Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38
Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk for informasjonssikkerhet
Informasjonssikkerhet og modenhet Karakteristikk Ad hoc Sårbarhetsbasert Fokus Hendelser Sårbarheter, implementere tiltak Avhengigheter Personell, lokale helter Personell, katalog over sårbarheter Tilnærming Risikobasert Identifisere kritiske aktiva, implementere kontroller Lokal risikoledelse, operasjonell kontekst, katalog med praksiser Virksomhetsbasert Kritiske aktiva og prosesser, og strategiske drivere, fokusere på organisatorisk robusthet Dyktighet og leveringsevne, andre indikatorer på organisasjonens evner system med interne kontroller, fremragende IT-tjenester og drift Kilde: Carnegie-Mellon University
Helhetlig risikostyring Hvilke faktorer er avgjørende for måloppnåelse? Hvordan kan nye og endrede risikoer identifiseres? Hvilke av disse risikoene er vurdert som vesentlige i forhold til måloppnåelse for virksomheten? Hvordan etablere hensiktsmessige styrings- og kontrollmekanismer som balanserer risiko, kontroll og kost/nytte ved ulike tiltak og kontrollaktiviteter? Hvordan få bekreftet at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt?
Definisjon av Enterprise Risk Management a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Kilde: COSO Enterprise Risk Management Integrated Framework.
COSO ERM COSO: Committee of Sponsoring Organisations ERM: Enterprise Risk Management Utgitt 2004
Risikostyring i Staten Utgitt av Senter for Statlig Økonomistyring Bygger på COSO ERM Utgitt 2005
Helhetlig risikostyring som en prosess Informasjon og kommunikasjon Målsettinger og virksomhetens risikopolicy Spesifisering av Roller & Ansvar Identifisering av risikoer Vurdering & håndtering av risiko Etablering & Oppfølging av Kontrollaktiviteter Eksisterende strategi, forretningsplan og målsetninger Risikoappetitt Risikotoleranse Risikopolicy Styret Ledelsen Ansatte Samarbeidende aktører Påvirkningsfaktorer Teknikker Innbyrdes avhengighet Skille mellom risiko og muligheter Evaluere og velge alternativer for håndtering Integrering med risikohåndtering Valg av kontrollaktiviteter Retningslinjer og rutiner Internt miljø Kultur for risikostyring Organisasjon, personal og kompetanse Roller, ansvar og myndighet
Mulige roller og organisering av risikostyringen Styre- og konsernledelse Finansdirektør Operasjonell ledelse Rapportere oversikt Operasjonell ledelse Gjennomføring av hovedprosess: - Risikoidentifisering - Analyse - Tiltak Ansvar for resultater og utfall av risiko Rapportere risiko for enhet Rapportere sikringstiltak Leder for risikostyring Støtte og pådriver i hovedprosess: - Risikoidentifisering - Analyse - Tiltak Håndheve felles begrepsapparat Støtte i å lære opp og integrere risikostyring i enhetene Avstemme metodikk og verifisere gjennomføring Avdelingsledere/andre ansatte Utføring av prosesser: - Risikoidentifisering -Analyse - Håndtering og kontroll
Forholdet mellom risikostyring, strategi og internkontroll Strategi Strategisk retning/ porteføljestrategi Forretningsplan/ tiltak Budsjett Resultatmåling Risikoanalyse Internt miljø Målsettinger og virksomhetens risikopolicy Spesifisering av Roller & Ansvar Informasjon og kommunikasjon Identifisering av risikoer Vurdering & håndtering av risiko Etablering & Oppfølging av Kontrollaktiviteter Internkontroll Miljø for internkontroll Risikoanalyse Definere & Etablere kontroller Informasjon & Kommunikasjon Overvåking
Hvilke rammeverk skal man velge? Et som er anerkjent? Et som konsulenter anbefaler? Et som er er fritt tilgjengelig? Et som noen andre bruker? Et med sertifiseringsmulighet? Benytte flere rammeverk?
