Sådan kan du måle og prioritere IT-sikkerhed!

IT Sikkerhed er en kompliceret størrelse. Det kræver stor teknisk og praktisk viden, før man kan sikre personer og organisationer, så det passer til de risici, organisationen løbende er udsat for.

Det er ikke muligt at indføre en ”Silver-bullet”, som klarer al IT Sikkerhed og det er heller ikke muligt at blive 100% sikker. I stedet drejer det sig om at kende de relevante risici og på ledelsesmæssigt plan afgøre, hvor stor en risiko, organisationen er villig til at løbe. Det kræver imidlertid en struktureret proces, som kan kvantificere og prioritere risikoen på IT Sikkerhedsområdet.

Desværre håndteres IT Sikkerhed ofte ganske ustruktureret baseret på gætværk og færdige løsninger, som er ufuldstændigt implementeret og mangler fokus og prioritering.

Der indsættes en række ”Shiny Boxes”, som mere eller mindre skal passe sig selv og det er opskriften på større huller i IT Sikkerheden, som nemt kan føre til sikkerhedsbrister. Disse sikkerhedsbrister kan betyde, at organisationen er udsat for større driftsforstyrrelser og at personfølsomme data mistes til Cyber kriminelle.

Her bliver den ny databeskyttelsesforordning en rettesnor for, hvad myndighederne forlanger af offentlige institutioner og private virksomheder for at beskytte personfølsomme oplysninger (bl.a. behandlingssikkerhed i artikel 32 og notifikationspligten i artikel 33-34).

For at sætte IT Sikkerheden på formel bruges normalt et framework a la ISO27001, som er baseret på kontroller, der kan sikre, at de tiltag som tages, virker efter hensigten. Desværre er ISO27001 en kompleks og meget omfattende størrelse at forsøge at implementere. Det tager flere år at komme igennem, kræver store interne ressourcer og rummer ved sin indførelse meget få praktisk tiltag.

Til at udføre praktiske tiltag for at forbedre IT Sikkerheden i forlængelse af ISO27001 bruges ISO27002 standarden. Den fungerer som en direkte forlængelse af ISO27001 med de samme kontroller, men selv her er der tale om noget svævende forklaringer på, hvad man skal gøre i praksis.

Der er her, Center for Internet Security (https://www.cisecurity.org/controls/) kommer ind. Denne standard bygger på en række præcist formulerede tekniske tiltag, der indenfor 20 kategorier giver:

  1. En prioriteret rækkefølge for implementeringen
  2. Præcise praktiske tiltag, kontroller og målepunkter
  3. Udgangspunkt for en GAP analyse, der giver et specifikt svar på organisationens nuværende sikkerhedsprofil og muligheden for at vurdere, hvad der skal til for at forbedre den
  4. Målbarhed af sikkerhedsprofilen så den kan forbedres på en struktureret måde
  5. Mulighed for at mappe de praktiske tiltag direkte tilbage til andre kendte frameworks som fx ISO27002

CIS 20CSC blev startet omkring 2008 og er for nærværende i version 6.1. Disse praktiske tiltag er adopteret af en lang række kendte offentlige institutioner. De 20 CSC er udviklet af NSA og oprindeligt udarbejdet for at hjælpe det amerikanske forsvarsministerium (DoD) med at prioritere IT sikkerheden.

Standarden bygger på en række uvildige leverandører og uafhængig anbefalinger, som nu er adopteret kloden rundt. Blandt de bedst dokumenterede resultater er den Australske

trafikstyrelse (”Australian Signals Directorate'”), som i detaljer har beskrevet, hvordan de ved adoption af de 4 første kontroller har reduceret risikoen for en sikkerhedsbrist med mellem 85-93% (!)

Komplet dokumentation kan findes på:

https://www.asd.gov.au/infosec/mitigationstrategies.htm

 

Drawares model

CIS 20CSC kan nemt forstås og implementeres på under et år. Draware har lavet en specialudgave af kontrollerne, som er oversat til dansk og som har fokus på de vigtigste punkter. At lave en GAP analyse ud fra vores model tager 2 dage og giver en detaljeret posture for hvert punkt markeret med grøn for compliance, gul for semi compliance og rød for non compliance. Denne trafiklys udgave af CIS 20CSC giver en samlet sikkerhedsposture med detaljerede anbefalinger til, hvad der skal gøres for at opnå compliance i form af:

  1. Bemærkninger: Som ofte er af mere politisk art om, hvor moden organisationen er til at omfavne de enkelte punkter
  2. Processer: Disse skal indføres internt for at opnå compliance. Der kan også være anvisninger på, hvordan eksisterende sikkerhedsløsninger kan færdigimplementeres, så du opnår complaince.
  3. Værktøjer: Hvilke værktøjer mangler for at kunne opnå compliance.

Resultatet præsenteres i en PowerPoint, som forener følgende væsentlige punkter baseret på denne GAP analyse:

  1. Organisations øjeblikkelige sikkerhedsprofil og compliance med databeskyttelsesforordningen
  2. Actions, der skal foretages, for at leve op til behandlingssikkerheden og notifikationspligten (overordnet)
  3. Straks foranstaltninger i prioriteret rækkefølge
  4. Formål, rammer og forklaring
  5. Resultatet af GAP analyse inklusive radardiagram
  6. Samlet prioriteret projektplan inklusive økonomi for implementering, drift og anskaffelse
  7. Detaljer for de enkelte sikkerhedsprojekter, som dækker aktioner baseret på GAP analysen med specifikation af:
    1. Artikel i databeskyttelsesforordningen
    2. SANS 20 CSC kontroller dækket af projektet
    3. ISO27002 kontroller dækket af projektet
    4. Formål og varighed
    5. Specifikation af drift
    6. Projektøkonomi

Kontakt Draware for at høre nærmere om vores udgave af CIS 20 CSC og se evt. vores YouTube video om emnet:

https://www.youtube.com/watch?v=2RTrOyZiZFk

 

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE