RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra NTNU Jobbet fulltid med sikkerhet siden 2006 Jobben min er å bryte meg inn i nettbanker. ;-) ( og å bidra til utvikling av sikre(re) og mer robuste applikasjoner og IT-systemer, både i teori og praksis) 2

Risiko risk effect of uncertainty on objectives risiko virkningen av usikkerhet knyttet til mål ISO 31000:2009 Risk Management SN-ISO Guide 73:2009 Risikostyring Terminologi 3

Risiko forklaring virkning Et positivt eller negativt avvik fra forventning usikkerhet Manglende eller ufullstendig informasjon, kunnskap eller forståelse for hva som kan skje, konsekvenser, eller sannsynlighet mål Noe man ønsker å oppnå, innen et gitt område (økonomi, HMS, ), på et gitt nivå (samfunn, konsern, prosjekt, ) 4

5 Unnamed Image by Yann Duarte. CC-BY 2.0 licence https://flic.kr/p/dpt7sq

Risiko forklaring Risiko uttrykkes ofte ved hjelp av: mulige hendelser som kan oppstå sannsynlighet for at hendelsen finner sted de mulige konsekvensene av dette For risiko knyttet til overlagte handlinger fra trusselaktører kan det være hensiktsmessig med andre modeller. 6

Overordnet risikostyringsprosess (ISO 27005) 7

Risikoområder IT-risiko dukker opp i mange sammenhenger: sensitive data og forretningshemmeligheter virksomhetskritiske IT-systemer infrastruktur og teknologi lover og bransjestandarder prosjektgjennomføring outsourcing og cloud systemutvikling? Surgeon s photograph of the Loch Ness Monster Photo by Robert Kenneth Wilson, the Daily Mail (1934). https://en.wikipedia.org/wiki/ File:Hoaxed_photo_of_the_Loch_Ness_monster.jpg 8

Risikoappetitt Mengde og type risiko som en organisasjon er villig til å ta tak i eller ta for egen regning (SN-ISO Guide 73:2009) Bør være beskrevet og forankret, og eierskap plassert Både overordnet risikoeierskap, og operativt ansvar i organisasjonen Kriterier for å akseptere en risiko Hamburger Image by Jeffrey Bary. CC-BY 2.0 licence https://flic.kr/p/n2kzp 9

Risikovillig, eller? Nobels Extradynamit label Image by Tomas er. CC-BY-SA 3.0 licence https://commons.wikimedia.org/wiki/file%3anobels_extradynamit_label.jpg 10

Analysere risiko Må forstå hvilke risikoer man er utsatt for (identifisere risiko) Behov for å vurdere omfanget av disse (estimere risiko), med utgangspunkt i kvantitative og/eller kvalitative mål Analyse omfatter bl.a. aktiva, trusler, sårbarheter, eksisterende tiltak, samt mulige konsekvenser Forankret i forretningsbehov Black Swan family Image by Sergio Valle Duarte. CC-BY-SA 4.0 license. https://commons.wikimedia.org/wiki/file:black_swan_family.jpg 11

Hvordan tegne risikobildet? Sentrale forretningsprosesser og -behov Verdivurdering og klassifisering Penetrasjons- og sikkerhetstesting Sårbarhetsanalyser Revisjon av løsning og design Intervju med relevant personell Aktuelle trusler og trusselkilder Lover, standarder, og god praksis Trusseletterretning Eksterne informasjonskilder, OSINT? Puzzle. Image by INTVGene. CC-BY-SA 2.0 licence. https://flic.kr/p/ymkw9 12

Trusler threat potential cause of an unwanted incident, which may result in harm to a system or organization ISO 27000:2014 threat-source The intent and method targeted at the intentional exploitation of a vulnerability or a situation and method that may accidentally exploit a vulnerability NIST Special Publication 800-30: Guide for Conducting Risk Assessments 13

Sårbarheter vulnerability Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited by a threat source. NIST Special Publication 800-30: Guide for Conducting Risk Assessments Sårbarhetsanalyser er systematiske undersøkelser for å vurdere effektiviteten til eksisterende sikkerhetstiltak, avdekke sårbarheter, og danne grunnlag for vurdering av potensielle tiltak. 14

Håndtere og overvåke risiko Vi har evaluert en risiko, hva gjør vi nå? Akseptere? Dersom vi mener at risikoen er akseptabel. Redusere? Hvis vi kan etablere effektive tiltak. Unngå? Kan vi endre adferd for å fjerne eller redusere risikoen? (Overføre?) Kan vi tegne forsikring, eller på annen måte flytte ansvaret? Flytting av risiko er sjelden et fullgodt alternativ. 15

Så da er vi trygge, da? Unnamed. Image by daspunkt. CC-BY 2.0 licence. https://flic.kr/p/fbsghi 16

Hendelseshåndtering Av og til blir risikoer til realitet. Målet med hendelseshåndtering er å løse avvikssituasjonen og gjenopprette normaltilstand. 1. Varsling og eskalering 2. Problemløsning 3. Gjenoppretting 4. Debriefing 5. Normalisering Train Wreck at Montparnasse 1895 Image by Levy & fils. Public domain. https://commons.wikimedia.org/wiki/ File:Train_wreck_at_Montparnasse_1895.jpg 17

mnemonic Risk Services 21 erfarne sikkerhetskonsulenter 3 konsulenter med doktorgrad (Ph.d.) 8 sertifiserte IT-revisorer (CISA) 8 CISSP-sertifiserte konsulenter Område i sterk vekst Trekker på hele mnemonic (80+ konsulenter) for å møte spesifikke kompetansebehov. 18

Tjenesteområder Risikoledelse / virtuell CISO Risikoanalyse og risikovurdering GRC-verktøy (RSA Archer) Styringssystem for sikkerhet Sikkerhet i industrielle kontrollsystemer Outsourcing og cloud Sikkerhets- og penetrasjonstesting Sikkerhetsarkitektur Utviklingsmetodikk og opplæring Hendelseshåndtering (IRT) Forensics Product image from Wenger North America (April 1st?) Source: http://www.wengerna.com/giant-knife-16999 19

Eksempler fra tekniske oppdrag 20

TAKK FOR OPPMERKSOMHETEN! Ta gjerne kontakt: tor@mnemonic.no / (+47) 970 87 722