4 mulige rammeverk ITIL ISO 27000-serien CobiT NIST 800-serien
ITIL IT Infrastructure Library Utgitt av Office of Government Commerce (OGC) i Storbritannia ISO 20000: Information Technology Service Management ITIL Security Management (1999), sikkerhetsledelse ITIL Service Delivery (2001), leveranse av IT-tjenester ITIL Service Support (2001), håndtering av henvendelser, feilsituasjoner, endringer og patching ITIL Application Management (2002), støtte for utviklingsprosessen for applikasjoner ITIL ICT Infrastructure Management (2002), håndtering av inrfrastruktur ITIL Business Perspective: The IS View on Delivering Services to the Business (2004), beskrivelse av hvordan forretningskrav kan motes av ITtjenestene
ISO 27000-serien Utgitt av International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC) ISO/IEC 27000 Fundamentals and vocabulary ISO/IEC 27001:2005 ISMS 1 - Requirements (revidert BS 7799 Part 2) ISO/IEC 27002 Code of practice for information security management, lanseres 2007 - nåværende ISO/IEC 17799:2005 ISO/IEC 27003 ISMS implementation guidance (under utvikling) ISO/IEC 27004 Information security management measurement (under utvikling) ISO/IEC 27005 Information security risk management (basert på og erstatter ISO/IEC TR 13335 MICTS Part 2, under utvikling) ISO/IEC 27006 Requirements for bodies providing audit and certification of ISMS (publisert 2007) 1. ISMS Information Security Management System
CobiT Control Objectives for IT Publisert av IT Governance Institute (ITGI) Promotert av Information Systems Audit and Control Association (ISACA) Henvender seg spesielt til toppledelse, forretningsledere, ITledelse og revisorer Opprinnelig utviklet med fokus på IT-revisjon Videreutviklet til IT-kontrollsystem 4 områder Planlegging og organisering Anskaffelse og implementering Leveranse og support Overvåke og evaluere 34 prosesser med kobling mot ITIL 5 IT-Governance fokusområder Strategisk tilpasning Verdien av bidrag Styring av ressurser Styring av risiko Måling av utførelse Fokus på hva som skal oppnåes, ikke hvordan
NIST 800-serien Utgitt av National Institute of Standards and Technology (NIST) i USA 800-serien dedikert sikkerhet Utvalgte publikasjoner beskriver metodikk for risikoanalyse og rammeverk for styring og kontroll
Målsettinger og virksomhetens risikopolicy ITIL Fokus på SLA og leveranse av IT-tjenester til forretningsvirksomheten. Ingen detaljert beskrivelse av sammenheng mellom forretningsmål og informasjonssikkerhet. ISO 27000-serien Krever at det skal være en kobling mellom forretningskrav og informasjonssikkerhet, men sier ikke hvordan. CobiT Detaljerte eksempler på kobling mellom forretningsmål og KPI'er og KGI'er for informasjonssikkerhet. NIST 800-serien Detaljert beskrivelse av risikoappetitt og krav til sikring for ulike typer systemer. Tydelig fokus på kobling mot virksomhetskrav - men eksempler rettet mot offentlig virksomhet i USA.
Spesifisering av Roller & Ansvar ITIL Detaljert beskrivelse av relevante roller og organisering, men for informasjonssikkerhet vises det til ISO 27001. Flere av rollene i ITIL er imidlertid svært relevante for informasjonssikkerhet. ISO 27000-serien Primært beskrive at en organisasjon skal være på plass, ikke beskrive ulike roller. CobiT Beskrivelse av roller og organisering, men fokus på generelle funksjoner og ikke sikkerhetsfokusert NIST 800-serien Detaljert beskrivelse av roller og organisering relatert til informasjonssikkerhet
Identifisering av risikoer ITIL I liten grad nevnt, og ingen god metodikkbeskrivelse. ISO 27000-serien ISO TR 13335 beskriver ulike typer metodikk, men gir lite informasjon om selve gjennomføringen, overlater til leseren å finne en egnet metodikk. Krav om at risikovurderinger skal gjennomføres i ISO 27001. CobiT Kontroll at risikovurderinger er på plass, men ingen beskrivelse av gjennomføring av risikoanalyser. NIST 800-serien Detaljert beskrivelse av gjennomføring, inkludert forslag til ulike nivåer for risiko, sannsynlighet og konsekvens. (Anbefaling: benytt trusselmodellering/dread sammen med denne)
Vurdering & håndtering av risiko ITIL Detaljert beskrivelse av flere relevante prosesser. Viser til ISO 27000-serien for konkrete sikringstiltak. ISO 27000-serien God beskrivelse av mulige sikringstiltak. CobiT Beskrivelse av kontroller, ikke sikringstiltak. NIST 800-serien Krav til sikring avhengig av klassifisering av informasjon. God og svært detaljert beskrivelse av mange sikringstiltak, mer omfattende enn ISO 17799, men noe vanskeligere tilgjengelig.
Etablering & Oppfølging av Kontrollaktiviteter ITIL Ikke fokus på selve oppfølgingen kontrollene. Prosesser for håndtering av hendelser og årsaker til feil ofte systemorienterte. ISO 27000-serien Krever at effektiviteten til sikringstiltakene skal evalueres, men sier ikke hvordan. CobiT Primærfokus på oppfølging av kontroller, men mindre del direkte fokus på informasjonssikkerhet. NIST 800-serien Detaljert beskrivelse av hvordan kontroller kan følges opp med egenevalueringer og rammeverk for vurdering av sikringstiltakene (policy, prosess, implementert, testet, integrert).
Informasjon og kommunikasjon ITIL Fokus og beskrivelser av informasjonsflyt og håndtering av problemer og hendelser, systemorientert. ISO 27000-serien Krav om at dette må implementeres, men lite fokus på hvordan. CobiT Fokus på kommunikasjon mellom kjernevirksomhet og IT. Periodiske gjennomganger gir informasjon om internkontrollen fungerer. NIST 800-serien Rammeverk for å kommunisere status for sikringstiltak og styringssystem. Detaljert beskrivelse av opplæringsprogrammer. Beskrivelse av sertifiserings- og akkrediteringsprosesser.
Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Spørsmål?