KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Transkript

1 KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER Metod och resultat Rose-Mharie Åhlfeldt Eva Söderström Marcus Nohlberg Joeri van Laere Christian Lennerholt I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I, H Ö G S K O L A N S K Ö V D E Bild 1

2 PROJEKTGRUPP HÖGSKOLAN I SKÖVDE Marcus Nohlberg Informationssäkerhet, Social enginering, Forensic Rose-Mharie Åhlfeldt Informationssäkerhet Ledning och styrning Eva Söderström Informationssäkerhet, Trust, E-tjänster Christian Lennerholt Databaser, IT-utveckling Joeri Van Laere Krishantering, Informationshantering Bild 2

3 VARFÖR INFORMATIONSSÄKERHET? Information är ett av våra viktigaste arbetsverktyg. Ingen information ingen fungerande verksamhet. God och säker informationshantering är därför en verksamhets- och kvalitetsfråga. Bild 3

4 INFORMATIONSHANTERING I KOMMUNER Sveriges kommuner hanterar en betydande del av samhällets tjänster Kommunernas informationsförsörjning är blir därför en kritisk del i samhällets informationssäkerhet För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt (Informationssäkerhet i kommuner, MSB 2012) Bild 4

5 INFORMATIONSSÄKERHETSMODELLEN Bild 5

6 KARTLÄGGNING INFORMATIONSSÄKERHET Bild 6

7 METOD FÖR KARTLÄGGNING GAP-analys Analyserar gapet mellan det nuvarande läget mot kraven i standarden (ISO/IEC och 27002) Ger en helhetsbild över informationssäkerhetsnivån i kommunens verksamhet baserat på en vedertagen/jämförbar best practice Är en viktig (omfattande) del i den grundläggande analysen för ett införande av ett ledningssystem för informationssäkerhet (LIS). Bild 7

8 METODSTÖD FÖR LIS Bild 8

9 GAP-ANALYS Bild 9

10 GAP-ANALYS Identifiera kunskapskällor Befintliga dokument Utse nyckelpersoner/roller för intervjuer Dokumentera nuläget Platsbesök, intervjuer Dokumentera förbättringsförslag Handlingsplan för åtgärder Bild 10

11 FORSKNINGSUTBLICK Bild 11

12 FORSKNINGSUTBLICK ÖVER METODER FÖR KARTLÄGGNING Utvärdera utifrån ett tillstånd Olika funktioner / roller i en verksamhet Baserat på olika kriterier och mål Nivåer på skydd : D, C1, C2, B1, B2, A1. D= minimalt skydd, A=bra skydd. Utvärdera genom jämförelse Utifrån givna standarder Hur gör andra? (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 12

13 VERKTYG FÖR KARTLÄGGNING AV INFORMATIONSSÄKERHET Matriser Ger helhetssyn på vilka nivåer som är uppfyllda och vilka brister som finns Verksamhetens struktur Organisatorisk support Medvetenhet: utbildning av anställda IT-kompetens: rent generellt (Behnia & Rashid, 2012) (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 13

14 VERKTYG FÖR KARTLÄGGNING AV INFORMATIONSSÄKERHET Mindre enkäter Inför nya policies Saknar riktiga IT-verktyg (Behnia & Rashid, 2012) (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 14

15 VÅRT FÖRENKLADE IT-STÖD - UTMANINGAR Hur översätts GAP-analysens frågebatteri till ett IT-stöd? Kommunanpassa frågorna: hur påverkar det IT-stödet? Förändras arbetsprocessen med kartläggningen om ett IT-stöd används? Hur? Bild 15

16 DEMO Bild 16

17 FÖRBÄTTRINGSFÖRSLAG Processbaserat IT-stöd Utifrån olika roller Säkerhetskrav kopplade till IT-stödet Förslag på frågor som är intressanta för respektive roll Bild 17

18 REFERENSER Behnia, A., Rashid, R.A and Chandry, J.A, A Survey of Information Security Risk Analysis Methods. Smart Computing Review, Vol.2, No.1. Lopes, I and Oliveira, P, Implementation of Information Security Olives: A Survey in Small and Medium Sized Enterprises, New Contributions in Information Systems and Technologies, Vol. 353, pp Sols, R, Information Security Management: Processes and Metrics. Diss, University of Johannesburg. Tu, Z and Yuah, Y, Critical Success Factors, Analysis on Information Security Management: A Literature Review, CSF Analysis on Effective Information Security Management. Bild 18

19 KLISTER GENOMFÖRANDE OCH RESULTAT Bild 19

20 PROJEKTPLAN Planering/Upplägg April - Aug Analys och efterarbete Nov Dec Genomförande Sep- Nov Resultatredovisning Januari 2016 Bild 20

21 FÖRVÄNTAT RESULTAT KOMMUNER På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt, Påskynda och öka arbetet med informationssäkerhet, Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten, Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs, Få en fördjupad information om styrkor och svagheter i skyddet av information, Bild 21

22 FÖRVÄNTAT RESULTAT ÖVRIGT Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt Möjlighet till produktifiering av metod och förenklat it-stöd, Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland Bild 22

23 ORGANISATION AV PROJEKTET Styrgrupp Representanter från SSVIT, HiS, samt deltagande kommuner Projektgrupp Intern grupp med HiS samt Skaraborgs kommunalförbund Extern grupp med ytterligare 2 representanter från deltagande kommuner. Referensgrupp Representanter från både deltagande kommuner i Skaraborg samt övriga Västra Götaland. Bild 23

24 UTVECKLING METODSTÖD Bild 24

25 UTVECKLING AV METODSTÖD Utgångspunkter Befintlig GAP-analys i metodstödet Uppdaterad ISO standard Hur uppdaterade vi GAP-analysen? Kritiska/ickekritiska åtgärder Kommunperspektiv (= fyra extra kritiska åtgärder) Identifiering av roller för respektive kartläggningsområde Samarbete med referensgruppen Kravställning/utveckling av förenklat IT-stöd Bild 25

26 KARTLÄGGNING - PILOTSTUDIE Bild 26

27 KARTLÄGGNING - PILOTSTUDE 15 kommuner i Skaraborg Mål: bidra till etablering av LIS i VGRs kommuner Observera! Varje analys baseras på kommunernas självskattning och analysledarnas subjektiva bedömningar och jämförelse kan endast ske internt inom en kommun. Ett fokus har skett på skola, vård och social verksamhet (duktiga men utsatta verksamheter). Bild 27

28 Arbetssätt Planering Genomförande Efterarbete Uppdatering av metodstöd Förberedelse av GAP-analys Schemaläggning av besök Forskare Referensgrupp Förberedelse av GAP-analys Inbokning av besök Kommuner Pilotstudie hos 15 kommuner Analysförberedelser utifrån resultatet Sammanställning och förbättringsåtgärder på kommunnivå Helhetsresultat och projektdokumentation Förbättringsåtgärder metodstöd Bild 28

29 Bedömningsnivåer Bedömningen är graderad i fyra nivåer: 0 = Ingen efterlevnad 1 = Bristande efterlevnad 2 = Acceptabel efterlevnad 3 = Stor efterlevnad Maxvärde: 3 Normvärde: 2 Kommunernas genomsnitt: 1,2 Bild 29

30 Bild 30

31 RESULTAT PER DELOMRÅDE Kartläggningsområde Snitt Informationsäkerhetspolicy 0,8 Organisation av informationssäkerhet 0,9 Personalsäkerhet 1,1 Hantering av tillgångar 0,9 Styrning av åtkomst 1,7 Kryptering 0,2 Fysisk säkerhet 1,6 Bild 31

32 RESULTAT PER DELOMRÅDE Kartläggningsområde Snitt Driftsäkerhet 1,4 Kommunikationssäkerhet 1,9 Anskaffning, utveckling o underhåll av IS 1,3 Leverantösrelationer 1,2 Hantering av informationssäkerhetsincidenter 0,8 Kontinuitetshantering informationssäkerhet 1,1 Efterlevnad 1,2 Bild 32

33 BRISTER - ÖVERGRIPANDE Informationssäkerhetspolicyn Organisation av informationssäkerhet - roller/ansvar Avsaknad av kompetens inom informationssäkerhetsområdet Hantering av informationstillgångar Regler för kryptering Incidenthantering Kontinuitetshantering Efterlevnad Formalisering av processer Befintliga system styr behov Bild 33

34 STYRKOR - ÖVERGRIPANDE Kommunikationssäkerhet Driften Styrning och åtkomst - dubbelbottnad Bild 34

35 VAD BEHÖVER HÄNDA NU? (1 av 2) Kommuner Regelverk och organisation av arbetet en prioritet Systematiskt och långsiktigt tänk LIS-arbete Samarbete såväl inom kommuner som mellan kommuner GAP-verktyg Vidare arbete med kommunanpassning Språkbruk och formuleringar Skalbarhet gällande kommunstorlek och komplexitet Bild 35

36 VAD BEHÖVER HÄNDA NU (2 av 2) Forskare Sprida resultat till forskarsamhället Fördjupa pilotstudien och dess resultat Förbättra både standard och metod Resurser i att stärka kommunernas eget arbete Bild 36

37 KONTAKT Rose-Mharie Åhlfeldt, Projektledare Maria Nilsson, e-samordnare Skaraborgs kommunalförbund Mer information om projektet ammafunktionerochtjanster/informationssakerhet/metodstodgapa nalys ea14bccfd925216c8b.html Bild 37

38 DISKUSSION I BIKUPOR Bild 38

39 BIKUPA - INSTRUKTIONER Varje bord har 3 frågor (delvis samma frågor men i annan ordning) Ni har totalt 20 minuter diskussionstid Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar För varje fråga: ta ett snabbt varv runt bordet (så att alla kommer till tals) skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret!!) Jag påminner om 10 minuter att det dags att byta till nästa fråga Bild 39

40 BIKUPA - DISKUSSIONSFRÅGOR Hur kan olika kommuner samverka med varandra när ni utvecklar och förbättrar informationssäkerheten? Hur skapas ett brett engagemang i en organisation för att förbättra informationssäkerheten? Vilken aspekt av informationssäkerhet är viktigast att åtgärda först, när en kommun har en bristfällig utvärdering på de flesta områdena? Bild 40

41 BIKUPA - INSTRUKTIONER Varje bord har 3 frågor (delvis samma frågor men i annan ordning) Ni har totalt 20 minuter diskussionstid Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar För varje fråga: ta ett snabbt varv runt bordet (så att alla kommer till tals) skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret!!) Jag påminner om 10 minuter att det dags att byta till nästa fråga Bild 41

42 PANELDEBATT Bild 42

43 FRÅGA FÖR PANELEN Nämn ett plus och ett minus med den använda metoden (GAPanalys) för kartläggning. Bild 43

44 FRÅGA FÖR PANELEN GAP-analysen är en självskattningsmetod. Hur ser ni på det? Lägger man sig högre eller lägre än verkligheten? Bild 44

45 FRÅGA FÖR PANELEN Har genomförandet av GAP-analysen redan gett en effekt i er organisation, i så fall vilken? Bild 45

46 FRÅGA FÖR PANELEN Fråga från salen Bild 46

47 FRÅGA FÖR PANELEN Hur kan GAP-analysen förbättras bäst om ni bara får ge ett förslag? Bild 47

48 FRÅGA FÖR PANELEN Vid genomförandet av GAP-analysen har både enskilda intervjuer och gruppintervjuer tillämpats. Vad är för- och nackdelar med dessa metoder? Bild 48

49 FRÅGA FÖR PANELEN Vad tyckte de som deltog i GAP-analysens genomförande? Bild 49

50 FRÅGA FÖR PANELEN fråga från salen Bild 50

51 FRÅGA FÖR PANELEN Samstämmer den bild som analysen/rapporten ger med den uppfattning som ni hade innan om informationssäkerhet i er organisation? Om JA => ska men ändå göra en sådan analys? Om NEJ => vad var största överraskningen för er/dig? Bild 51

52 FRÅGA FÖR PANELEN Vad kommer er organisation göra med utfallet av GAP-analysen på kort sikt (innan midsommar 2016) och på långsikt (därefter)? Bild 52

53 FRÅGA FÖR PANELEN Vad är största hindret/utmaningen för er i att bli bättre på informationssäkerhet? Bild 53

54 FRÅGA FÖR PANELEN Vilka tänka-på-tips skulle du vilja skicka med till de som står inför ett genomförande av en GAP-analys? Bild 54

55 FRÅGA FÖR PANELEN Fråga från salen Bild 55

56 DISKUSSION: HUR GÅR VI VIDARE? Bild 56

57 HUR GÅR VI VIDARE? Tillsammans ska vi hitta: Tre konkreta exempel som kommunerna kan samverka kring Tre förbättringsåtgärder som kommunerna behöver extern hjälp kring Tre viktiga framgångsfaktorer för arbetet med informationssäkerhet Tre stora hinder för arbetet med informationssäkerhet Tre förslag på ev förbättring av metoden för GAP-analys Slutligen ska vi identifiera: Vad ska vi som konferensdeltagarna berätta om denna dag imorgon på vår arbetsplats under fikat? Bild 57