Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Like dokumenter
Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Rapport. Modenhetskartlegging av programvaresikkerhet i offentlige virksomheter. Forfatter(e) SINTEF IKT Systemutvikling og sikkerhet

Måling av programvaresikkerhetsaktiviteter i utviklingsorganisasjoner

Gode råd til sikkerhetsansvarlige

Måling av programvaresikkerhetsaktiviteter i utviklingsorganisasjoner

Innebygd personvern og personvern som standard. 27. februar 2019

Gode råd til sikkerhetsansvarlige

Sikkert nok - Informasjonssikkerhet som strategi

Måling av informasjonssikkerhet i norske virksomheter

Hvordan beste praksis rammeverk praktiseres aller best

Informasjonssikkerhet En tilnærming

Følger sikkerhet med i digitaliseringen?

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Internrevisjon i en digital verden

Fra teori til praksis

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

Test og kvalitet To gode naboer. Børge Brynlund

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

C L O U D S E C U R I T Y A L L I A N C E

Fakta og myter om BICC.

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Internkontroll og informasjonssikkerhet lover og standarder

INF329: Utvalgte emner i programutviklingsteori Sikkerhetsanalyse av programvare

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Profesjonalisering av prosjektledelse

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

IT I PRAKSIS 2013 DIGITALISERING I OFFENTLIG SEKTOR STRATEGI, LEDELSE, TRENDER OG ERFARINGER

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Difis og Skates bidrag til mer, bedre og samordnet digitalisering

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Nasjonalt arkitekturbibliotek

Ny sektorovergripende føringer - hva skjer?

IKT-STRATEGI

Spørreundersøkelse om informasjonssikkerhet

Seksjon for informasjonssikkerhet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Cyberforsikring for alle penga?

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

KIS - Ekspertseminar om BankID

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Aggregering av risiko - behov og utfordringer i risikostyringen

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

IT Service Management

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

API Katalog sluttbehandling i Skate

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Pressebriefing 11. april 2013

Digitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Dagens. Faglærers bakgrunn IMT 1321 IT-LEDELSE. Faglærer : Tom Røise 11.Jan IMT1321 IT-Ledelse 1

Referansearkitektur sikkerhet

En praktisk anvendelse av ITIL rammeverket

for anskaffelse av Bistand til rekruttering av mellomledere

Profesjonalisering av prosjektledelse

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Høring - Anbefalt standard for transportsikring av epost

Virksomhetsarkitektur i NAV

DIGITALISERINGSSTRATEGI FOR DDV-SAMARBEIDET

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Innhold. Innledning Del 1 En vei mot målet

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Standarder for risikostyring av informasjonssikkerhet

LEDERE MED PASJON OG TEKNOLOGI NYSGJERRIGHET. Copyright 2012 Allinnovation All Rights Reserved.

Styring og samordning av IKT i offentlig sektor

Falske Basestasjoner Hvordan er det mulig?

Hva er et styringssystem?

Sikkerhetsforum 2018

Elektroniske tjenester og ITIL

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Delt opp i tre strategier: forretningststrategi, organisasjonsstrategi og informasjonstrategi.

Barrierestyring. Hermann Steen Wiencke PREPARED.

Revisjon av IT-sikkerhetshåndboka

Usability testing Brukertester

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Førstelinjeforum IKT 2015

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Program for digitale anskaffelser

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Måling av sikringskultur

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

Hva sammenlikner vi med? Historien Mulighetene Forventningene

Avvikshåndtering og egenkontroll

Vedlegg B: Behandling i Standardiseringsrådet, DANE

Planlegging av øvelser

DIGITALISERING I OFFENTLIG SEKTOR

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann


IS IT og forretningsutvikling

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Hvordan kan rammeverk for Prosjekt-, Program- og Porteføljestyring (P3M) bidra til økt gevinstrealisering?

Riksrevisjonens innføring, tilpasning og bruk av nye internasjonale regnskapsstandarder (ISSAI) Mai 2012 ISF II

Virksomhetsarkitektur i Difi. Hvordan få nytte av virksomhetsarkitektur Bjørn Holstad, seksjonssjef Difi Nokios,

Fakultet for informasjonsteknologi, Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN I. TDT42378 Programvaresikkerhet

Transkript:

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed, SINTEF Håkon Styri, Difi

Difi: Seksjon for informasjonssikkerhet Jobbe for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Forenkle Fornye - Forbedre.

