DEL 4: Behandlingssikkerhed baseret på Risikoanalyse i 8 praktiske trin

Databeskyttelsesforordningen har afskaffet Sikkerhedsbekendtgørelsen fra år 2000 (den var jo heller ikke tidssvarende mere), og erstattet den behandlingssikkerhed som skal etableres med begrebet passende sikkerhed (teknisk og organisatorisk) baseret på en risikoanalyse. Med ”etableres” menes nogle tiltag der implementeres, dokumenteres og måles – kontinuerligt.

Men hvad passende egentligt betyder i praksis er noget mere ulden.

Drawares klare anbefaling er at bruge Center for Internet Security 20 Kritiske Kontroller  til at måle den nuværende digitale it-sikkerhed og derfra vurdere om den er tilstrækkelig. Herudfra er det muligt at lægge en konkret plan for at komme til et passende niveau af digital it-sikkerhed  via prioriterede og målbare it-sikkerhedsprojekter. Dette er beskrevet i detaljer i vores Dansk IT-Sikkerhedsbarometer™ 

 

Hvordan foretager man en Risikoanalyse?

Hvis du ikke orker at læse alle de følgende tekniske detaljer igennem kan du allerede nu springe direkte til vores GDPR side hvor vi forklarer vores Risikoprofil som organisationen direkte kan bruge til at vurdere og forbedre organisationens digitale it-sikkerheds risiko på 46 konkrete punkter fordelt på brugere, it-operations og ledelsen. 

 Hvis du gerne selv vil dykke ned i litteraturen og gå i detaljer med disse spændende emner så er her et par links:

 Center for Internet Security Risk Assessment management (RAM):
 https://www.cisecurity.org/cis-ram-puts-the-cis-controls-into-action/
 https://learn.cisecurity.org/cis-ram
 https://www.youtube.com/watch?v=GvX08a6_mWE (søg på YouTube og Google efter ”it security risk assessment”)
 

 ISACAThe Risk It Framework”. Kan hentes gratis
 

 NIST “Guide for Conducting Risk Assessments” Special Publication 800-30R1
 

 ENISAs dokument ”Handbook on security of personal data processing”:
 https://www.enisa.europa.eu/
 https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing
 https://www.enisa.europa.eu/topics/threat-risk-management/risk-management
 

 ISO 27005 Risk Managent:

 

 

Nedenstående vil jeg forklare principperne bag risikoanalyse og hvordan disse relaterer til GDPR og hvordan de er udmøntet i Draware IT-Sikkerhedsbarometer™ i form af Sikkerhedsprofilen og Risikoprofilen. Bemærk at traditionel risikoanalyse eller vurdering tager udgangspunkt i risici for organisationen, mn risikoanalyse for persondata tager udgangspunkt i frihedsrettigheder for individet.

Denne risikobaserede tænkning kendetegnes ved implementeringen af processer, der tager højde for løbende identifikation af både risici og muligheder samt den efterfølgende overvågning, måling, evaluering og analyse af disse. Dette citat kommer direkte fra særvejledningen til behandlingssikkerhed. Heri foreslås det også at organisationen tager udgangspunkt i alle de situationer hvor der behandles persondata og vurderer følgende parametre på en risikoskala: lav, medium, høj og meget høj.

Ved hver risikoanalyse vurderes:

 Risikoen for den registreredes rettigheder * Sandsynligheden for truslens indtræden

= den samlede risiko for behandlingen

 

Under ”risikoen for den registreredes rettigheder” vurderes følgende parametre for persondata efter CIA modellen:”Risikoen for den registreredes rettigheder” * ”Sandsynligheden for truslens indtræden” = den samlede risiko for behandlingen

(oversat til normale termer er dette Konsekvens * Sandsynlighed = Risiko)

Enisa foreslår en risikoanalyse proces med følgende elementer:
 

Definer omfanget af persondatabehandling (indsamling, arkivering, brug, overførsel, bortskaffelse m.fl.)

