Mottagarorienterat arbetssätt för styrning av informationssäkerhet. Bengt Berg Head of Compliance Management Services Cybercom Sweden East AB

Transkript

1 Mottagarorienterat arbetssätt för styrning av informationssäkerhet Bengt Berg Head of Compliance Management Services Cybercom Sweden East AB bengt.berg@cybercomgroup.com

2 Del 1: Några utmaningar för säkerhetsstyrningen...eller varför man aldrig kan vara FÖR praktisk

3 1: Att förstå hela sin säkerhetsmässiga statuskarta Förvaltningsobjekt Krav

4 2: Undvika top-down-fällan Strategisk Taktisk Operativ Hur länge kan man arbeta med styrdokument enbart? 10% 90%

5 3: Rationella och spårbara metoder Hur märker ekonomerna att en faktura inte har betalts i ett utländskt dotterbolag? Hur märker logistikerna att reservdelslagret börjar få slut på turboaggregat? Hur märker informationssäkerhetschefen att en riskanalys inte har gjorts inför ett systeminförande? Vi ligger efter här som bransch betraktat

6 Angreppssätt som fungerar Att förstå statuskartan Att undvika top-down Rationella och spårbara metoder Decentraliserad säkerhetsstyrning erat Systemstöd angreppssätt för efterlevnad Effektiv hantering av styrande dokument Instant Security Workflows Kontinuerlig mätning

7 Del 2 Cybercom Sweden East ISO27001 projekt Eat your own dog food Eating one's own dog food, also called dogfooding, is when a company uses the products that it makes.dogfooding can be a way for a company to demonstrate confidence in its own products, and hence a kind of testimonial advertising. For example, Microsoft and Google emphasize the internal use of their own software products. Wikipedia

8 1. Decentraliserad säkerhetsstyrning Att förstå statuskartan Att undvika top-down

9 All informationshantering inom Cybercom System/funktioner N Processer Applikationer Databaser Datorer Nätverk Lokaler

10 Den decentraliserade processen K R T K R T K R T Scope Klassificering GAP Risk Åtgärd

11 2. Systemstöd Att förstå statuskartan Rationella och spårbara metoder

12 Scope Deklarationer Kravkataloger Rapporter Riskanalyser

13 Klassificering K R T K R T K R T

14 GAP-analys

15 Riskanalys

16 Åtgärdsanalys

17 Data Mining... Risk Åtgärder Efterlevnad Uppföljning Bengt Berg

18 3. Hantera styrande dokument Att undvika top-down

19 All dokumentation på Wiki Alla dokument blir enkelt nåbara via vårt Intranät Policydokument Instruktioner (checklistor och krav ligger dock i Compliance Portal) Inbyggd funktion för diskussion om dokumenten Förslag till förbättringar Tolkningsstöd Etc... Återanvändning i kundprojekt Redigering endast av dokumentägaren Inbyggd funktion för versionskontroll

20 4. Instant Security Workflows Att förstå statuskartan Att undvika top-down Rationella och spårbara metoder

21 Instant Security Workflows CISO Webbgruppen Webbgruppen HR HR Nätgruppen Nätgruppen Rapportera incident Incident gruppen Stängda incidenter 27 workflows som implementerar LIS

22 5. Kontinuerlig mätning Att förstå statuskartan Att undvika top-down Rationella och spårbara metoder

23 Mätmetod 1: tekniska granskningar Scanningar och trendanalys enligt CVSS Common Vulnerability Scoring System Olika verktyg Qualys Acutenix Nessus Core Impact CVSS Q1 Q2 Q3 Q4 Q

24 Mätmetod 2: data mining i Compliance Portal

25 Mätmetod 3: Ärendeflöden Prestanda i våra säkerhetsprocesser: Hur lång tid tog det att stänga incidenter, utslaget över varje månad? Hur många utestående kontoförfrågningar har vi haft, utslaget per kvartal? Hur många säkerhetsbulletiner har åtgärdats, hur lång tid har det tagit, vem har åtgärdat?

26 Sammanfattning Tre svåra utmaningar för säkerhetsstyrningen - Statuskartan att veta vilken säkerhet man har - Att undvika top-down-fällan - Rationella och spårbara metoder Bara att prova sig fram till vad som fungerar för er! - Decentraliserade metoder - Satsa på bred statusinhömtning - Använd ärendehanteringssystem - Använd wikis - Mätöveralltdärdetgår!