Kaare B Martinussen fm Path AS
Risk Management Kaare B Martinussen fm Path AS Enterprise Security Agenda • • • • • • Status i dag Hva er risiko Hva kan en gjøre Hva er ” en Standard ” Gode tips på veien ” Tanker til slutt ” Enterprise Security Hverdagen endres • • • • • • Voldsom økning i informasjonsmengden Utstyr og programvare fra flere forskjellige IT-leverandører Stadig større verdier forvaltes av stadig færre medarbeidere Kompliserte og ofte usikre kommunikasjonsløsninger Distribuerte og integrerte løsninger Stor – og stadig stigende – avhengighet av IT i folks daglige arbeid • Ofte uklare ansvarsforhold og svak eller mangelfull styring • Økende antall trusler og farer – trusselbildet endres • Stadig større økonomiske konsekvenser dersom uhell inntreffer Enterprise Security Hva er Risk - Enterprise Security Risiko ? Enterprise Security Risiko ? Enterprise Security Risiko ? Enterprise Security Risiko ? Enterprise Security Risiko ? Enterprise Security Hva er vi redd for ? Enterprise Security Hva tror vi ? Enterprise Security Hva er risiko • Risiko beskriver fare for tap, usikkert eller uberegnelig utfall av at en trussel materialiseres. I forbindelse med IT-sikkerhet er risiko en funksjon av sannsynligheten eller muligheten for at en sikkerhetshendelse vil inntreffe og den forventede skadevirkningen hendelsen kan medføre. Enterprise Security Akseptabelt risikonivå • Akseptabel risiko angir den risiko foretaket er villig til å akseptere. Akseptabelt risikonivå skal besluttes av foretakets ledelse. Resultat fra risikovurdering skal sammenlignes Enterprise Security Sikkerhetshensyn K I Konfidensialitet Integritet Tilgjengelighet T Konfidensiaitet – Å forhindre uvedkommendes tilgang til informasjon Integritet – Å sikre informasjonens ekthet og konsistens. Å forhindre at informasjon bevisst eller ubevisst manipuleres Tilgjengelighet – Å sikre tilgang til informasjon og systemer når tilgang skal gis Enterprise Security Rammeverkets hjørnesteiner • Sikkerhetsvisjon og -strategi • • • • Forankring i toppledelsen • • • • Forankring i prinsipp og praksis Støtte via policy, instrukser og ressurstildeling Klargjøring av risiko toleranse TreningsTrenings- og holdningsprogrammer • • • Prinsipper og filosofi Strategi for å beskytte informasjon Sikkerhetskommité for autoritative beslutninger og kommunikasjon Kommunikasjon dekker aller nivåer av en organisasjon og alle aspekter av informasjonssikkerhet Kontinuerlig, gjennomgående og integrert del av fagkrets Struktur på på sikkerhetsadministrasjonen • • Sentralisert og desentralisert ressursanvendelse Roller og ansvar Enterprise Security IBM - TRIRIGA extends IBM Maximo success in IBM Smarter Planet initiatives with key functionality for Intelligent Buildings solutions TRIRIGA extends IBM Maximo success in IBM Smarter Planet initiatives with key functionality for Intelligent Buildings solutions Energy Smart Meter, Demand Response Portfolio Fire Functionality Checks, Detector Service Elevators Maintenance, Performance Estates Mgmt Asset Mgmt HVAC Fans, Variable Air Volume, Air Quality Weather Current Predictions Water Smart Meters, Use / Flow Sensing Lifecycle Energy Use Emergency Services Passive/Active Occupancy Space Mgmt Tenant Services Help Desk Alerts, Actions Lighting Occupancy Sensing Access/Security Badge In, Cameras, Integration Perimeter, Doors, Floors, Occupancy Waste Mgmt Trash/Water/Recycle Compliance Space Mgmt 24/7 Monitoring Condition Monitoring, Parking Lot Utilization Space Utilization Occupancy/ Management Voice/Video/Data Integrated Building & Communications Services Enterprise Security Utilities Demand Mgmt, Cost Control Community Services Transportation, Traffic, Events Commercial Potential Advertisement Industry Specific Hospital, Hotel, Etc. External Integration Maintenance Analytics and Optimization Building Services IBM - TRIRIGA Workplace Enterprise-Class Applications Role-based Applications TRIRIGA Operations TRIRIGA Environmental TRIRIGA Real Estate TRIRIGA Projects TRIRIGA