Bakgrunn for studien 2015: Handlingsplan for informasjonssikkerhet i staten

Utvalget 32 offentlige virksomheter invitert til å delta Har større digitaliseringsprosjekter (Antar) har interne utviklingsmiljøer 20 svarte (62,5%)

Hva har vi gjort? En spørreundersøkelse knyttet til i hvilken grad aktiviteter for å sikre programvaresikkerhet er tatt i bruk som en del av programvareutviklingsprosessene i 20 offentlige virksomheter. Undersøkelsen er basert på rammeverket til Building Security In Maturity Model (BSIMM). https://www.bsimm.com/ 5

Agenda Hva er BSIMM? Metode for datainnsamling og rangering av resultater Virksomhetenes modenhetsnivå Oppsummering og videre arbeid 6

BSIMM En studie av en rekke virksomheter (67) og deres programvaresikkerhetsaktiviteter Et Rammeverk som beskriver aktiviteter som gjennomføres hos en større andel av de virksomhetene som er med i BSIMM-studien. Måler hvilke aktiviteter som inngår i en virksomhets samlede livssyklus for sikker utvikling av programvare (Secure Software Development Lifecycle SSDL). Konseptet "programvaresikkerhetsgruppe" (Software Security Group SSG) er sentralt de som har ansvaret for å følge opp programvaresikkerheten i en virksomhet. 7

BSIMM programvaresikkerhetsrammeverk Ledelse og styring (Governance) Strategi og måling (Strategy and Metrics) Etterlevelse av lover, regler og retningslinjer (Compliance and Policy) Opplæring og øvelser (Training) Programvaresikkerhetsrammeverk (Software Security Framework) Etterretning SSDL Trykkpunkter (Intelligence) (SSDL Touchpoints) Angrepsmodeller Arkitekturanalyse (Attack Models) (Architecture Analysis) Sikkerhetsfunksjonalitet Kodegjennomgang og design (Code Review) (Security Features and Design) Standarder og krav (Standards and Requirements) Sikkerhetstesting (Security Testing) Utrulling (Deployment) Penetreringstesting (Penetration Testing) Programvaremiljø (Software Environment) Konfigurasjonsstyring og sårbarhetsstyring (Configuration Management and Vulnerability Management)

Agenda Hva er BSIMM? Metode for datainnsamling og rangering av resultater Virksomhetenes modenhetsnivå Oppsummering og videre arbeid 9

Deltakerne 20 norske offentlige virksomheter For enkelte virksomheter har flere personer vært involvert i besvarelsen Følgende roller har vært involvert: IT-direktør IKT-rådgiver Avdelingsdirektør utvikling IT-sjef drift Seksjonssjef IT Seksjonsleder utvikling Gruppeleder IT-leder Utviklingsleder Løsningsarkitekt Sjefsarkitekt Sikkerhetsleder Informasjonssikkerhetsleder Sikkerhetssjef Sikkerhetsarkitekt Informasjonssikkerhetskonsulent Sikkerhetsanalytiker Sikkerhetsrådgiver Senioringeniør Seniorrådgiver Systemutvikler 10

Spørreundersøkelse og Oppfølgingsintervjuer Selve spørreundersøkelsen Generell bakgrunnsinformasjon knyttet til: Stilling, antall utviklere i virksomheten, andel av innleide utviklere og hvorvidt virksomheten kontraherte utvikling av nøkkelferdige løsninger fra eksterne firma. Konkrete spørsmål om hvilke av de 112 BSIMM-aktivitetene virksomhetene utfører i sin daglige drift. Yes / No / Don t Know Oppfølgingsintervjuer Avtalte på telefon eller videokonferanseløsningen GoToMeeting. Sistnevnte løsning ga mulighet til å dele visning av spørreskjemaet med respondenten under intervjuet. 11

12

Dataanalyse og måling av modenhetsnivå Konservativ modenhet (Conservative Maturity; Skala 0-3) en virksomhet får kun godkjent et modenhetsnivå dersom alle aktivitetene i nivået er oppfylt ("Yes"), pluss at alle aktiviteter på lavere nivå også er oppfylt Vektet modenhet (Weighted Maturity; Skala 0-6) Høyvannsmodenhet (High Watermark Maturity; Skala 0-3) Samme måte som i BSIMM; Hvis virksomheten har minst en aktivitet på nivå 3 får den modenhetsnivå 3. Høyvannsmodenheten sier derfor kun noe om hvilket nivå den høyest rangerte aktiviteten de utfører er på. 13

