It-sikkerhed pr

1
It-sikkerhedsledelse Om værktøjer til
it-sikkerhedsfunktionen Lars.Neupart_at_neupart.dk A
lex.Wounlund_at_neupart.dk
2
Neupart fokus It-sikkerhedsledelse

• Vi leverer software som
• Hjælper sikkerhedsansvarlige med effektiv
  it-sikkerhed
• F.eks. It-sikkerhedshåndbog, politik, procedurer,
  beredskab, risikovurdering analyse, awareness,
  uddannelse og opfølgning.
• Styrker Den menneskelige Firewall
• Politik-baserede awareness-programmer
• Målrettet effektiv uddannelse til alle brugere
• Kort sagt Et komplet ISMS
• Information Security Management System
• Ledelsessystem til it-sikkerhed

3
Om Neupart

• Neupart-kontorer i
• Danmark (Lyngby)
• USA (Ferndale, Washington)
• Tyskland (Düsseldorf)
• Neupart-forhandlere -distributører i
• England, Norge, Østrig, Schweiz, New Zealand.

4
Kunde-eksempler fra staten

• Integrationsministeriet
• Kulturministeriets Administrationscenter
• Udenrigsministeriet
• Økonomi- og Erhvervsministeriet
• Fødevareministeriet
• Ministeriet for Familie- og Forbrugeranliggender
• Finanstilsynet
• Konkurrencestyrelsen
• Kystdirektoratet
• SLV (Statens Luftfartsvæsen)
• Patent og Varemærkestyrelsen
• Banedanmark

5
Kunde-eksempler, kommuner

• Aabenraa Kommune
• Aalborg Kommune
• Allerød Kommune
• Ballerup Kommune
• Bornholms Regionskommune
• Faxe Kommune
• Fredensborg Kommune
• Frederikssund Kommune
• Frederiksværk-Hundested Kommune
• Furesø Kommune
• Gladsaxe Kommune
• Guldborgsund Kommune
• Helsingør Kommune
• Holbæk Kommune

• Hørsholm Kommune
• Kalundborg Kommune
• Kolding Kommune
• Københavns Kommune
• Lolland Kommune
• Mariagerfjord Kommune
• Middelfart Kommune
• Norddjurs Kommune
• Roskilde Kommune
• Rudersdal Kommune
• Syddjurs Kommune
• Svendborg Kommune
• Vallensbæk Kommune
• Vesthimmerlands Kommune
• Vordingborg Kommune

6
Kunde-eksempler, virksomheder

• Akademikernes A-kasse
• AP Pension
• Arla Foods
• Bogpa in/out
• Grontmij Carl Bro Group
• Christian Hansen Group
• Dagbladet Børsen
• De Gule Sider
• DLH
• DanCenter
• Dansk Standard
• EIK Bank
• Elfac A/S
• EnergiNet.dk
• Fujitsu Services
• G4S Security Services
• Handelshøjskolen i Århus
• HNG

• IAK
• IDA
• JN Data
• Kristelig Fagforening
• Kwintet/Kansas
• Max Bank
• Mcphone Telemarketing
• Naturgas Midt-Nord
• NRGi
• OK
• PBS
• Segezha Packaging
• SONOFON
• Symphogen
• Tabulex
• TDC
• Terma
• Tryg Vesta Group

7
Generelt om SecureAware
8
SecureAware Praktiske redskaber
Moduler
Policy
It-sikkerhedshåndbog
Awareness quiz, måling
Awareness (intranet)
Risk
Risikostyring
Efterlevelse, kontrol, krav
Compliance
Compliance Workflow
Opfølgning i praksis
Tilvalg
Portaler
Adskilte instanser
Sprog
Smart sprog-styring.
9
Kort om SecureAware

• Et system til it-sikkerhedsledelse (ISMS) som
  hjælper med at efterleve it-sikkerhedskrav, bl.a.
  DS484, ISO27001, ISO27002 (tidligere ISO17799)
• Styrer og styrker informationssikkerheden i
  virksomheder (private og offentlige).
• Giver tidseffektive redskaber til it-
  sikkerhedsanvarlige.
• Har al nødvendig sikkerhedsviden til alle
  medarbejdere
• Er en modulær og integreret løsning
• Også kaldet It-sikkerhedsportal,
  sikkerhedsintranet,
• elektronisk sikkerhedshåndbog.