Facilities Portfolio Planning Program Management Space Management Contact Center CO2 Emission Tracking Site Selection Fund Management Space Chargeback Service Management Utility Tracking Transaction Management Scope Management Space Requests Warranty Management Waste Disposal Lease Administration Cost Management Strategic Planning Preventive Maintenance Water Consumption Lease Accounting Schedule Management Move Management Facility Assessment AR Tenant Tracking Resource Management Reservation Management Security/Key Management Green Opportunities Tracking Payment Processing Quality Management Personnel Provisioning Inventory Management Client Requests Vendor Engagement CAD Management Capital Planning Enterprise Security Energy Star Integration Resource Planning Procurement FM - Core Components LEED/BREEAM Certification Geographies People Receiving Customer Self Service Reporting Locations Specifications Invoicing News WPM Metrics Organizations Assets Requests Graphics GIS Mapping Vendors Contracts Tasks Document Management GANTT Schedules Workplace Solution Role/Process-based Navigation SimpleSimple-toto-Use Interface Adapts to User Needs Reminders My Bookmarks Quick Links Performance Management and Reporting PrePre-built Metrics Crystal Reports TimeTime-trends CAD Reports My Reports Award-winning Applications Real Estate Projects Facility Operations Sustainability Single Technology Platform EnterpriseEnterprise-class Database Document Repository WebWeb-based Configuration Upgrade Management Interoperability TRIRIGA Business Connect TRIRIGA OffOff-line Enterprise Security TRIRIGA Data Connect ESRI GIS Server AutoCAD MicroStation Risk - Hvor ?? Enterprise Security Risk - fra hvor ? Samsung Android + Virtualization layer iOS HTC Android 3.X / 4.X 2.1.2 Rooted Jailbroken Enterprise Security Xoom Samsung Galaxy Tab iPad 20 Simple Cloud Based - Architecture Android Agent iOS 4.x MDM API TELCO Visibility, Security, & Mobility Clients TELCO H o m e Embedded Device Mgmt TELCO Blackberry Exchange ActiveSync Cloud Extenders 3rd Party Device Mgmt Business Premise • Data Reporting • Policy Enforcement • Actions/Mgmt/Help Desk • Update/Patching Services • Software Services • Software Distribution • User/Device Grouping • User/Device Enrollment H o m e R e p o r t s Enterprise Security 21 Device/Policy/Connectio n Mgmt & Actions H o m e R e p o r t s Consolidated User View Mobility Intelligence™ Intelligence™ Behavior R e p o r t s Security & Compliance Risikobildet • Virksomheten må ivareta eksterne og interne krav for å forebygge mot uønskede hendelser (IKT, HMS, osv.). • HRS fanger eksplisitt eller implisitt opp risiko som også må kartlegges i disse sammenhenger. • Fra avviksrapporter eller risikoanalyser inne et av risikokategoriene, identifiseres risikoer som er kandidater til det risikobildet som utarbeides med fokus på HRS. • Det er viktig at risiko som fanges opp i slike sammenhenger, og som er av vesentlig betydning for virksomhetens måloppnåelse, innlemmes i risikobildet fra en helhetlig risikostyring. HRS IKT Enterprise Security Kvalitet HMS Annet Risikobildet Enterprise Security Enterprise Security Regelverk og standarder Enterprise Security Securitas Regelverk og standarder • Seksjon 600 - IT-miljø – Overordnet kartlegging av IT-miljø – Risikovurdering – Innspill til revisjonsstrategi • Seksjon 2200 - Generelle IT-kontroller – Kartlegging, beskrivelse av kontroller, testing – Implementering, endringshåndtering, sikkerhet og drift 26 Enterprise Security Regelverk og standarder Revisjonsstandarder • RS400 - Risikovurdering og intern kontroll • RS401 - Revisjon i IT-miljø • RS402 - Revisjon i foretak som benytter serviceorganisasjoner • + øvrige RS’er (ex. RS500 - Revisjonsbevis og RS620 - Bruk av en eksperts arbeid) 27 Enterprise Security Regelverk og standarder God IT-skikk • God IT-skikk (nr 0) - Grunnleggende retningslinjer • God IT-skikk (nr 1) - Dokumentasjon av ITsystemer • God IT-skikk (nr 2) - Tilgangskontroller • God IT-skikk (nr 3) - Kontinuitet