Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund
Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser
Hva er IT-sikkerhet? God IT-sikkerhet innebærer at du har styring på risikobaserte administrative, tekniske og regulatoriske tiltak i din virksomhet slik at Informasjon ikke skal komme på avveie eller bli ødelagt Informasjon er tilgjengelig og korrekt Tilgang til og endringer av informasjon er sporbare Lov- og regelverk samt avtaler med forretningspartnere er oppfylt IT-sikkerhet omfatter tiltak innen følgende områder Fysisk sikring (adgang, brann, vann, strøm, datarom etc) IT-teknologien du anvender Driften av IT Organisering, ansvar og styring Policy og regelverk Sikkerhetskultur Du kan godt kjøpe IT-tjenester, men ansvaret for IT-sikkerhet er ditt
Arbeidsmetodikk i 10 punkter - IS 1. Kjenne og forstå virksomheten 2. Rammebetingelser 3. Informasjon 4. Trusselbildet 5. Mål: Ledelsens krav konsekvenser «BIA - Business Impact analyse 6. Hvilke sikkerhetstiltak fins? Sårbarheter? 7. ROS-vurdering, forslag til tiltak 8. Risiko- og tiltaksbehandling 9. Plan for å håndtere IT-krisehendelser 10. Styringshjulet
Trusler - Datakriminalitet Malware ID-tyveri DDOS Eget lovbrudd Utro tjener Sabotasje Tyveri
Konsekvenser - datakriminalitet Produksjonstans Ødelagt informasjon Dataspionasje Omdømme Springbrett http://www.nrk.no/sognogfjordane/hotell-utsett-forangrep-av-datahackarar-1.12430621
Andre trusselområder 1. Naturhendelser 2. Underleverandører (strøm, Internett) 3. Uhell (driftsfeil/-mangler, utilsiktet utlevering) 4. Feilfunksjonering 5. Brann, vann Finnes rutiner/opplegg for hendelses-/trusselshåndtering?
«Hvor skal vi?», spurte Nasse Nøff. «Jeg vet ikke», svarte Ole Brumm - og så gikk de dit
Mål: Krav til sikkerhetsnivå / BIA MDT maks datatap MNT maks nedetid Siste konsistente datakopi Uker Dager Timer Min. Sek. Recovery Point Hendelse inntreffer System tilbake i drift Sek. Min. Timer Dager Uker Recovery Time Hvor lang tid tilbake? Hvor lang tid for gjenopprettelse? Data på avveie/utilsiktet, spionasje MNT inkluderer: Feildetektering/feilretting Recovery av data Ta applikasjoner online
BIA praktisk eksempel fra virksomhet Tjenesteproduksjon stanser Ekstern produksjon går Produksjonssystemene Kundestøttesystemene Datakommunikasjon Personlig IT-utstyr Lokaler MNT 2 dager P > 5 år MDT 1 døgn P = 1-5 år 1 ukes IT-driftsavbrudd 3000 saker 800 vedtak 300 nye saker 800 kundehenvendelser 800 bestillinger Blir forsinket en uke 1 ukes IT-driftsavbrudd Inntektstap inntil 4 MNOK Overtidskost 2 MNOK Tall vel begrunnet og forankret Omdømme I dagspressen etter 1 2 dager Negative oppslag Overordnet myndighet Direktør
Kontinuitet og ROS sårbarheter, tiltak Fysisk sikkerhet IT-teknologi/applikasjoner Drift Organisering og ansvar Policy og retningslinjer Sikkerhetskultur
Risikomatriser
Risiko- og tiltaksbehandling i ledelsen Vurdere/vedta tiltak Redusere Øke Overføre Fjerne Akseptere
IT-kriseplan (må håndtere x antall hendelser) Nr Beskrivelse Tiltak 1 Brann/eksplosjon som rammer bygning, brukernes arbeidsstasjoner blir ødelagt/ikke tilgjengelig for lang tid 2 Annen hendelse, f eks eksplosjon i omgivelsene eller andre forhold, f eks brann, som gjør at lokalene ikke kan anvendes til ITarbeid begrenset varighet 3 Vannlekkasje i bygning, oversvømmelse i datarom, utstyr i datarom blir ødelagt, lokalene ellers tilgjengelige IT-beredskapsplan iverksettes, se tiltak nr 1, deretter nr 5. IT-beredskapsplan iverksettes, se tiltak nr 2. IT-beredskapsplan iverksettes, se tiltak nr 3. 4 Datalekkasje, uautorisert tilgang/overføring IT-beredskapsplan iverksettes, se tiltak nr 4.
Du må utarbeide tiltak for hver hendelse O DAT AL EK K ASJE, UAUT OR I SERT T I L GANG/OV ERFØ RI NG Bakgrunn Her gjelder det raskest mulig å få stoppet hendelsen, finne årsaken og fjerne den samt vurdere konsekvens, informere etter behov og anmelde forholdet Prioritet Tiltak Ansvar 1. Varsling i tråd med Beredskapsplan Kriseleder 2. Hvis lekkasjen fortsatt pågår, iverksette IT-kriseteam tiltak for å stoppe. Finne årsak og fjerne. 3. Hvis driftsstans, vurdere reserveløsning Kriseteam 4. Vurdere konsekvens Kriseteam 5. Informere internt og til eksterne IT-bruk Kriseteam 6. Melde til relevant myndighet Kriseteam (Datatilsynet, NSM, Finanstilsyn) 7. Anmelde forholdet Strl 145 Kriseteam
Hvorfor gjør vi dette? Avbruddstid (MNT) og datatap (MDT) og risiko for datalekkasje i tråd med virksomhetsledelsens informerte beslutning Optimal økonomi og ressursbruk forbyggende og skadereduksjon Optimal risikoreduksjon for hendelser Krav blir overholdt
Takk for oppmerksomheten! Arild S. Birkelund