Response Team etc) korrektive: Følger regelmessig opp innregistrerte risikoer som er lagt inn i Internkontrollsystemet. Aktivt sammen med fagansvarlige iverksette tiltak for å hindre gjentagelse ved å etablere arbeidsprosesser som medfører IT drift innenfor ledelsens akseptable risikonivå. (eks. Gi ansatte en forståelse av viktigheten av å følge prosedyrer som ITIL beskriver og av egenkontroll og dokumentasjon slik at man gjør tingene riktig første gang og hindrer gjentagelse av feil)
Administrative, ikke-tekniske tiltak Tilfredsstillende leveransekvalitet i form av stabil drift og minimalt med feil, plunder og heft kan kun oppnås ved økt forståelse for langsiktig IT Governance (forvaltning som hindrer problemer i å oppstå) fremfor dagens mer kortsiktige IT Management (fiksing/brannslukking av problemer). Dette krever en langsiktig (organisasjons-) utvikling av de ansatte innen foretaket. Alle normale daglige driftprosesser må være dokumentert i form av prosedyrer. Avvikshåndtering må være beskrevet og spesielle kontrollaktiviteter som beviser at jobben er utført tilfredsstillende må dokumenteres og etterleves. Sikkerhetsansvarlig har en kontrollfunksjon for å sikre at slike prosedyrer eksisterer og blir fulgt og kan fremlegges ved tilsyn/revisjon. For å oppnå en slik leveransekvalitet overfor revisor/tilsyn, må sikkerhetsansvarlig i samarbeid med fagansvarlige gjennomgå hvordan man jobber i dag, er det tilfredsstillende prosedyrer som eksisterer og hvordan kan vi etablere en egenkontroll som sikrer kvaliteten i det arbeidet som utføres. Derfor må det beskrives egen- og nøkkelkontroller som kvalitetssikrer utført arbeid og leveransene. Til å hjelpe med en slik forståelse av hva som må og bør gjøres, kan Cobit bli benyttet som et rammeverk som må tilpasses og omformes til praktiske, operative beskrivelser av hva gjør vi i dag. De fleste ideelle prosessene beskrevet i Cobit blir gjort i dag, men ikke i form av en bevisst og etterprøvbar handling. Sikkerhetsansvarlig har et ansvar for å knytte dagens handlinger opp mot eksisterende IKT Sikkerhetspolicy og sørge for at IT personell kan legge frem dokumentasjon og bevis for sine aktiviteter.
IKT Sikkerhetsansvarligs oppgaver IKT Sikkerhetsansvarlig har som oppgave å følge opp at IKT-organisasjonen faktisk utfører de daglige driftsoppgavene de er pålagt. I tillegg har IKT Sikkerhetsansvarlig et eget ansvar for å ha kunnskap, kompetanse og evne til å etablere og forvalte. en Sikkerhetsplanlegging hvor alle oppgaver og prosesser skal samhandle og bringe mer effektivitet og leveransekvalitet. (Sikkerhet og internkontroll) rutiner for Identity Management (Autentisering og Autorisering av brukere). prosedyrer for Brukerkontoer slik at de blir opprettet, endret og slettet etter som brukerens arbeidsoppgaver og stilling endrer seg i virksomheten. testing, overvåkning og monitorering av særskilte sikkerhetsløsninger som foretaket har valgt å bruke for å forsikre seg om at kvaliteten på løsningene er tilfredsstillende over tid og holder tritt med teknologiske nyvinninger. beskyttelse av sikkerhetsteknologi (IDS, firewall, Active Directory etc) slik at den ikke kan bli kompromittert, endret eller forbigått av inntrengere. tiltak som motstår og oppdager ondsinnet kode/ virusangrep og foretar korrektive tiltak ved angrep. (Incident Response Team) rutiner for sikring av utveksling av sensitive data slik at informasjonen er tilgjengelig og gyldig når autoriserte brukere ber om den.
Ledelsens tilslutning nødvendig Modellen er dynamisk og kan bygges ut med flere funksjoner/ fagområder dersom det er behov for det. Dette gir et helhetssyn og ikke alt vil komme på plass med en gang. Det er en stor elefant, og vi starter med å spise snabelen.. Det viktige er at: 1. Man får forankring for konseptet, og at visjon og sikkerhetspolicy fort blir etablert og sanksjonert av Ledelsen/Styret 2. Risk Manager hurtig utarbeider prinsipper for de viktigste sikkerhetsområdene. Prinsippene vil vise hvilke samfunnsmessige krav som stilles og hvilke anerkjente standarder som skal benyttes. 3. De operasjonelle enhetene adopterer konseptet og på bakgrunn av gitte prinsipper/standarder, utarbeider en strategi som viser hvilke satsninger man vil gjøre innenfor en 2-års periode. Alle mål man setter opp må være kvantifiserbare, slik at man kan måle forbedringen.(2-4 områder) 4. Det etableres kvalitetsrapportering som muliggjør oppfølging overfor de mål strategiene setter.
