Mottagarorienterat arbetssätt för styrning av informationssäkerhet Bengt Berg Head of Compliance Management Services Cybercom Sweden East AB 2010-05-11 1 bengt.berg@cybercomgroup.com
Del 1: Några utmaningar för säkerhetsstyrningen...eller varför man aldrig kan vara FÖR praktisk... 2010-05-11 2
1: Att förstå hela sin säkerhetsmässiga statuskarta Förvaltningsobjekt Krav 2010-05-11 3
2: Undvika top-down-fällan Strategisk Taktisk Operativ Hur länge kan man arbeta med styrdokument enbart? 10% 90% 2010-05-11 4
3: Rationella och spårbara metoder Hur märker ekonomerna att en faktura inte har betalts i ett utländskt dotterbolag? Hur märker logistikerna att reservdelslagret börjar få slut på turboaggregat? Hur märker informationssäkerhetschefen att en riskanalys inte har gjorts inför ett systeminförande? Vi ligger efter här som bransch betraktat... 2010-05-11 5
Angreppssätt som fungerar Att förstå statuskartan Att undvika top-down Rationella och spårbara metoder Decentraliserad säkerhetsstyrning erat Systemstöd angreppssätt för 27001-efterlevnad Effektiv hantering av styrande dokument Instant Security Workflows Kontinuerlig mätning 2010-05-11 6
Del 2 Cybercom Sweden East ISO27001 projekt Eat your own dog food Eating one's own dog food, also called dogfooding, is when a company uses the products that it makes.dogfooding can be a way for a company to demonstrate confidence in its own products, and hence a kind of testimonial advertising. For example, Microsoft and Google emphasize the internal use of their own software products. Wikipedia 2010-05-11 7
1. Decentraliserad säkerhetsstyrning Att förstå statuskartan Att undvika top-down 2010-05-11 8
All informationshantering inom Cybercom System/funktioner 1 2 3 4 5 N Processer Applikationer Databaser Datorer Nätverk Lokaler 2010-05-11 9
Den decentraliserade processen K R T K R T K R T Scope Klassificering GAP Risk Åtgärd 2010-05-11 10
2. Systemstöd Att förstå statuskartan Rationella och spårbara metoder 2010-05-11 11
Scope Deklarationer Kravkataloger Rapporter Riskanalyser
Klassificering K R T K R T K R T
GAP-analys
Riskanalys
Åtgärdsanalys
Data Mining... Risk Åtgärder Efterlevnad Uppföljning Bengt Berg
3. Hantera styrande dokument Att undvika top-down 2010-05-11 18
All dokumentation på Wiki Alla dokument blir enkelt nåbara via vårt Intranät Policydokument Instruktioner (checklistor och krav ligger dock i Compliance Portal) Inbyggd funktion för diskussion om dokumenten Förslag till förbättringar Tolkningsstöd Etc... Återanvändning i kundprojekt Redigering endast av dokumentägaren Inbyggd funktion för versionskontroll 2010-05-11 19
4. Instant Security Workflows Att förstå statuskartan Att undvika top-down Rationella och spårbara metoder 2010-05-11 20
Instant Security Workflows CISO Webbgruppen Webbgruppen HR HR Nätgruppen Nätgruppen Rapportera incident Incident gruppen Stängda incidenter 27 workflows som implementerar LIS 2010-05-11 21
5. Kontinuerlig mätning Att förstå statuskartan Att undvika top-down Rationella och spårbara metoder 2010-05-11 22
Mätmetod 1: tekniska granskningar Scanningar och trendanalys enligt CVSS Common Vulnerability Scoring System Olika verktyg Qualys Acutenix Nessus Core Impact CVSS Q1 Q2 Q3 Q4 Q1 2010-05-11 23
Mätmetod 2: data mining i Compliance Portal 2010-05-11 24
Mätmetod 3: Ärendeflöden Prestanda i våra säkerhetsprocesser: Hur lång tid tog det att stänga incidenter, utslaget över varje månad? Hur många utestående kontoförfrågningar har vi haft, utslaget per kvartal? Hur många säkerhetsbulletiner har åtgärdats, hur lång tid har det tagit, vem har åtgärdat? 2010-05-11 25
Sammanfattning Tre svåra utmaningar för säkerhetsstyrningen - Statuskartan att veta vilken säkerhet man har - Att undvika top-down-fällan - Rationella och spårbara metoder Bara att prova sig fram till vad som fungerar för er! - Decentraliserade metoder - Satsa på bred statusinhömtning - Använd ärendehanteringssystem - Använd wikis - Mätöveralltdärdetgår! 2010-05-11 26