Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30
Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet generelt Måling av sikkerhetskultur i en virksomhet
Workshop i måling av informasjonssikkerhet Program 10:00 Introduksjon 10:15 Dilemmatrening - måling 10:40 Måling for internkontrollsystemet 11:30 Gruppearbeid 12:00 Lunsj 12:30 Plenumsdiskusjon måling for internkontrollsystemet 12:45 Informasjonssikkerhetskultur og måling av sikkerhetsklima 13:15 Gruppearbeid 13:45 Plenumsdiskusjon måling av sikkerhetskultur 14:00 Takk og vel hjem!
«Inspection does not improve the quality, nor guarantee quality. Inspection is too late. The quality, good or bad, is already in the product.» (W. Edwards Deming) «You can not inspect quality into a product.»
Hvorfor måler vi? Vi måler for å redusere usikkerhet. Hva måler vi? Arbeidet med å iverksette et sikkerhetstiltak. Kostnad for å opprettholde sikkerhetstiltaket over tid. Formålseffektivitet. Hvor stort bidrag gir sikkerhetstiltaket for reduksjon av total risiko?
Tips fra prosjektarbeidets verden En målsetning bør være SMART Spesifikk (konkret) Målbar Akseptert Realistisk Tidsbestemt
ISO/IEC 27004:2016 - innledning Standarden tar utgangspunkt i ISO/IEC 27001:2013 clause 9.1 «Monitoring, measurement, analysis and evaluation». 9.1 a) What to monitor and measure 9.1 c) When to monitor and measure 9.1 e) When the results should be analysed and evaluated 9.1 d) Who shall monitor and measure 9.1 f) Who shall analyse and evaluate the results 9.1 b) Monitoring, measurement, analysis and evaluation methods
ISO/27004:2016 hva kan overvåkes? Implementering av ISMSprosesser Hendelseshåndtering Sårbarhetsstyring Konfigurasjonsstyring Sikkerhetsforståelse og opplæring Logging av tilgangskontroll og andre avvik/hendelser Revisjonsaktiviteter Risikovurdering Risikohåndtering Risikostyring hos tredjepart Virksomhetskontinuitetsstyring Styring av fysisk sikkerhet Systemovervåking
Eksempler på attributter som kan måles I hvor stor grad reduserer et sikkerhetstiltak sannsynligheten for en hendelse I hvor stor grad reduserer et sikkerhetstiltak konsekvensen av en hendelse Hvor høy frekvens av hendelser kan et sikkerhetstiltak klare før effekten blir dårligere eller tiltaket slutter å virke? Hvor lang tid tar det fra en hendelse inntreffer til et sikkerhetstiltak detekterer hendelsen?
Måleprosessen overordnet beskrivelse Identifiser hvilken informasjon vi ønsker å få frem Beskriv måleaktiviteter som er nødvendig for å fremskaffe denne informasjonen Etabler prosedyrer Overvåk og utfør målinger Analyser resultater (målinger -> informasjon) Evaluer informasjonen (opp mot målsetninger)
Eksempel på beskrivelse Identifikasjon av måle-informasjon (Measure-ID) Beskrivelse av behov: hva er det informasjonen bidrar med (hvorfor måler vi dette)? Hva slags måling er dette? (Utsagn som angir f.eks. prosentandel, frekvens, gjennomsnittsverdi, tallverdi) Formel eller utregningsmetode. Målsetning eller forventet resultat. Hvor ofte skal målingen gjennomføres? Hvem skal utføre måling, analyse og vurdering? Hvem eier informasjonen? Hvilke datakilder skal eller kan benyttes? På hvilket format skal resultatet rapporteres?
Måling av sikkerhetskultur Sikkerhetskultur er noe som gjerne kan overvåkes. Det er et godt eksempel på utfordringen med å beskrive informasjonen man ønsker å bruke til styring og som beslutningsgrunnlag. Det er også et godt eksempel på utfordringen med å beskrive hvilke attributter som skal måles og en god beskrivelse av «formel» eller beregning som skal brukes i analysen.
Sikkerhetskultur - indikatorer Det følgende er et forslag til indikatorer som kan brukes i en enkel analyse. Fordelen med å gjøre målingen så enkel som mulig er at den kan utføres regelmessig, f.eks. en gang i året. Forståelse for informasjonssikkerhet Regeletterlevelse Tillit Medvirkning
Indikator - Forståelse Hvor godt mener medarbeidere de forstår begrepet informasjonssikkerhet? Har vi forståelse for relevante sårbarheter og trusler? Opplever medarbeidere at rutiner og verktøy er tilrettelagt arbeidsoppgaver og virksomhetens egenart?
Indikator - Regeletterlevelse Følger medarbeiderne regler / instruks i virksomheten? Har virksomheten er forståelig og hensiktsmessig instruks? (regel-legitimitet)
Indikator - Tillit Har vi tillit til at virksomheten er i stand til å opprettholde tilstrekkelig informasjonssikkerhet og evne til å håndtere uønskede hendelser? Opplever medarbeidere at ledelsen har prioritert informasjonssikkerhet? Har vi tillit til at våre kolleger medvirker til god informasjonssikkerhet?
Indikator - Medvirkning Rapporterer medarbeidere om avvik og sikkerhetsbrudd? Sier medarbeidere fra om sikkerhetstiltak som ikke virker etter hensikten? Deltar medarbeiderne i utforming av informasjonssikkerhetsregler / -instruks? Følger virksomhetens ledelse opp rapporter og gir tilbakemelding? Hvordan opplever medarbeidere responsen på eventuell rapportering?
Referanser til nyttige standarder / bøker ISO/IEC 27004:2016 Information Security Management Monitoring, measurement, analysis and evaluation ISO/TR 10017:2003 Guidance on statistical techniques for ISO 9001:2000 ISO/IEC 15939:2017 Systems and software engineering Measurement process NIST Special Publication 800-55, Revision 1 Performance Measurement Guide for Information Security, July 2008. Aligning Organizations Through Measurement: The GQM+Strategies Approach. Springer 2014.