Du er her: Openways forside > It-sikkerhed som proces

It-sikkerhed som proces

Hensigt
At mindske risikoen for tab ved angreb eller manglende styr på it-aktiver og processer.

At it-sikkerhed indgår som ledelsesdisciplin i virksomheden.

At påvise over for virksomhedens interessenter, at der er styr på it-sikkerheden.

Resultat
Dokumenteret viden om it-afhængighed, risikobillede og mulig sikring.

Politik, strategi og handlingsplan for implementering af sikringstiltag.

Sikringstiltag implementeret til at opretholde det besluttede sikkerhedsniveau.

Lær mere
Her kan du læse en god introduktion til risikovurdering.

Du kan også hente inspiration i bogen "Information Security Risk Analysis" af Thomas R. Peltier, Auerbach Pub, 2001.

Indhold/Proces

Her er en skitse til en ambitiøs it-sikkerhedsproces. Barren er sat højt i forhold til praksis i danske virksomheder. Men prøv alligevel at studere indlægget nærmere. Du vil sikkert falde over et punkt eller to, som giver stof til eftertanke.

Trin 0 - Forberedelse

Få mandat og opbakning til processen

§ Det er umuligt at gennemføre en tværgående it-sikkerhedsproces uden fuldhjertet og synlig opbakning fra topledelsen. Det forudsætter i sagens natur lidt fodarbejde og et beslutningsgrundlag.

Lav et beslutningsgrundlag på få sider med formål, en model af processen, fasetidsplan, leverancer og ressourceforbrug. Det kan i øvrigt være taktisk klogt at nedbryde beslutningsforløbet i delbeslutninger med milepæle.

Men nu til processen!

Trin 1 - Risikovurdering

Kend din virksomhed

§ Start med at liste virksomhedens forretningsprocesser (alternativt funktionsområder) og tilhørende aktiviteter. Angiv herunder organisatorisk ansvar, fysisk lokation og evt. outsourcing. Deleger opgaven til de områdeansvarlige.

En forretningsproces er en sammenhængende og repeterbar kæde af aktiviteter, der skaber værdi for en kunde (intern eller ekstern).

§ Lav sideløbende en liste over virksomhedens it-aktiver. Angiv herunder fysisk lokation. Deleger opgaven til it-chefen; men kræv også at få alle skuffeapplikationer og "testmiljøer" frem i lyset.

It-aktiver omfatter teknisk udstyr, software, informationsaktiver og forsyningskilder.

Overvej en lille "sideøvelse" i form af mønstring af brugersoftware og licenser. Er der mulighed for besparelser? Er der uautoriseret software, herunder piratkopier?

§ Lav derefter et "blue print" af virksomhedens it-infrastruktur (dvs. en grafisk overbliksmodel).

It-infrastrukturen er den tekniske platform eller arkitektur, hvorpå informationssystemerne afvikles.

Pejl dig ind på behovet for sikkerhed

§ Kortlæg virksomhedens it-afhængighed. Det kan du fx gøre ved at lave en matrix for hver forretningsproces, som viser dens aktiviteters anvendelse af informationssystemer.

For "ikke-BPR'rede" virksomheder kan ordet forretningsproces erstattes med funktionsområde.

§ Lav derefter for hver anvendelse en forretningsmæssig konsekvensvurdering af tab af hhv. fortrolighed, integritet og tilgængelighed samt evt. også sporbarhed og uafviselighed. Eksisterende sikkerhedskontroller kan mindske konsekvenser; men dem skal du se bort fra, så de ikke forstyrrer billedet.

Her skal de ansvarlige for virksomhedens forretningsprocesser (eller funktionschefer) aktivt på banen. Husk at medtage lovgivning og kontraktforhold i vurderingen af konsekvenser.

Tænk også på, at "balladens omfang" som regel øges over tid. Hvad er konsekvensen af hhv. to timers, to dages og to ugers manglende tilgængelighed? Hvad sker der, hvis en dataforurening som følge af en datakonverterings- eller programfejl først opdages i en årsopgørelse eller ved afslutningen af et forskningsprojekt?

Udpeg de kritiske it-aktiver

§ Brug resultatet af ovenstående konsekvensvurderinger til at klassificere hvert it-aktiv som "kritisk" eller "ikke-kritisk" (se på dets placering i it-arkitekturen).

§ Data og informationer skal også klassificeres efter deres følsomhed. Eksempelvis som "offentligt", "til internt brug" eller "fortroligt".

§ Specialiserede it-arbejdsfunktioner, som ofte varetages af få nøglepersoner, skal også "bogføres" og klassificeres alt efter, hvor kritiske de er.

Hvis det ikke allerede er gjort, er det nu tid til at udpege en ansvarlig "ejer" for hvert kritiske it-aktiv og for de vigtige it-funktioner, der er med til at pleje og holde dem i luften.

