KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER Metod och resultat Rose-Mharie Åhlfeldt Eva Söderström Marcus Nohlberg Joeri van Laere Christian Lennerholt I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I, H Ö G S K O L A N S K Ö V D E Bild 1
PROJEKTGRUPP HÖGSKOLAN I SKÖVDE Marcus Nohlberg Informationssäkerhet, Social enginering, Forensic Rose-Mharie Åhlfeldt Informationssäkerhet Ledning och styrning Eva Söderström Informationssäkerhet, Trust, E-tjänster Christian Lennerholt Databaser, IT-utveckling Joeri Van Laere Krishantering, Informationshantering Bild 2
VARFÖR INFORMATIONSSÄKERHET? Information är ett av våra viktigaste arbetsverktyg. Ingen information ingen fungerande verksamhet. God och säker informationshantering är därför en verksamhets- och kvalitetsfråga. Bild 3
INFORMATIONSHANTERING I KOMMUNER Sveriges kommuner hanterar en betydande del av samhällets tjänster Kommunernas informationsförsörjning är blir därför en kritisk del i samhällets informationssäkerhet För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt (Informationssäkerhet i kommuner, MSB 2012) Bild 4
INFORMATIONSSÄKERHETSMODELLEN Bild 5
KARTLÄGGNING INFORMATIONSSÄKERHET Bild 6
METOD FÖR KARTLÄGGNING GAP-analys Analyserar gapet mellan det nuvarande läget mot kraven i standarden (ISO/IEC 27001 och 27002) Ger en helhetsbild över informationssäkerhetsnivån i kommunens verksamhet baserat på en vedertagen/jämförbar best practice Är en viktig (omfattande) del i den grundläggande analysen för ett införande av ett ledningssystem för informationssäkerhet (LIS). Bild 7
METODSTÖD FÖR LIS Bild 8
GAP-ANALYS Bild 9
GAP-ANALYS Identifiera kunskapskällor Befintliga dokument Utse nyckelpersoner/roller för intervjuer Dokumentera nuläget Platsbesök, intervjuer Dokumentera förbättringsförslag Handlingsplan för åtgärder Bild 10
FORSKNINGSUTBLICK Bild 11
FORSKNINGSUTBLICK ÖVER METODER FÖR KARTLÄGGNING Utvärdera utifrån ett tillstånd Olika funktioner / roller i en verksamhet Baserat på olika kriterier och mål Nivåer på skydd : D, C1, C2, B1, B2, A1. D= minimalt skydd, A=bra skydd. Utvärdera genom jämförelse Utifrån givna standarder Hur gör andra? (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 12
VERKTYG FÖR KARTLÄGGNING AV INFORMATIONSSÄKERHET Matriser Ger helhetssyn på vilka nivåer som är uppfyllda och vilka brister som finns Verksamhetens struktur Organisatorisk support Medvetenhet: utbildning av anställda IT-kompetens: rent generellt (Behnia & Rashid, 2012) (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 13
VERKTYG FÖR KARTLÄGGNING AV INFORMATIONSSÄKERHET Mindre enkäter Inför nya policies Saknar riktiga IT-verktyg (Behnia & Rashid, 2012) (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 14
VÅRT FÖRENKLADE IT-STÖD - UTMANINGAR Hur översätts GAP-analysens frågebatteri till ett IT-stöd? Kommunanpassa frågorna: hur påverkar det IT-stödet? Förändras arbetsprocessen med kartläggningen om ett IT-stöd används? Hur? Bild 15
DEMO Bild 16
FÖRBÄTTRINGSFÖRSLAG Processbaserat IT-stöd Utifrån olika roller Säkerhetskrav kopplade till IT-stödet Förslag på frågor som är intressanta för respektive roll Bild 17
REFERENSER Behnia, A., Rashid, R.A and Chandry, J.A, 2012. A Survey of Information Security Risk Analysis Methods. Smart Computing Review, Vol.2, No.1. Lopes, I and Oliveira, P, 2015. Implementation of Information Security Olives: A Survey in Small and Medium Sized Enterprises, New Contributions in Information Systems and Technologies, Vol. 353, pp. 459-468. Sols, R, 2012. Information Security Management: Processes and Metrics. Diss, University of Johannesburg. Tu, Z and Yuah, Y, 2014. Critical Success Factors, Analysis on Information Security Management: A Literature Review, CSF Analysis on Effective Information Security Management. Bild 18