Eksempel for en tenkt virksomhet 14

Eksempel, forts. 15

Agenda Hva er BSIMM? Metode for datainnsamling og rangering av resultater Virksomhetenes modenhetsnivå Oppsummering og videre arbeid 16

Fordeling av totalt antall aktiviteter 17

De hyppigst utførte aktivitetene blant alle norske virksomheter https://www.flickr.com/photos/125207874@n04/14450220780/ 18

Overordnede resultater 19

Konservativt modenhetsnivå for de tre mest modne virksomhetene 20

Strategi og måling Hovedmål: Transparens av forventninger og ansvarlighet for resultater. Forankring i toppledelsen Et av områdene med dårligst modenhet. 22

Etterlevelse av lover, regler og retningslinjer Hovedmål: Sikre etterlevelse av relevante lover og regler. Generere artefakter for revisjon. Best modenhetsverdi på alle skalaene; stor prosentandel av svarene er positive. 23

Opplæring og øvelser Hovedmål: Lage en kunnskapsrik arbeidsstokk og rette opp feil i prosesser. Det er overraskende lave tall for opplæring 24

Angrepsmodeller Hovedmål: Kunnskap om angrep som er relevant for virksomheten. Angrepsmodeller er generelt en praksis med lav modenhet. 25

Sikkerhetsfunksjonalitet og design Hovedmål: Etablering av tilpasset kunnskap om sikkerhetsfunksjonalitet, rammeverk og mønster. Bare 15% av virksomhetene sier at de gjør SFD1.1 (Our software security group builds and publishes a library of security features), Mens 80% påstår at de oppfyller SFD 1.2 (Security is a regular part of our organization's software architecture discussion). 26

Standarder og krav Hovedmål: Lage retningslinjer. Også for eksterne aktører. Rundt halvparten av virksomhetene viser tegn til generelt høy grad av modenhet innenfor denne praksisen. 27

Arkitekturanalyse Hovedmål: Kvalitetskontroll. Generelt virker det som om det er lav modenhet innen designgjennomgang og arkitekturanalyse. 28

Kodegjennomgang Hovedmål: Kvalitetskontroll. Kodegjennomgang var også en praksis med gjennomgående lav modenhet. Det er mange som nevner i intervjuene at utviklerne sjekker hverandres kode. 29

Sikkerhetstesting Hovedmål: Kvalitetskontroll Også for sikkerhetstesting observerer vi et generelt lavt modenhetsnivå. Flere respondenter indikerte at testing og QA er noe som utviklerne selv gjør, men at fokuset er på funksjonell testing, ikke sikkerhetstesting. 30

Konfigurasjonsstyring og sårbarhetsstyring Hovedmål: Endringsledelse. Mer enn halvparten av virksomhetene gjør aktivitetene på nivå 1 31

Programvaremiljø Hovedmål: Endringsledelse. Virksomhetene har god tiltro til eget sikkerhetsnivå når det gjelder nettverk og datamaskiner. Det er viktig å huske på at nettverkssikkerhet generelt er mye modnere enn programvaresikkerhet. 32

Penetreringstesting Hovedmål: Kvalitetskontroll Oppdage sikkerhetsdefekter Minst halvparten av virksomhetene gjør de to første aktivitetene på nivå 1 33

Oppsummering Hva gjør leverandører av aktiviteter knyttet til informasjonssikkerhet? Kan være lang veg fra intern kompetanse knyttet til lover og regler, til utvikler/konsulent Ulike kulturer mellom infrastruktur og programvareutvikling Bra at utviklerne sjekker hverandres kode Men er det kunnskap om programvaresikkerhet hos utviklerne? Det er typisk de sikkerhetsansvarlige som sendes på sikkerhetsrelaterte kurs, ikke utviklerne Risikovurderinger på virksomhetsnivå oppleves ikke som relevante for programvareutviklingen Det testes for lite med henblikk på sikkerhet 34

Kunne det gjøres bedre? 35

Veien videre: hva skal vi bruke dette til? Benchmark - nullpunktsmåling Fokusere innsatsen på tiltaksområde 2 og 4: Sikkerhet i digitale tjenester Felleskomponenter Gjøre opp status Fungerer tiltakene? Blir vi bedre?

http://infosikkerhet.difi.no infosikkerhet@difi.no

Spørsmål? twitter.com/ SINTEF_Infosec http://infosec.sintef.no 38

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding