Tar du risken? EFFEKTIV INFORMATIONSSÄKERHET GENOM RISKPERSPEKTIVET

Transkript

1 Tar du risken? EFFEKTIV INFORMATIONSSÄKERHET GENOM RISKPERSPEKTIVET

2 Tar du risken?

3 Tar du risken?

4 Tar du risken?

5 Tar du risken? Innehåll Varför ska man tänka risk? Olika slags riskbegrepp Vad är informationsrisk? Hur kan man arbeta systematiskt med risk? Vem ska göra det och när?

6 Följer du regler? Väglaget följer inte regler!

7

8 Tar du risken? Risk med uppsida Positiv inverkan på våra mål Exempel: lyckad investering Risk med nedsida Negativ inverkan på våra mål Exempel: dataintrång

9 Tar du risken? Informationsrisk Inte detsamma som projektrisk Potentialen att en specifik händelse inverkar negativt på något av våra säkerhetsmål. Med risk avser vi informationsrisk. Sekretess Riktighet Tillgänglighet

10 Informationsrisk illasinnad hacker hotkälla tillgång företagets kundregister sårbarhet risk svaga lösenord i affärssystemet

11 Övning: Är detta en risk? En illasinnad hacker? en hotkälla Känslig finansiell information? en tillgång hotkälla tillgång sårbarhet risk Okrypterad datatransport över oskyddat nät en sårbarhet En illasinnad hacker får del av och säljer vidare känslig information genom att avlyssna oskyddad nätverkstrafik. en risk!

12 Samma ord olika betydelser hotkälla Risk i dagligt tal vi möter den intuitivt något läskigt något sannolikt risk för regn ofta starkt subjektivt beror av individens riskperception tillgång sårbarhet risk Risk i specifik bemärkelse vi möter den metodiskt representation av osäkerhet kontext och definition inte ett objekt högre grad av objektivitet flera personer ser samma risk

13 Hantera en risk Identifiera Beskriva Kvantifiera Rapportera Behandla risk

14 Identifiera en risk Avgränsa systemet Identifiera riskkomponenter hotkälla tillgång sårbarhet risk Vad är skyddsvärt? Vem eller vad kan skada? Vilka brister finns det? Kombinera! Identifiera Beskriva Kvantifiera Rapportera Behandla

15 Övning: kombinera komponenter a bokslutsrapport som ännu ej publicerats tillgång b publik webbsida c verksamhetskritisk applikation a slarvig testare hotkälla b ohederlig systemadministratör c illasinnad hacker a bristande säkerhetsloggning sårbarhet b standardlösenord i publiceringsmiljö c bristande systematik i acceptanstestning

16 Beskriva en risk hotkälla Kunna förklara för utomstående tillgång Inget internt fikonspråk risk Få med alla komponenterna Hur går angreppet/missödet till? Vad kan verksamhetskonsekvensen bli? Varför ska någon bry sig? Identifiera En eller ett par meningar Beskriva Kvantifiera Rapportera Behandla sårbarhet

17 En riskbeskrivning förklara för utomstående inget internt fikonspråk få med komponenterna hur går angreppet/missödet till? vad blir konsekvensen? varför ska någon bry sig? ett par meningar det blir ofta fel i dbc_arcit när erfarna personer inte är med hotkälla tillgång sårbarhet risk

18 En riskbeskrivning förklara för utomstående inget internt fikonspråk få med komponenterna hur går angreppet/missödet till? vad blir konsekvensen? varför ska någon bry sig? ett par meningar en operatör kasserar av misstag fel media pga dåliga förkunskaper. detta leder till förlust av arkiverad information för system X. hotkälla tillgång sårbarhet risk

19 Kvantifiera en risk Konsekvens Sannolikhet Är hotkällan motiverad? Finns kompenserande kontroll? När det hänt Hur påverkas verksamheten? Identifiera Beskriva Kvantifiera Rapportera Behandla

20 Kvantifiera en risk konsekvens låg mellan sannolikhet hög mellan hög hög risk: behandla skyndsamt medium risk: planera behandling låg låg risk: bevaka

21 Rapportera en risk riskbeskrivning risknivå vilket system/scope? vilka gjorde riskbedömning? när, hur, varför gjordes den? vad har gjorts åt risken? vad är planen? organisation/process varierar kunskap viktigare än formalism hotkälla tillgång sårbarhet risk Identifiera Beskriva Kvantifiera Rapportera Behandla

22 Behandla en risk Undvika Mitigera Överföra Acceptera välj och motivera en strategi vad behöver göras av vem? följ upp och rapportera Identifiera Beskriva Kvantifiera Rapportera Behandla

23 Hantera risk i systemet avgränsa rapportera risk behandla bedöma kvalificera

24 Hantera risk i systemet avgränsa Vad gör vi? Hur går det? När är vi klara? rapportera Vad ingår? Teknik? Process? bedöma Workshop med flera perspektiv Åtgärda risken! behandla kvalificera Feedback från risk/säkerhetsfunkt ion

25 Vem ska arbeta med risk? kvalitet byggs inifrån riskglasögon hjälper ägarskap och ansvar sourcing en utmaning! risk behöver bli synlig transparens kvalificering ansvaret på rätt nivå

26 Varför ska vi arbeta med risk? risk finns i varje system kostnadseffektiv säkerhet reglerna ligger alltid efter

27 Tar du risken? Checklista Genomfört riskworkshop Skapat vår risklista med Avgränsningar Viktigaste riskerna beskrivna och kvantifierade strategi för behandling Fått riskbilden kvalificerad Behandlar risk Rapporterar

28 Tack!