10
SecureAware software
SecureAware
Slutbrugere
Superbruger
11
Efterlevelse, kontrol, kravSecureAware
Compliance
12
SecureAware Compliance

• Checklister baseret på krav (kontrolpunkter) fra
  DS4842005
• DS4842005 har samme krav som ISO/IEC 177992005
• Komplet med spørgsmål der også afdækker om
  implementerings-retningslinier er efterlevet.
• PDF-rapporter med overblik og detaljer

13
Relevante Standarder

• ISO / IEC 27002 (tidligere 17799)
• Code of practice for Information Security
  Management
• Alias BS-7799-12005
• ISO / IEC 27001
• Kontrolpunkter
• ISMS
• Alias BS7799-22005
• DS484
• Standard for Informationssikkerhed
• Samme kontroller som ISO/IEC 17799
• Note 2005-opdateringer
• Ingen voldsomme ændringer. Strukturforbedringer
  øger anvendeligheden.
• ISO17799 er frigivet i juni
• DS484 er frigivet i oktober
• ISO27001 er frigivet i oktober

14
BS 7799-1
BS 7799-2
Code of practice
ISMS requirements
Implementation guidance
Controls
ISO 27001
ISO 27002
ISO 177992005
shall
should
Statement of applicability
Implementerings-retningslinjer
Sikringsforanstaltninger
DS 4842005
skal
skal
15
It-sikkerhedshåndbogSecureAware Policy
16
Struktur i it-sikkerhedshåndbog
Hvorfor? Mål, strategi, definitioner m.m.
Overordnet politik
Hvad? Hvad gør vi, og hvad gør vi ikke.
Retningslinier.
Regler
Hvordan? Sådan gør vi. Regel-implementering.
Instrukser.
Procedurer
17
Målgruppeopdeling
brugere
systemejere
it-administratorer
ledere
18
EmneopdelingEksempler på indholdskategorier
kodeord
e-mail-brug
persondatalov
hændelser
beredskab
19
Politik-objekter

• In SecureAware, politiker består af objekter.
• Objekter er små tekst-stykker, typisk regler med
  nogle optioner på.
• Objekter tildeles forskellige egenskaber, fx
• Målgruppe
• Indholdskategori (mapping til
• Standard-struktur-reference
• Objekter findes i flere sprog (pt 5)
• Objekter genbruges i politik, awareness-programmer
  m.m.

20
Objekt-baseret Fordele
Flere indgangsvinkler til det samme indhold
Målgrupper - Kortere politikker
Standard-strukturer - Velkendt revisorvenlig
Politik- Objekter
Indholdskategorier - Brugervenlig
21
Demo af it-sikkerhedshåndbog

• De tre niveauer (Pyramiden)
• Skabeloner
• Ændringer, tilføjelser
• Målgrupper, indholdskategorier
• PDF, RTF, HTML
• Publicering
• Logning

22
AwarenessIntranet-pakke
23

• Forestil dig trafikken uden færdselsregler!
• Færdselsregler giver færdselssikkerhed.
• it-sikkerhedsregler giver it-sikkerhed.

FORUDSÆTNINGER FOR SIKKERHED 1. Reglerne skal
eksistere! 2. Alle skal kende dem 3. Alle skal
have motivation til at følge dem
24
Sammenhæng mellem SecureAware Policy Awareness
25
Demo af awareness-redskaber

• Målgruppe-opdelte regler og procedurer
• Ja, jeg har læst......-kvittering
• Quizzer
• Vidensbaserede
• Regel / håndbogs-baserede.
• Korte animerede film med tekst og tale
• Web-service grænseflade
• F.eks til pauseskærme, andre intranet

26
SecureAware Education

• Korte animerede film med tekst og tale til at
  uddanne brugere i sikkerhedsbevidst brug af
  computere
• Skadelige programmer,
• Kodeord,
• Brug af e-mail,
• Brug af internet,
• Mobilt udstyr,
• Softwareinstallation,
• Sikkerhedskopiering,
• Adgang til virksomhedens netværk,
• Kryptering og
• Håndtering af hændelser.

27
Compliance Workflow
28
Fordele

• Tidsbesparende.
• Aktiviteter kan uddelegeres automatisk med et
  fast interval
• Automatisk mangelcheck.
• Hvilke opgaver er endnu ikke uddelegerede?
• Overblik.
• Automatisk generering af skræddersyede rapporter.
• Overskuelighed.
• Brugere vil automatisk modtage e-mail med en
  liste over opgaver.
• Brugervenlighed.
• Brugere guides direkte til det sted i
  SecureAware, hvor opgaven skal udføres.
• Integration til øvrige SecureAware-moduler

29
Koordinatorens menu
30
Brugerens menu (eksempel)
31
Aktivitetsrapporter
32
Opret og tilpas egne rapport-typer
33
Observation/Anbefaling fra revision

• Observation
• Sikkerhedskopiering test

• Anbefaling
• Vi anbefaler, at det periodisk kontrolleres og
  dokumenteres, at der er gennemført tilstrækkelig
  og tilfredsstillende retableringer af data til at
  underbygge formodningen om, at backupløsningen
  understøtter ledelses- og lovkrav.
• RISIKO!
• Øget risiko for unødig økonomiske tab, som følge
  af at data ikke kan retableres efter et nedbrud.