i den operasjonelle drift • God IT-skikk (nr 4) - Endringsadministrasjon • God IT-skikk (nr 5) - Bruk av Internet 28 Enterprise Security Regelverk og standarder Andre kilder • Forskrift om bruk av informasjonsteknologi (IT) fastsatt av Kredittilsynet 16. Des. 1992 • Lov om behandling av personopplysninger • CobiT - Control Objectives for Information and related Technology • ISO 2700 1/2 Informatio Security Management • Ny regnskapslov kap. 2 • Løsbladforskriften 29 Enterprise Security Hva kan vi gjøre Enterprise Security Eksempler på viktige forhold for å redusere risiko • toppledelsens engasjement og prioritering • holdningsskapende virksomhet, kompetanse og sikkerhetsbevissthet • virksomhetens sikkerhetsstrategi • organisering og ansvarsforhold • krise- og beredskapsplanlegging • kontraktsmessige forhold, forpliktelser overfor kunder og marked Enterprise Security Organization – Capability Curve No dedicated information security resource Established executive management commitment Clearly defined stakeholders Risk Established information security roles and responsibilities Established information security function Target Current Cross functional information security teams Outsourced non-core competencies Flexible dedicated resource management Established collaborative network Dedicated core security team Future State Fundamental Enterprise Security Tactical Strategic Regulatory Compliance – Capability Curve No regulatory strategy Ad hoc regulatory strategy Public policy awareness Risk Established regulatory strategy Target Cross functional team Current Business impact analysis methodology Proactive regulatory program Third party compliance review Self - assessment capacity Future State Fundamental Enterprise Security Tactical Strategic Policy Management – Capability Curve No policy & standards Informal, verbal policy & standards Documented policy & standards with IT focus Complete policy and standards with business focus Risk Executive cross-functional management commitment Target Policy and standards publicized and widely deployed Current Sustainable process for policy and standards Documented IT and business process procedures Procedures fully Sustainable deployed and process for operational procedures Institutionalized & operational compliance program Future State Fundamental Enterprise Security Tactical Strategic Security Awareness – Capability Curve No awareness program Limited security awareness program Cross functional executive commitment to awareness program Risk Developed awareness strategic plan Target Current Designed educational materials Established communication and educational program Enhanced training for technical personnel Demonstrated acceptance and competency Future State Fundamental Enterprise Security Tactical Strategic Funn ved senere E-business prosjekter •Selskaper: – Stoler på svake tekniske kontroller for informasjonssikkerheten – Adresserte ikke adekvat skatteimplikasjoner – Forstår ikke fullt ut operasjonell risiko – Kontrollgap mellom forretningsenheter og støttetjenester – Utilstrekkelig internrevisjondekning – Ingen sentral prosjektoversikt – Har ikke linket deres E-business strategi til deres forretningsmodell – Har svake tredjeparts kontakter og ingen måling av performance Markedet mar mange : – Dårlige “ SaaS “ løsninger , sikkerhet et STORT problem Enterprise Security Hvordan klarer vi kravene Enterprise Security Oppsummering og konklusjon • Risikoanalyser danner grunnlaget for alt sikkerhetsarbeid. • Risikogapet mellom virksomhetens avhengighet av IT og sikkerhetsnivå er som regel stort. • De økonomiske aspekter har vesentlig betydning under arbeidet med risikoanalysen. • Mange sikringstiltak er enkle og rimelige, og kan innføres enkelt og raskt. • Det er lov å akseptere restrisiko – men ledelsen må være bevisst hvilken risiko virksomheten er eksponert for. Enterprise Security Et trusselbilde i stadig endring! Enterprise Security Takk for meg [email protected] Enterprise Security
© Copyright 2024