Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område, det må vara personal, miljö, eller informationssäkerhet. Denna artikel kommer att diskutera just informationssäkerhetspolicyn vad den har för syfte, vad den bör innehålla och hur man tar fram en policy. Som många andra policydokument ska informationssäkerhetspolicyn beskriva en önskad kultur inom organisationen, och användas för att skriva mer detaljerade riktlinjer och instruktioner för olika områden. Men den bör också kunna användas för att beskriva organisationens arbete med informationssäkerhet till externa parter. En bra utgångspunkt för en informationssäkerhetspolicy är organisationens egna verksamhetsmål, de som beskriver varför man har en verksamhet. Det man ska fundera på när man går igenom sina mål är hur de relaterar till sekretess, tillgänglighet och riktighet/spårbarhet. Är det viktigt att vi kan hålla känslig information skyddad från obehöriga? Hur länge kan vi vara utan tillgång till vår information? Vad innebär det att vi inte kan avgöra om vår information har blivit förändrad? Nästa steg är att titta på vad som styr verksamheten utifrån. Här kan man säga att det finns två områden regulatoriska och riskbaserade krav. Underlag till det första området hittar man i lagar, regelverk och avtal, detta område brukar stämma ganska väl överens med verksamhetsmålen. Det svårare området är riskanalys och i förlängningen riskhantering. Grunden till riskanalysen är att man känner till sina informationstillgångar och kan värdera dessa, något förenklat gör man en bedömning utifrån vilket värde informationen har för den egna organisationen och vilket värde den kan ha för någon annan. I detta skede behöver man inte göra en formell riskanalys utan kan nöja sig med en riskbedömning, en formell riskanalys kan man komma tillbaka till när man har en fastställt policyn. Hur man formulerar sig in sin policy bör spegla det språkbruk som finns i organisationen men typiskt sätt behöver man få med följande delar (rubriker). Inledning som sätter policyn i sitt sammanhang. Definitioner som beskriver speciella ord/termer. Målgrupp som beskriver vem som omfattas av policy. Målformulering som beskriver dels målen och dels hur målen ska uppnås och bibehållas. Och till sist formalia som beskriver fastställande, revidering och hänvisningar till annan dokumentation.
Säkerhet i organisationer Mall id: IM-12:043 Mallversion: 1.0 Skapad datum: 2012-04-05 Fastställd datum: 2012-04-18 Varför ska vi, och hur kan vi, förbättra vår säkerhet? Håkan Engvall Informationssäkerhetskonsult sedan ca 1998 Anställd på Imentum AB Konsult inom informations- och IT-säkerhet Rektor för DFS:s Informationssäkerhetsskola sedan 2006 Har en bakgrund som utvecklare och tekniker Främsta intresseområden inom informationssäkerhet: Kopplingen människa och teknik Rätt säkerhet, mäta säkerhet Säkerhet i systemutveckling Certifierad CISSP (se www.isc2.org) CISM (se www.isaca.org) CRISC (se www.isaca.org) 1
Agenda och målsättning Vad är informationssäkerhet, egentligen? Varför är det viktigt? Var börjar vi? Informationssäkerhetspolicy Mobila enheter Molnet och annan outsourcing Målsättningen med detta seminarium är att väcka ett intresse för säkerhetsfrågor...och kanske ge er en spark i baken att göra något. De fyra hörnpelarna Sekretess att hålla något hemligt Riktighet (integritet) att något inte har förändrats Tillgänglighet att något finns när det behövs Spårbarhet att man kan följa upp vad som har hänt Eller på engelska: Confidentiality Integrity Availability Traceability C I A Ännu fler vanliga begrepp: Identifiering, Autentisering, Auktorisering, Oavvislighet,... 2
Data-, IT- och informationssäkerhet ITsäkerhet Datasäkerhet Informationssäkerhet Teknik Verksamhet Informationssäkerhetsarkitektur En beskrivning av, eller en faktisk struktur av samtliga säkerhetsåtgärder som syftar till att öka eller upprätthålla informationssäkerheten i en verksamhet Mänskliga skydd Administrativa skydd Tekniska skydd 3
Säkerhet kan inte skapas men vi kan skapa förutsättningar för säkerhet! Faktisk informationssäkerheten i egen verksamheten Faktisk informationssäkerhet hos partners Olika aktörers uppfattningar om säkerheten Ekonomiska konsekvenser Arbetssituationer Kunskap Säkerhet är ingen produkt, det är en process. Fel, det är ett livslångt lidande Konsekvenser kan vara avsiktliga eller inte, samt medvetna eller inte Risk vs säkerhet Säkerhet och risk motsatta begrepp Säkerhet Risk D.v.s. hög säkerhet = låg risk (och vice versa) Däremot: Säkerhetshantering = Riskhantering Security management = Risk management 4
Riskhantering Processen att kontinuerligt bedöma, värdera, åtgärda och följa upp risker En verksamhet har en mängd olika typer av risker Inom informationssäkerhet handlar det om risker som berör verksamhetens informationstillgångar Omfattning av riskhantering Risk Potentiell skada Sannolikhet Tillgång Information och resurser Skydd Människa, teknik, organisation Hot Människa, teknik, natur Verksamhetsanalys Sårbarhetsanalys Hotanalys Riskanalys 5