34
Periodiske opgaver/kontroller, fortsat

• Observationer
• Licensstyring afstemning

• Anbefalinger
• Vi anbefaler, at der periodisk gennemføres en
  kontrol af, at anvendte programmer på servere og
  pcer stemmer overens med indkøbte licenser.
• RISIKO!
• Såfremt virksomheden ikke kontrollerer, at
  licensregler for software overholdes, er der øget
  risiko for, at der kan pådrages erstatningsansvar
  over for leverandører af software.

35
Periodiske opgaver/kontroller, fortsat

• Observationer
• Virusbeskyttelse opdatering

• Anbefalinger
• Vi anbefaler, at der fremadrettet kvitteres for
  daglige kontrol af antivirus aktivering eller at
  årsagen til at proceduren fraviges noteres.
• RISIKO!
• Utilstrækkelig virusbeskyttelse øger risikoen for
  økonomiske tab som følge af nedbrud i
  it-anvendelsen eller tab af data.

36
Periodiske opgaver/kontroller, fortsat

• Observationer
• Fysisk sikring strømsikring

• Anbefalinger
• Vi anbefaler, at den etablerede UPS-løsning
  serviceres og testes regelmæssigt, samt at der
  etableres dokumentation herfor.
• RISIKO!
• Manglende sikring mod strømsvigt, brand,
  vandskade mv. øger risikoen for økonomiske tab
  som følge af nedbrud i it-anvendelsen eller tab
  af data.

37
Periodiske opgaver/kontroller, fortsat

• Ændringskontrol separate miljøer

• Vi anbefaler generelt, at i revurderer jeres
  kontrolmiljø og etablere en forebyggende
  automatisk kontrol der sikre, at udviklere kun
  har display-adgang til produktionsmiljøer
• Såfremt dette ikke af organisatoriske eller
  forretningsmæssige årsager er muligt, skal vi
  anbefale, at gennemgang af log over transaktioner
  som genereres af udviklere sker med faste
  intervaller og dokumenteres, samt at denne
  kontrol foretages af økonomiafdelingen og ikke af
  it-afdelingen.
• RISIKO!
• Utilstrækkelige eller svage procedurer i relation
  til styring af tilretninger til applikationer
  øger risikoen for, at ændringer til applikationer
  sættes i drift uden fornøden kvalitetssikring
  eller ledelsesgodkendelse, og at applikationer
  dermed ikke fungerer i overensstemmelse med jeres
  behov.

38
RisikostyringSecureAware Risk
39
Fordele ved risikostyring

• Overblik og prioriteringsværktøj.
• Indsats kan rettes mod de vigtige områder.
• Input til beredskabsplan
• Sammen med it-sikkerhedspolitik opnås balanceret
  investering i it-sikkerhed.
• Standarderne kræver det.

40
PDF-rapport

• Resultat
• Oversigt
• Detaljer
• Grafer
• Plads til egne kommentarer.

41
Model for risikovurdering
Ledelses- vurdering
Faglig vurdering
Fra standarder
42
Udregning af risiko
43
Processer F.x. support, ordrebehandling ...


Lav risikovurdering her
Systemer F.x. Applikationer, ERP, CRM...


Aktiver F.x. servere, pcer ..


44
RisikostyringReducere sårbarheder eller
etablere sikringsforanstaltninger
Cost Benefit Analysis
Reduktion af sårbarhed
Forebyggelse af konsekvens
Forbyggende sikringstiltag
Forretnings-risiko
Forretningen acceptere risikoniveau
Handlingsplaner
Sårbarhed for organisation (manglende
sikringstiltag)
Sandsynlighed for hændelse
Konsekvens af hændelse
Trussel billed
Interesse for organisationens data
45
Super-brugers hovedside
46
Risikovurderingsarkiv
47
Informationssystem-database

• Neupart A/S
• Standarder
• SecureAware
• Risikovurdering
• It-sikkerhedshåndbog
• Demo
• Opsummering

48
Rolle-opdeling via Active Directory
49
Brugeres velkomst-side
50
Ledere vurderer konsekvens og interesse
51
Teknikere vurderer sårbarhed
52
Hjælpespørgsmål kan estimere sårbarhed
53
Kobling til arbejds-processer

• Neupart A/S
• Standarder
• SecureAware
• Risikovurdering
• It-sikkerhedshåndbog
• Demo
• Opsummering

54
Spørgsmål?

• På www.neupart.dk kan du få gratis
• Nyhedsbrev
• Demo-version af SecureAware
• dit sikkerheds-intranet med ISMS
• Risikovurderings-værktøj Excel, gratis
• email til morten.harboe_at_neupart.dk eller
  aw_at_neupart.dk