  • Hvordan behandles persondata
  • Hvilke typer af persondata behandles
  • Hvad er formålet med denne behandling
  • På hvilken måde behandles persondata (automatisk / manuelt)
  • Hvor (geografisk) finder behandlingen sted
  • Hvilke kategorier af datasubjekter er omfattet
  • Hvem er modtagerne af persondata
     

Hvad er den mulige uønskede skadevirkning ved denne behandling

  • Alle relevante behandlinger vurderes individuelt (kvalitativt)
  • Mulige skadevirkninger opdeles i kategorier: fx lav, middel, høj og meget høj
  • (Dette er beskrevet under punkt 3.2.1 på side 20 i ENISA dokumentet ”Guidelines for SMEs on the security of personal data processing”)
  • Tag højde for typen af persondata (almindelige / følsomme)
  • Mængden af persondata som behandles og sker behandlingen manuelt eller automatisk
  • Karakteristika af databehandleren / dataansvarligKombinationer af typer af persondata kan øge vigtigheden (hvis kritisk behandlingen er)


Samlet vurdering af mulige skadevirkninger for de 3 kerne emner: Fortrolighed (Konfidentialitet), Integritet (validitet), Tilgængelighed

  • Risikoen ved hver relevant behandling vurderes for disse 3 emner
     

Identificer relevante trusler
Vurder risikoen (truslen mod individet)

Vælg relevant risiko mitigering 
Implementer og vedligehold disse mitigerings mekanismer

 

Under ”risikoen for den registreredes rettigheder” vurderes følgende parametre for persondata efter CIA modellen:

  • Tab af fortrolighed (konfidentialitet)
  • Integritet som tilintetgørelse, tab og ændring
  • Data tilgængeligheden
  • Konsekvens for den registrerede (Se vores blog Risikobaseret behandlingssikkerhed)

Under ”sandsynligheden for truslens indtræden” vurderes:

  • Relevante trusler
  • Mulige foranstaltninger som imødegår denne trussel og skaber et acceptabelt niveau af risiko

 

Risikovurdering

ENISAs dokument ”Guidelines for SMEs on the security of personal data processing” peger på at du bør iværksætte følgende proces: (Husk at nedenstående er en proces. Er dette nyt for organisationen så starter det ofte som et projekt, men for at være effektiv skal dette projekt overgå til en proces som skal overvåges, måles og forbedres - kontinuerligt)

 

  1. Risikovurdering
    (En proces hvor alle relevante risici vurderes i deres øjeblikkelige status som en multiplikation af sandsynlighed og konsekvens)
     
  2. Risikohåndtering
    (En proces hvor de relevante risici fra risikovurderingen imødegås ved at indføre IT-Sikkerhedstiltag som kan modvirke/undgå, imødegå eller mindske de nævnte risici til et acceptabelt niveau)
     
  3. Risikoaccept
    (Den tilbageværende risiko, der defineres som den håndterede risiko fra punkt 2 er stadig en risiko og det er ledelsens ansvar af acceptere niveauet af den håndterede risiko og tildele ressourcer (økonomisk og personale/tid) til at opnå/hold/forbedre niveauet af accepteret risiko). Dette punkt er det mest almindeligt forekommende svigt i IT-Sikkerhed!
     
  4. Risikokommunikation
    (Den accepterede risiko skal kommunikeres til hele organisationen og i særdeleshed til nøglefunktioner i organisationen)

 

CIA modellen bruges ofte som baggrund for arbejdet med sikkerhed:

C=Confidentiality=Fortrolighed

I=Integrity=Integritet

A=Availability=Tilgængelighed.

 

Risikoanalyse i 8 praktiske trin

Som det fremgår at ovenstående er det ikke en nem opgave at lave en sådan vurdering for alle behandlingsaktiviteter og det er da også min opfattelse at meget få organisationer rent faktisk har implementeret en sådan risikovurdering. For at gøre dette nemmere foreslår vi følgende fremgangsmåde i 8 praktiske trin:

  1. Få Management backup til denne proces
    Det kræver en del ressourcer hvad angår tid og investering i programmer og processer at få en succesfuld IT-Sikkerhed stablet på benene.
    Derfor er det afgørende at ledelsen bakke projektet op. Ledelsen vil helt sikkert spørge hvad det kommer til at ”koste” og du kan bruge flere af nedenstående trin til at vurdere dette
     