Afdæk risikobilledet og mulige sikringstiltag

§ Kortlæg og beskriv trusler, sårbarheder og konsekvenser af angreb, for hvert kritiske it-aktiv og tilhørende it-funktioner. Ved beregning af risici tages (til forskel fra vurderingen i tidligere step) udgangspunkt i det eksisterende sikkerhedsniveau, herunder implementerede sikkerhedskontroller.

Der er flere måder at gøre dette på. Du kan hente inspiration fra OCTAVE^®.

§ Lav en vurdering af mulige tiltag til håndtering af hver risiko
(muligt tiltag = undgå, reducere, overføre eller acceptere risiko).

§ Dokumentér resultatet af de foretagne analyser i en risikovurderingsrapport.



Outsourcing af it-services fritager ikke en virksomhed for ansvaret for it-sikkerheden.

Inden du oursourcer kritiske opgaver til en given it-serviceleverandør, bør du forespørge, om de kan fremvise en revisorerklæring (RS 3411 erklæring) dækkende den type service, de skal udføre for dig.

Trin 2 - Politik

§ Udarbejd en it-sikkerhedspolitik for virksomheden.

Formålet med en sikkerhedspolitik er at fastlægge niveauet og give retning for det videre arbejde med it-sikkerhed. Se separat konceptbeskrivelse her.

Trin 3 - Strategi og handlingsplan

§ Beskriv virksomhedens ønskede it-sikkerhedsarkitektur og rationalet bag.

Dette er et godt tidspunkt for de forretnings-, system- og driftsansvarlige at afhandle og nedfælde interne SLA'er (Service Level Agreements) for alle kritiske forretningssystemer.

§ Lav en prioriteret handlingsplan med budget for implementering og drift af sikkerhedsarkitekturen.

Husk at afhandle planen med alle ressourcestillere, inden den sendes til godkendelse.

Trin 4 - Implementering

§ Etabler den formelle it-sikkerhedsorganisation. Synliggør roller og ansvar.

§ Anskaf og implementer tekniske kontroller.

Virksomheder bør være varsomme med at udvikle og implementere egne, hjemmestrikkede sikkerhedsløsninger grundet risikoen for designfejl og afhængighed af nøglepersoner.

Vær altid omhyggelig ved valg af leverandører af sikkerhedsløsninger.

§ Udarbejd procedurer, retningslinier, vejledninger, beredskabsplaner mv.

§ Indarbejd sikkerhed i alle forretningsprocesser og it-relaterede arbejdsfunktioner.

Hvis virksomheden udvikler egne web-applikationer, er det værd at tage en kigger på OWASP, som står for "The Open Web Application Security Project".

§ Gennemfør målrettet uddannelse og vejledning i it-sikkerhed.

Trin 5 - Drift og opfølgning

§ Hold it-infrastrukturen opdateret (patching, antivirus osv.). Automatiser, hvor det er muligt.

Husk at sikre mulighed for kontrolleret "fall back", hvis en patch giver problemer (krav som bør fremgå af virksomhedens "Change Management Plan").

Vær forberedt på uopdaterede og virusbefængte laptops, som kommer "ind fra kulden".

§ Afprøv og overvåg løbende tekniske kontroller, herunder logs. Kontrollér tilsvarende for "bagdøre" til virksomhedens interne net. Det kan eksempelvis være via uautoriserede brugerprogrammer, modemforbindelser eller trådløse netværk.

§ Tag regelmæssigt (planlagt) backup, også af data på hjemmearbejdspladser og mobile enheder.

Mobile enheder, som medarbejdere eller gæster selv tager med ind i virksomheden, er i øvrigt et kapitel for sig. Overvej tiltag til at beskytte mod "uønsket backup" på disse (datatyveri) af virksomhedens data.

§ Inddrag materialer (adgangskort, nøgler etc.) og nedlæg brugerkonti for fratrådte eller omplacerede medarbejdere ASAP.

System- og dataejere bør endvidere sikre, at alle brugerkonti/-rettigheder revideres og justeres mindst én gang om året.

§ Registrér og håndter alle sikkerhedshændelser, så vidt muligt "efter bogen".

§ Afprøv beredskabsplanen. Hvis virksomheden har en samfundsmæssig nøgleposition, bør det ske årligt.

§ Hold "awareness-gryden" i kog. Sikkerhedsbevidste medarbejdere er nok det mest omkostningseffektive sikkerhedsværn, der findes!

§ Afrapporter status på virksomhedens it-sikkerhed med regelmæssige mellemrum.

Ovenstående er udvalgte eksempler og ikke en udtømmende liste over relevante sikkerhedsaktiviteter.

§ Systemtekniske, applikationsmæssige og organisatoriske udviklingstiltag kan ændre risikobilledet. Det betyder, at der skal gennemføres en risikovurdering af disse med en evt. efterfølgende justering af den overordnede sikkerhedspolitik, strategi, handlingsplan etc.

Det samme gælder ved nye lovkrav, hvor fx Sarbanes-Oxley nok kan få mange internationale virksomheder til at rive sig i håret.

Sikkerhed er således en iterativ proces.