Ta kontroll över informationssäkerheten

Transkript

1

2 Ta kontroll över informationssäkerheten Ledningshaveri är inte IT-haveri Per Strömsjö Ansvarig för DF Kompetens certifieringsprogram inom informationssäkerhet Utbildare och konsult vid

3 Hur uppfattas säkerhet? En fråga om teknik? Bra och eftersträvansvärt? Okontroversiellt? Vem vill inte vara säker?

4 Säkerhet undviker publicitet

5 Våra avgränsningar Säkerhet för vem/vad? skyddsvärd information systemet, processen, tjänsten Skydd mot vem/vad? misstag eller avsiktliga angripare Vilket slags säkerhet? informationssäkerhet tillit till densamma kundinformationen? journalsystemet? förvaltare? hackers?

6 Vari består säkerhet? människa process teknologi i den ordningen

7 Informationssäkerhet - en IT-fråga? IT kan inte avgöra vilka verksamhetsprocesser som är mest kritiska och hur länge de får ligga nere IT kan inte besluta vilka tillgångar som är skyddsvärda IT kan inte styra hur pappersbaserad och annan analog information ska hanteras IT kan inte bestämma vad säkerheten fårkosta (jfr. GDPR) De strategiska överväganden som måste styra säkerhetsarbete kan inte göras av IT

8 Konventionellt säkerhetsarbete regeldrivet? teknikfokuserat? passivt?

9 Samtidigt, i en mognare sektor Strategisk informationssäkerhet 9

10 Vem får acceptera risk? - exempel A Vårt företag produktionssätter ny kod kontinuerligt och kan inte garantera att den är felfri. Någon gång kommer det att leda till en incident som slår på tillgängligheten i våra tjänster och drabbar vår omsättning. Så gör alla. Man hinner inte säkerhetstesta allt. Känns det rimligt? Vem borde ha mandat att acceptera denna risk? Motivera! Strategisk informationssäkerhet 10

11 Regeldriven säkerhet uppfattas som en pålaga ett nödvändigt ont ligger efter dagens regler (gårdagens hot) lägsta möjliga nivå siktar på (skenbar) efterlevnad

12 Informationssäkerhetspolicy - vårt interna regelverk anpassad för, handlar om vår verksamhet ledningens viljeyttring kort och kärnfull, <3 sidor relativt statisk organisationsövergripande ska kommuniceras början till ledningssystem SS-ISO/IEC Strategisk informationssäkerhet 12

13 Vad ska policyn svara på? vilka är vi? vad betyder informationssäkerhet hos oss? vad ska skyddas? vilka slags säkerhetsansvar behöver tas? på ledningsnivå av medarbetare medarbetares rättigheter Strategisk informationssäkerhet 13

14 Vad ska policyn svara på? till vilka delegeras vilket säkerhetsledningsansvar? ledtråd: inte CISO de ska mäta och redovisa status för ledningen vår ansvarsmodell informationsägare? systemägare? bra medarbetarskap säkerhetsbeteende påföljd vid avvikelse? Strategisk informationssäkerhet 14

15 Delegering genom policy! anpassat redskap för effektiv delegering av ansvar för mätbar säkerhet Strategisk informationssäkerhet 15

16 Vem får acceptera risk? - exempel B Vår kommun har inte full kontroll på lagrade persondata i mejl men vi jobbar på det. Blir vi granskade så kan vi förklara hur vår åtgärdsplan ser ut. Vi är inte sämre än andra. Det finns alltid en risk att persondata (även känsliga) läcker till fel part. Vårt mål är att efterleva alla regler. Känns det rimligt? Vem borde ha mandat att acceptera denna risk? Motivera! Strategisk informationssäkerhet 16

17 Teknikfokuserad säkerhet produkter i centrum skaffa den här lösningen och bli säker svagt processperspektiv processer saknas eller definieras av tekniken bygger inte en kvalitetskultur medarbetare ses som "svagaste länken