  2. Få foretaget en overordnet sikkerhedsvurdering
    Du kan med fordel bruge vores Sikkerhedsprofil til at få en hurtig overordnet vurdering af organisationens digitale IT-Sikkerhed. Dette vil givet et rigtigt godt indspark til en risikoprofilering samt en idé om hvor meget tid (drift og implementering) samt hvor meget budget det skal afsættes til nye løsninger der prioriteret vil lukke de relevante sikkerhedsmangler. Dette kaldes en GAP Analyse og vores koncept hedder: Dansk IT-Sikkerhedsbarometer™ 
     
  3. Læg en langsigtet plan for implementering
    Det vil ofte kræve en indsats der strækker sig over mindst 2-3 år at komme i mål med den første del af IT-Sikkerhedsprojektet (som derefter skal blive til en proces – ikke et overstået projekt). Sørg for at ledelsen på dette tidspunkt bliver orienteret om de forestående opgaver via punkt 5.
     
  4. Foretag den første overordnede risikovurdering
    Når sikkerhedsprofilen er på plads er det en god idé at bruge Draware Risikoprofil. Den afhænger af Sikkerhedsprofilen og vil afdække den forventede risiko der er ved 46 relevante konkrete punkter inklusive endnu en vurdering af tid og budget. Med Risikoprofilen og Sikkerhedsprofilen kan ledelsen konkret vurdere hvad det koster at sænke risikoen prioriteret så den når det niveau som er acceptabelt for ledelsen.
     
  5. Få management buy-in til IT-Sikkerhedspocessen
    På dette tidspunkt kan du med fordel bruge vores Ledelsesprofil til at samle trådene og præsentere ledelsen for de konkrete praktiske og prioriterede IT -sikkerhedsprojekter som skal hjælpe organisationen med gradvist OG MÅLBART at nå det accepterede niveau af risiko.
     
  6. Start implementeringen af IT-Sikkerhedstiltag
    Nu er du klar til at vurdere om den langsigtede plan for implementering er realistisk eller om det skal tilrettes. Når dette er sket kan du starte den praktiske implementering. Det er et lovkrav at du kan dokumentere et tilstrækkeligt niveau af IT-Sikkerhed og derfor er den en god idé at du under implementeringsfasen bruger vores Kontrolprofil og Procesprofil til at implementere de processer og kontroller skal bliver omdrejningspunktet ir organisationens IT-Sikkerhedsstrategi.
     
  7. Afdæk risikoen ved organisationens persondatabehandling
    En væsentlig og kompliceret proces består i at afdække risikoen ved den nuværende persondatabehandling og nedsætte denne risiko til et acceptabelt niveau.
    Her kan du få hjælp fra vores Databehandlingsprofil som er baseret på den nyeste særvejledning fra Datatilsynet og ENISA senbefalinger. Mange af de mitigerings mekanismer som er omtalt i de ovenstående punkter vil hjælpe med sikkerhed for persondatabehandling, men for at blive helt konkret og vurdere compliance under netop dette punkter hjælper vores Databehandlingsprofil dig hurtigere i mål. Forvent at processen med praktisk, prioriteret og målbag IT-Sikkerhed omkring persondatabehandling ofte tager flere år
     
  8. Kommunikation af accepteret risiko
    Det er væsentligt at ledelsen og andre relevante afdelinger under hele sikkerhedsprocessen kommunikerer til organisationen hvad det accepterede niveau af risiko er.
    Det giver en forståelse af at IT-Sikkerhed er en opgave hvis succes afhænger af hele organisation deltagelse og at IT-Sikkerhed ikke er alt/intet men en afvejning af forskellige faktorer som indgår i det daglige arbejde. Et væsentligt redskab her er er godt Awareness system som gør det muligt at mål om organisationen forstår og efterlever dette budskab om accepteret risiko. Her anbefaler Draware Wombat security

 

Ønsker du en snak om hvordan din organisation kan implementere en tilstrækkelig behandlings- og digital  IT-Sikkerhed, så er du velkommen til at kontakte Christian Schmidt 

 

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Thursday, 04 June 2020