KLISTER GENOMFÖRANDE OCH RESULTAT Bild 19
PROJEKTPLAN Planering/Upplägg April - Aug Analys och efterarbete Nov Dec Genomförande Sep- Nov Resultatredovisning Januari 2016 Bild 20
FÖRVÄNTAT RESULTAT KOMMUNER På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt, Påskynda och öka arbetet med informationssäkerhet, Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten, Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs, Få en fördjupad information om styrkor och svagheter i skyddet av information, Bild 21
FÖRVÄNTAT RESULTAT ÖVRIGT Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt Möjlighet till produktifiering av metod och förenklat it-stöd, Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland Bild 22
ORGANISATION AV PROJEKTET Styrgrupp Representanter från SSVIT, HiS, samt deltagande kommuner Projektgrupp Intern grupp med HiS samt Skaraborgs kommunalförbund Extern grupp med ytterligare 2 representanter från deltagande kommuner. Referensgrupp Representanter från både deltagande kommuner i Skaraborg samt övriga Västra Götaland. Bild 23
UTVECKLING METODSTÖD Bild 24
UTVECKLING AV METODSTÖD Utgångspunkter Befintlig GAP-analys i metodstödet Uppdaterad ISO 27002 standard Hur uppdaterade vi GAP-analysen? Kritiska/ickekritiska åtgärder Kommunperspektiv (= fyra extra kritiska åtgärder) Identifiering av roller för respektive kartläggningsområde Samarbete med referensgruppen Kravställning/utveckling av förenklat IT-stöd Bild 25
KARTLÄGGNING - PILOTSTUDIE Bild 26
KARTLÄGGNING - PILOTSTUDE 15 kommuner i Skaraborg Mål: bidra till etablering av LIS i VGRs kommuner Observera! Varje analys baseras på kommunernas självskattning och analysledarnas subjektiva bedömningar och jämförelse kan endast ske internt inom en kommun. Ett fokus har skett på skola, vård och social verksamhet (duktiga men utsatta verksamheter). Bild 27
Arbetssätt Planering Genomförande Efterarbete Uppdatering av metodstöd Förberedelse av GAP-analys Schemaläggning av besök Forskare Referensgrupp Förberedelse av GAP-analys Inbokning av besök Kommuner Pilotstudie hos 15 kommuner Analysförberedelser utifrån resultatet Sammanställning och förbättringsåtgärder på kommunnivå Helhetsresultat och projektdokumentation Förbättringsåtgärder metodstöd Bild 28
Bedömningsnivåer Bedömningen är graderad i fyra nivåer: 0 = Ingen efterlevnad 1 = Bristande efterlevnad 2 = Acceptabel efterlevnad 3 = Stor efterlevnad Maxvärde: 3 Normvärde: 2 Kommunernas genomsnitt: 1,2 Bild 29
Bild 30
RESULTAT PER DELOMRÅDE Kartläggningsområde Snitt Informationsäkerhetspolicy 0,8 Organisation av informationssäkerhet 0,9 Personalsäkerhet 1,1 Hantering av tillgångar 0,9 Styrning av åtkomst 1,7 Kryptering 0,2 Fysisk säkerhet 1,6 Bild 31
RESULTAT PER DELOMRÅDE Kartläggningsområde Snitt Driftsäkerhet 1,4 Kommunikationssäkerhet 1,9 Anskaffning, utveckling o underhåll av IS 1,3 Leverantösrelationer 1,2 Hantering av informationssäkerhetsincidenter 0,8 Kontinuitetshantering informationssäkerhet 1,1 Efterlevnad 1,2 Bild 32
BRISTER - ÖVERGRIPANDE Informationssäkerhetspolicyn Organisation av informationssäkerhet - roller/ansvar Avsaknad av kompetens inom informationssäkerhetsområdet Hantering av informationstillgångar Regler för kryptering Incidenthantering Kontinuitetshantering Efterlevnad Formalisering av processer Befintliga system styr behov Bild 33
STYRKOR - ÖVERGRIPANDE Kommunikationssäkerhet Driften Styrning och åtkomst - dubbelbottnad Bild 34
VAD BEHÖVER HÄNDA NU? (1 av 2) Kommuner Regelverk och organisation av arbetet en prioritet Systematiskt och långsiktigt tänk LIS-arbete Samarbete såväl inom kommuner som mellan kommuner GAP-verktyg Vidare arbete med kommunanpassning Språkbruk och formuleringar Skalbarhet gällande kommunstorlek och komplexitet Bild 35