18 Hur grundlägga beteende? regler gör inte sådär!

19 Hur grundlägga beteende? regler gör inte sådär! därför att riskperspektiv

20 Hur grundlägga beteende? regler gör inte sådär! därför att riskperspektiv såhär gör vi! kvalitetskultur

21 Vad innebär beteende? Eftersträvad säkerhetsnivå Kan förbättras med förändrat beteende Administrativa skydd Brister som ej täcks av administrativa eller tekniska skydd Regelverk som inte efterföljs Tekniska skydd Tekniska skydd som används felaktigt/kringgås Operativ informationssäkerhet 21

22 Varför gör vi inte rätt? - några vanliga hinder vi gör rätt! regel jobbig att efterleva regel omöjlig att efterleva regel okänd regel saknas 22

23 Öka viljan! ägarskap engagemang samtycke förståelse medvetenhet 23

24 Indikatorer på säkerhetskultur - efter Jan Skriver stark kultur öppenhet och ifrågasättande vilja att lära av vad som gått fel ledningen prioriterar säk. i ord och handling ansvar och befogenheter tydliga produktionspress: säkerhet senareläggs saknar helikopterperspektiv det har ju gått bra hittills riskförståelsen är inte gemensam svag kultur

25 Kultur för tillit och kvalitet! beteende engagemang lokalt ägarskap medarbetaren er starkaste länk Strategisk informationssäkerhet 25

26 Vem får acceptera risk? - exempel C Vårt bolag hanterar betalningar. Vi krypterar datatrafik. En gång stannade tjänsten pga att giltighetstiden för ett certifikat gått ut. Produktägaren beordrade (mot driftens vilja) att tillfälligt stänga av krypteringen för att inte tappa tillgänglighet under det att certifikatsproblemet löstes. Under ett par timmar gick datatrafiken i klartext. Känns det rimligt? Vem borde ha mandat att acceptera denna risk? Motivera! Strategisk informationssäkerhet 26

27 Passivt förhållningssätt reaktivt omvärlden definierar vår ambition bygger inte tillit varför lita på en organisation som inte vill säkerhet? missar konkurrensfördel kvalitet/säkerhet som möjlighet att stärka affären

28 När byggs säkerhet? Proaktivt Reaktivt

29 It s the economy, stupid! - Bill Clinton, 1992 Strategisk informationssäkerhet 29

30 Motståndaren

31 Varför vill vissa illa? pengar politik makt

32 Koll på det skyddsvärda? informationssäkerhet handlar om att skydda information fokus på de (mest) skyddsvärda informationsobjekten klassificera erinformation, säger regelverken vanligen en isolerad projektaktivitet om det alls görs information ofta mer statisk än organisation och rutiner

33 Er informationsmodell! kartan över era skyddsvärda tillgångar, återanvändbar ledstång för projekt och styrning Strategisk informationssäkerhet 33

34 Specifikt Hur är ett bra säkerhetskrav? Mätbart funktionalitet testbar negativa krav kan verifieras Accepterat Realistiskt Tidsatt

35 Varför mäta informationssäkerhet? Det övergripande syftet är att ge underlag för beslutsfattande inom ramen för riskhantering Vad kostar konsekvenserna av incidenter? Vad kostar våra säkerhetsåtgärder? Är det rätt säkerhetsåtgärder, till rätt kostnad? Hur förhåller vi oss gentemot jämförbara organisationer? Operativ informationssäkerhet 35

36 Kan vi mäta incidenter och hot? Känd incident Okänd incident Okänt hot överraskade av att incident inträffat vet ingenting! Känt hot känner till att väntad incident inträffat vet att incident kan inträffa, men inte att det har hänt Strategisk informationssäkerhet 36

37 Vad vill vi mäta (och varför)? vad vi gjort? vad vi åstadkommit? vad som hänt? vad som kan hända?

38 Börja mäta informationssäkerhet! börja pröva börja enkelt börja nu Strategisk informationssäkerhet 38

39 Säkerhet som kvalitet Kvalitet byggs med krav och test Säkerhet en form av kvalitet Är säkerhet annorlunda? Borde säkerhet vara annorlunda?

40 Skalbarhet, någon? kontroll tillit Strategisk informationssäkerhet 40

41 Att ta med hem!

42 Ny kurs - Premiär Stockholm 15 dec! Informationssäkerhet för ledare

43