Riskekvationen Risk = Sannolikhet x Potentiell skada Sannolikhet Risk Potentiell skada Ekonomisk försvarbar säkerhetsnivå Kostnad Risk Skydd Optimal nivå Säkerhetsnivå 6
Var börjar vi då? Mall id: IM-12:043 Mallversion: 1.0 Skapad datum: 2012-04-05 Fastställd datum: 2012-04-18 Informationssäkerhetspolicy En informationssäkerhetspolicy ska ange verksamhetens mål med informationssäkerhetsarbetet Ska förtydligas i föreskrifter, riktlinjer, instruktioner, handböcker, etc. Ett kort och kärnfullt dokument som sätter en kultur... Nej, en informationssäkerhetspolicy är resultatet från ett arbete att definiera säkerhet för sin organisation 7
Hur göra för att lyckas? Säkerhet är en inlaga inte en pålaga säkerhet måste presenteras som en del av en helhet Följ existerande affärs- och ledningsprocesser säkerhet behöver vara i linje med affärsidén/målen Värderingsmodeller säkerhet ska skapa nytta för organisationen Säkerhetsmålsättning Hotbilden (omvärlden) Riskanalys Verksamhetsanalys Rättsanalys Informationstillgångar Informationstillgångar Säkerhetsmålsättning 8
Smarta telefoner Pekplattor Bärbara datorer USB-minnen... Mobila enheter Bring Your Own Devices (BYOD) Spelar typen av enhet eller vem som äger den någon roll när informationen ska säkras? Säkerhetsmedvetande Det utrymme som inte täcks av administrativa och tekniska skydd Människor kan vara både skydd, sårbarhet och hot Verksamheter har olika behov av handlingsutrymme: Säkerhetskultur Behov av medarbetares frihet Organisationsstruktur, t.ex. mobilitet, lokalisering, decentralitet, hierarki Verksamhetens säkerhetskrav/ säkerhetsmål Administrativa skydd Tekniska skydd Medarbetarens handlingsutrymme 9
Vad innebär beteende? Eftersträvad säkerhetsnivå Medarbetares handlingsutrymme Kan förbättras med förändrat beteende Administrativa skydd Regelverk som inte efterföljs Tekniska skydd Tekniska skydd som används felaktigt/kringgås Molntjänster Infrastructure as a Service IaaS Amazon EC2 Platform as a Service PaaS Google App Engine Software as a Service SaaS MS Office 365 Spelar modellen någon roll när man diskuterar informationssäkerhet? 10
Säkerhet i outsourcingens faser Förberedelser inför förfrågan Vilken omfattning? Funktioner? System? Information? Personal? Förhandling av kontrakt Insyn hos leverantören Servicenivåer Under perioden för outsourcing Uppföljning och rapportering Återtagande eller byte av leverantör Vilken rätt/tillgång till data har vi? Att granska hos en leverantör Områden att granska Organisation Underleverantörer Personaladministration Besöksrutiner Förändringsrutiner Juridisk efterlevnad Fysisk miljö IT-miljö Kommunikationslösningar Reservrutiner och alternativ drift Incidenthantering Driftcentraler och övervakning 11
Under leveransperioden Regelbunden rapportering kommer från leverantören leverans i förhållande till SLA orsaker till avvikelser händelse- och incidentrapportering Genomför kompletterande revisioner genomförs av beställaren eller en tredje part kan också vara påkallad av extern part till beställaren studiebesök har man levt upp till avtal och SLA har lagar och regelverk förändrats? Följ upp vad förändringar innebär för eventuellt återtagande Informationssäkerhetspolicyn Mall id: IM-12:043 Mallversion: 1.0 Skapad datum: 2012-04-05 Fastställd datum: 2012-04-18 12
Policyn bryts ner till och förtydligas i standarder Standarder konkretiseras till handböcker och process- och arbetsbeskrivningar Föreskrifter, ramverk, riktlinjer, instruktioner... Policy Standarder Handböcker Policyns syfte Definition av informationssäkerhet, dess allmänna mål och omfattning Uttalande om ledningens viljeinriktning Framställan av allmän säkerhetspolicy, principer, riktlinjer och andra efterlevnadskrav Definitioner av allmänna och särskilda ansvar Hänvisningar till annan styrande dokumentation och rutiner för individuella informationssystem eller andra säkerhetsregler 13
Informationssäkerhetspolicy En kort inledning med varför policy finns Externa lagar, regelverk och standarder (opt.) Beskrivning, på övergripande nivå, av önskvärt beteende (kultur) För vem (oftast alla ) Beskrivning av roller, ansvar och rättigheter Kommunikation av policyns innehåll Revisionshistorik, godkännande Kurser i informationssäkerhet Strategisk informationssäkerhet Certifierad informationssäkerhetsarkitekt Operativ informationssäkerhet Teknisk informationssäkerhet DF Kompetens kurser Strategisk informationssäkerhet Operativ informationssäkerhet Teknisk informationssäkerhet Certifierad informationssäkerhetsarkitekt Alla kurserna är på tre dagar Internatform möjlighet till nätverkande tid för diskussion www.dfkompetens.se/sakerhet Jag kände mig lite tveksam efter första kursen men efter att ha gått alla är jag mycket nöjd och har stor nytta av kurserna. Ej namngiven elev, certifierad 2012 14