VAD BEHÖVER HÄNDA NU (2 av 2) Forskare Sprida resultat till forskarsamhället Fördjupa pilotstudien och dess resultat Förbättra både standard och metod Resurser i att stärka kommunernas eget arbete Bild 36
KONTAKT Rose-Mharie Åhlfeldt, rose-mharie.ahlfeldt@his.se Projektledare Maria Nilsson, maria.nilsson@skaraborg.se e-samordnare Skaraborgs kommunalförbund Mer information om projektet http://www.vastkom.se/samverkansomraden/esamhallet/gemens ammafunktionerochtjanster/informationssakerhet/metodstodgapa nalys.4.455606ea14bccfd925216c8b.html Bild 37
DISKUSSION I BIKUPOR Bild 38
BIKUPA - INSTRUKTIONER Varje bord har 3 frågor (delvis samma frågor men i annan ordning) Ni har totalt 20 minuter diskussionstid Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar För varje fråga: ta ett snabbt varv runt bordet (så att alla kommer till tals) skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret!!) Jag påminner om 10 minuter att det dags att byta till nästa fråga Bild 39
BIKUPA - DISKUSSIONSFRÅGOR Hur kan olika kommuner samverka med varandra när ni utvecklar och förbättrar informationssäkerheten? Hur skapas ett brett engagemang i en organisation för att förbättra informationssäkerheten? Vilken aspekt av informationssäkerhet är viktigast att åtgärda först, när en kommun har en bristfällig utvärdering på de flesta områdena? Bild 40
BIKUPA - INSTRUKTIONER Varje bord har 3 frågor (delvis samma frågor men i annan ordning) Ni har totalt 20 minuter diskussionstid Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar För varje fråga: ta ett snabbt varv runt bordet (så att alla kommer till tals) skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret!!) Jag påminner om 10 minuter att det dags att byta till nästa fråga Bild 41
PANELDEBATT Bild 42
FRÅGA FÖR PANELEN Nämn ett plus och ett minus med den använda metoden (GAPanalys) för kartläggning. Bild 43
FRÅGA FÖR PANELEN GAP-analysen är en självskattningsmetod. Hur ser ni på det? Lägger man sig högre eller lägre än verkligheten? Bild 44
FRÅGA FÖR PANELEN Har genomförandet av GAP-analysen redan gett en effekt i er organisation, i så fall vilken? Bild 45
FRÅGA FÖR PANELEN Fråga från salen Bild 46
FRÅGA FÖR PANELEN Hur kan GAP-analysen förbättras bäst om ni bara får ge ett förslag? Bild 47
FRÅGA FÖR PANELEN Vid genomförandet av GAP-analysen har både enskilda intervjuer och gruppintervjuer tillämpats. Vad är för- och nackdelar med dessa metoder? Bild 48
FRÅGA FÖR PANELEN Vad tyckte de som deltog i GAP-analysens genomförande? Bild 49
FRÅGA FÖR PANELEN fråga från salen Bild 50
FRÅGA FÖR PANELEN Samstämmer den bild som analysen/rapporten ger med den uppfattning som ni hade innan om informationssäkerhet i er organisation? Om JA => ska men ändå göra en sådan analys? Om NEJ => vad var största överraskningen för er/dig? Bild 51
FRÅGA FÖR PANELEN Vad kommer er organisation göra med utfallet av GAP-analysen på kort sikt (innan midsommar 2016) och på långsikt (därefter)? Bild 52
FRÅGA FÖR PANELEN Vad är största hindret/utmaningen för er i att bli bättre på informationssäkerhet? Bild 53
FRÅGA FÖR PANELEN Vilka tänka-på-tips skulle du vilja skicka med till de som står inför ett genomförande av en GAP-analys? Bild 54
FRÅGA FÖR PANELEN Fråga från salen Bild 55
DISKUSSION: HUR GÅR VI VIDARE? Bild 56
HUR GÅR VI VIDARE? Tillsammans ska vi hitta: Tre konkreta exempel som kommunerna kan samverka kring Tre förbättringsåtgärder som kommunerna behöver extern hjälp kring Tre viktiga framgångsfaktorer för arbetet med informationssäkerhet Tre stora hinder för arbetet med informationssäkerhet Tre förslag på ev förbättring av metoden för GAP-analys Slutligen ska vi identifiera: Vad ska vi som konferensdeltagarna berätta om denna dag imorgon på vår arbetsplats under fikat? Bild 57