Et eksempel Fra en stor sentral bank
Forslag til Visjon Sikkerhet - Fra Styret Konsernledelsen har løpende, helhetlig og effektiv oversikt og kontroll med risiko knyttet til begrepene Etikk, Sikkerhet, Internkontroll og Kvalitetssikring Sikkerhet omfatter: Fysisk sikkerhet, Svindel, Beredskap, IT-sikkerhet, Sikkerhetsarkitektur, Personellsikkerhet og Kvalitetssikring
Forslag til Sikkerhetspolicy Verdier, dokumenter og informasjon, både skriftlig, elektronisk og muntlig, skal beskyttes mot uautorisert endring, ødeleggelse, offentliggjøring eller tap. Alle ansatte skal gis opplæring og settes i stand til å forstå og utføre vedtatte sikkerhetsrutiner og instrukser. De skal også beskyttes mot de skader og trusler de kan utsettes for i sitt arbeid for konsernet Kunder og publikum skal beskyttes mot ulike trusler når de benytter konsernets tjenester, eiendommer eller lokaler.
Dynamisk Statisk Arkitekturens hierarki Visjon Sikkerhetspolicy Prinsipper Sikkerhetsarkitektur Prinsipper IT-sikkerhet Prinsipper Beredskap Prinsipper Fysisk Sikkerhet Prinsipper Uregelmessigheter og Misligheter Prinsipper Intern kontroll Prinsipper Personell Sikkerhet Strategi 2-3 års perspektiv Strategi 2-3 års perspektiv Strategi Data recovery Strategi IT/ Kontinuitet 2-3 års perspektiv Strategi Fysisk/Terror 2-3 års perspektiv Strategi 2-3 års perspektiv Strategi (ekstern) 2-3 års perspektiv Strategi (Intern) 2-3 års perspektiv Strategi 2-3 års perspektiv Strategi 2-3 års perspektiv Funksjoner og prosesser Retningslinjer Retningslinjer Retningslinjer Retningslinjer Retningslinjer Retningslinjer Retningslinjer Roller Ansvar Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner Arbeidsrutiner = Det administrative/organisatoriske som Risk Manager vil jobbe med = Det operative, tekniske som operative sikkerhetsenheter vil jobbe med
Prosesser Beskrivelse av strategiske prosesser innen administrativ sikkerhetsadministrasjon Strategiske prosesser Strategi for organisatiriske prosesser, roller og funksjoner. Strategi for Innføring av nytt dokumenthierarki Strategi for Innføring av Standarder og måloppnåelse Strategi for Bevisstgjøring Strategi for Risikokartlegging og (myndighets-) rapportering Strategi for Utarbeidelse av maler, web, layout etc. Strategi for Revisjoner/ sertifiseringer Konkrete aktiviteter, tjenester og anskaffelser. = Det administrative/organisatoriske som Strategisk sikkerhet vil jobbe med = Det operative, tekniske som operative sikkerhetsenheter vil jobbe med
Prosesser Beskrivelse av strategiske prosesser innen IT-Sikring Strategiske prosesser Strategi for Data Recovery prosesser Strategi for Risikovurdering og -analyse Strategi for Testing av sikkerhet Strategi for Drift og overvåkning Strategi for Utvikling og Implementering. Strategi for Sikkerhetsorganisering og styringssystemer Strategi for Revisjoner/ sertifiseringer Konkrete aktiviteter, tjenester og anskaffelser.
Er sikkerhetsarkitektur et luftslott?
Dynamiske Statiske Sikkerhetsarkitektur Stråmodellen vårt eget rammeverk Implementert i ulike virksomheter Alle sikkerhetsaktiviteter får en felles plan, organisering og oppfølging Administrative, ikke-tekniske Operative, tekniske
SIKKERHET - Må jobbe på flere nivåer Nivå Tjeneste Metode Strategisk Sikkerhetsarkitektur Styrende dokumenter Strategiske valg Stråmodellen Taktisk ROS-analyser Beredskap og kontinuitet Sikkerhetsstandard Beskrive taktiske planer for Sikkerhet inn i IT Prosesser Operativt Overvåkning Sårbarhetsanalyse Design sikre nett Sikringstiltak inn i prosedyrer og arbeidsrutiner Plattform Windows serverplattform, Active Directory, Exchange, Citrix/WTS Sikre mobile løsninger (SSL/VPN), Virtualisering
Modellen dere velger må kunne bygges ut etter behov.
Sikkerhetsarkitektur Fokus på Administrative/organisatoriske, ikke tekniske elementer 1. Visjon og policy 2. Prinsipper som klargjør hvilke standarder som skal følges 3. Strategi for oppfyllelse av sikkerhetsarkitekturens krav 4. Utarbeide organisatoriske funksjoner, roller og ansvar 5. Organisasjonelle avhengigheter må beskrives 6. Bevisstgjøring ved aktivt bruk av kompetansehevende interaktivt opplæringsprogram 7. Beskrive hvordan basiskontroller, prosedyrer og arbeidsinstrukser skal etableres (maler) 8. Etablere et regime for oppfølging og kvalitetsrapportering.
