Rätt säkerhet Kris

Transkript

1 Rätt säkerhet Kris Ingen katastrof med en etablerad incidenthantering Krister Gillén Combitech AB Kjell Wilhelmsson fd CISO, Saab AB 1

2 Det här skall vi prata om Vad vi upptäckte att vi behövde Hur vi gjorde Vad vi uppnådde och sen svarar vi på frågor

3 Hur kan det gå till?

4 Utgångsläge Driftmiljöer lokala men hopkopplade Flera driftorganisationer och partners Samma affärsenhet på minst tre kontinenter Lokal tid

5 Kjell.

6 Vad vi upptäckte att vi behövde Koordinering av aktiviteter över rum och tid Gemensam information över världen Koppling till Krishanteringen på enhets och koncernnivå Stödprocess till IT-Driften Språkregler Omvärldsbevakning Färdiga kanaler till Polis, Cert, Myndigheter, ISP, etc. Identifiering av kompetens, även forensic

7 Inte ett teknikprojekt Människor Strategier Styrning Processer Teknik Vi vände oss till Combitech för att genomföra grundarbetet

8 Mål med projektet Organisation Process Regelverk Kompetens och kontaktförteckning SPOC för rapportering Incidenthandbok Omvärldsbevakning

9 Utgångspunkter ISO Ledningsystem för informationssäkerhet CERT / CC Good Practice från Computer Emergency Respons Team, Coordination Center, CERT/CC ITIL IT Infrastructure Library SIS-ISO/PAS 22399:2008 Guideline for Incident preparedness and operational continuity management Samlade erfarenheter inom Combitech

10 Problemområden Informationssäkerhetsincidenter T. ex Intrång, Obehörig access till information Förlust av information, Felaktigt nyttjande av resurser skadlig kod / virus, etc Som i sin tur kan orsaka bortfall av tjänst, utrustning eller andra resurser eller att sekretessklassad information kommer obehöriga till del. IT-incident -problem i databas -nätverkskort ur funktion -driftincidenter -Applikationsproblem -glömda lösenord Ärenden / Förfrågan -etc -Toner slut i printer -Bildskärm sönder -etc.. Säkerhetsincidenter -olåsta dörrar -inbrott -skadegörelse -Brand -vattenskador -Elförsörjningen havererar -Klimatanläggningar stannar Arbetsmiljörelaterade incidenter

11 Omvärldsbevakning Koncernsäkerhet Affärshot, förändringar i omvärlden Driftleverantörer Produkt och sårbarhetsbevakning ICT-organisationen Teknikbevakning

12 Frågeställningar Hur registreras och kategoriseras IT-incidenter / ärenden? Hur rapporteras de vidare i IT-organisationen och i verksamheten Vilka kriterier styr om det ska kategoriseras som en Informations / IT-säkerhetsincident? Vilka kriterier styr graden av allvarlighet? Vilka roller och funktioner i verksamheten blir inblandade? Hur följs händelser och incidenter upp etc

13 Incident Management Process Funktionen är IT-driftleverantörerna

14 Process för hantering av Informationssäkerhetsincidenter Samverkan internt Affärsenhetsledningar, AE SäkerhetsChefer, CIO, KoncernSäkChef, Beslutsgrupp, Global incidentgrupp, Samverkan externt IT-Driftleverantörer, Polismyndigheten, FMV, FM, andra aktörer Eventuella förändringar i IT-infrastruktur eller organisation Stöddokumentation och rutiner Tillgång till aktuell information om nuläget i verksamheten

15 Koncernledning Corp CMT BESLUTSGRUPP Representant koncernledning IT-Chef Koncernsäkerhetschef Koncern- Informationssäkerhetschef GLOBAL INCIDENTGRUPP Samverkan Intern Expert kompetens Övrig kompetens AE Incident Response Team Samverkan Extern Myndigheter Försvarsindustri etc. Lokal IRT Samverkan Intern AE CMT Berörd AE Samverkan Extern AE Kunder AE Partner etc. 1st line support IT-Supply (7/24) Larmcentral

16 Saab Incident Response Team Central funktion för hantering av informationssäkerhetsincidenter Uppdrag från CIO CIO-office tillsammans med informationssäkerhetschefen Representanter från koncernens driftplatser

17 Dokumentation Operativt Ramverk och Riktlinjer Incidenthandbok

18 Kompetens och Kontaktförteckning Larmlistor: IRT Global Incidentgrupp Beslutsgrupp Kontaktförteckningar: Informationsansvarig på Koncernnivå Affärsenheterna (Ledningar, Säkerhetschefer, IT Chefer) IT Driftorganisationerna Externa kontakter och expertis Myndigheter Informationen finns tillgänglig off-line

19 SPOC för rapportering Nödlägesknapp Intranät BEVAKNINGSCENTRAL VID ICKE ORDINARIE ARBETSTID Telefon: +46 (0) Saab IRT larm- och kontaktadress E-POST:

20 Övningar Med CMT Inom IRT-organisationen Givare på Distans Modul Media Övningsledning Modul Kunder

21 Tänk på 1. Hoten ökar, konsekvenserna blir större 2. Inte bara teknik 3. Verksamheten måste vara med 4. Levande

22 Frågor???????