Sikkerhetsarkitektur Fokus på operative, tekniske elementer 1. Tekniske standarder, kvantifisering av mål og risiko 2. Prosesser og systemer, avtaler om kontrollhandlinger og SLA er 3. Sikkerhetsprodukter som gir bedre kontroll 4. Spesielle forhold 5. Revisjons-/overvåkningsverktøy for hendelsesoppfølging og kvalitetsrapportering 6. Prosedyrer /arbeidsrutiner utarbeides basert på maler for å sikre styring og kontroll 7. Oppfølging av ansatte for å sikre at rutiner etterleves og kan dokumenteres utført
Strategi for et Sikkerhetsprogram Administrative, ikke-tekniske Ledelsens tilslutning på Visjon og Policy Utarbeidede Prinsipp-dokumenter fremlegges Daglig leder Omforente strategidokumenter utarbeides av fagområdene. Ledelsens tilslutning for å Etablere/fornye regime for Internkontroll Forprosjekt presenterer forskjellige alternative løsninger Nytt regime på plass til kvalitetsrapportering ved årsskifte. Tekniske, operative tiltak Utarbeide dokumenter ihht. arkitekturens hierarki Alle statiske dokumenter utarbeides Etablere prosjekt for å implementere regime for Internkontroll Metodikk/skjema for rapportering av sikkerhet etableres innen årets utløp Foretningsområdene er i stand til å forvalte sine kvalitetssystemer innen rapportering Etablere omforent målemetodikk Måleparametere etableres fortløpende gjennom året.
Modellen må kunne utvides til omfatte arkitektur over IT Styring og kontroll
Kundens fundament - IT Governance Strategic alignment sikrer at foretningssidens behov ivaretas, at Konsernledelsens og myndighetenes ønsker om styring møtes. Føringer legges ved strategiske IT-planer Value delivery sikrer leveranser av de tjenester som Kunden kjøper fra Leverandøren. Hele leveranseprosessen skal være optimal mhp verdiøkende tjenester og kostnadseffektivitet. Tjenestene kan deles inn i IT Drift, Applikasjonsdrift, Nettverksdrift og Utvikling/Prosjekt eller Service Delivery/Service Support for ITIL Performance measurement Måler leverte tjenester opp mot krav stilt i SLA innen Applikasjonsdrift, IT Drift, Nettverksdrift og implementeringsprosjekter IT Governance Resource Management Risk management krever forståelse i Konsernledelsen med hensyn på å etablere et Akseptabelt Risikonivå. Videre må behovet for Compliance, Beredskap og Risikostyring imøtekommes. Resource management Ivaretar forståelse for ressursutnyttelse i foretaket av personer med kunnskap og kompetanse, Hardware og Software og rettidig informasjon.
Leverandørens verktøy - IT Management Intern kontroll og Compliance Strategisk samarbeid IT-Arkitektur Utviklingsmetodikk Leveranser innenfor områdene: Applikasjonsdrift IT Drift Nettverksdrift Utvikling og prosjekt Måling ved Oppfølging av SLA Kvalitetsmåling for hvert leveranseområde Tjenester IT Governance Resource Management Ressurspool Risikostyring/-analyser Beredskapsplaner Sikkerhetsstandard Intern kontroll Personell Infrastruktur Datasett/Informasjon Applikasjoner
En metodikk, en styring - For Sikkerhet og kontroll IT Governance Stråmodellen Säkerhet Visjon Resource Management Policy Prinsipp Arkitektur Stråmodellen Policy Info.sikkerhet ISO17799/ITIL HMS Beredskap Lovpålagte krav Internkontroll COSO/CobiT Strategi Implementering Organisering IT/IS Kontinuitet Oppfølging og kvalitet Retningslinjer Funksjoner Retningslinjer Planer Planlegge Monitorere Roller Ansvar Prosesser Intern Rapportering Arbeidsrutiner Arbeidsrutiner
En metodikk, en styring - For Styring av tjenester Stråmodellen IT Value Delivery Visjon Policy Policy Prinsipp Arkitektur IT Covernance Critical Business Applications Computer Installations Network Infrastructure Development Environment Strategi Implementering Organisering Change mngt & Identity mngt Delivery & Support Delivery & Support Aquisition & Implement Kommunikasjon Leverandør Funksjoner Ansvar SIG-gruppe SIG-gruppe SIG- gruppe SIG-Gruppe Roller Prosesser IT Governance SLA-oppfølging SLA Resource Management
En metodikk, en styring - For Måling og oppfølging av SLA IT Governance Stråmodellen IT Preformance Mngt Policy (for måling) Prinsipp: (Måling av...) Strategi Arkitektur IT Covernance Implementering Organisering Visjon Policy Critical Business Applications Måling mot Business krav Computer Installations Måling mot Oppetid etc Network Infrastructure Måling mot tilgjengelighet Development Environment Måling mot prosjektmål Resource Management Oppfølging Funksjoner Ansvar SIG-gruppe SIG-gruppe SIG- gruppe SIG-Gruppe Roller SLA -leveranse normer Prosesser SLA
Gevinst: Fra 2 mot 4 på en Maturity Model
Noe dere lurer på? Spørsmål nå Eller kontakt jtb@ageto.no Takk for meg