Er IT sikkerheden i virksomheden effektiv nok og er I klar til GDPR ? 

Med Dansk IT-Sikkerhedsbarometer™ udviklet af Draware A/S får du svaret!

Cyber angreb og intern misbrug af rettigheder fortsætter med uformindsket styrke og konsekvensen er kompromittering af følsomme data, som stjæles og sættes til salg på det mørke net, sælges til konkurrenter eller tages som gidsel og bruges til økonomisk afpresning. Læs mere her

Uanset hvor mange penge vi ofrer på at beskytte vores organisationer mod intern og ekstern digital kriminalitet, lader det ikke til at løse problemet.

Draware A/S har udviklet en GAP analyse baseret på CIS20 Critical Security Controls som giver din virksomhed et værktøj til at vurdere IT sikkerheden i praksis -her og nu- samt opsætte mål for forbedringer.

 

Hvad siger databeskyttelsesforordningen (Eng: General Data Protection Regulation”   GDPR - http://www.eugdpr.org/)

Den fælles Europæiske forordning effektueres i maj 2018 og den danske udgave af denne forordning, som skal erstatte persondataloven, forventes vedtaget i folketinget ved årsskiftet 17/18.

Forordningen/loven skal tvinge offentlige myndigheder og private virksomheder til at sikre personfølsomme Oplysninger, så de behandles transparent og sikres mod misbrug.

Databeskyttelsesforordningens artikel 32 om ”Behandlingssikkerhed” omhandler hvad organisationen skal gøre for at der ikke forekommer en Sikkerhedsbrist – Def: Art.4(12) - og sker det alligevel, så handler ”Notifikationspligten” i artikel 33-34 bl.a. om, hvordan og hvornår myndigheder og datasubjekter skal underrettes.

Konsekvensen for manglende efterlevelse af forordningen udmøntes i en bøderamme på op til 150 millioner kroner.

Hvad det er, man skal gøre for at undgå en sikkerhedsbrist, beskrives desværre ikke i klar forståelig tekst og derfor står mange organisationer tilbage med spørgsmålet: Hvad skal vi gøre i praksis? 

Uddrag af artikel 32 ”Behandlingssikkerhed” i Databeskyttelsesforordningen:

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

a) pseudonymisering og kryptering af personoplysninger

b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester

c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske
foranstaltninger til sikring af behandlingssikkerhed

 

Hvad siger Justitsministeriet?

I maj måned 2017 kom ministeriet med en betænkning, der skal danne grundlag for den danske udgave af forordningen, som vil erstatte den gældende og noget forældede persondatadatalov. Vi har gennemgået informationen i betænkningen hvad angår artikel 32-34 og lavet en artikel om dette, som du finder her.

I betænkningen henvises blandt andet til artiklen ”Cyberforsvar der virker” på Digitaliseringsstyrelsens hjemmeside, hvor en række prioriterede praktiske tiltag gennemgås. Denne artikel bygger på Center for Internet Security 20 Critical Security Controls, som er en pragmatisk ramme for IT Sikkerhed, der er bredt adopteret af myndigheder og private virksomheder over hele kloden (CIS 20 CSC i version 6.1).

https://www.digst.dk/Informationssikkerhed/Cyber-og-informationssikkerhed/Cyberforsvar-der-virker

https://www.cisecurity.org/controls/ (her kan du se hvad de enkelte kontroller handler om)

 

Hvad er CIS 20 CSC?

CIS 20 CSC er et pragmatisk gratis community framework, som blev formuleret i 2008 af Tony Sager fra NSA. 20 CSC bygger på kontroller, der ville have stoppet virkelige (Cyber)angreb (som formuleret fx i Verizons DBIR rapporter og Mandiant M-Trends).

De 20 CSC er bl.a. blevet brugt af den Australske regering til at vise. hvordan man ved blot at gennemføre de 4 første kontroller kan mindske sandsynligheden for en sikkerhedsbrist med mellem 85-93%. Læs mere her.

 

20 CSC danner grundlag for mange organisationers ”Hvad skal vi gøre i praksis” og ved at bruge disse kontroller opnår man bl.a:

- At gøre IT Sikkerheden målbar*

- At skyde genvej fx til dele af ISO 27002***

- At foretage en prioriteret indsats, der højner IT Sikkerheden, så den passer til det accepterede niveau af risiko**

- At have et grundlag for opfyldelse af forordningens artikler om behandlingssikkerhed og notifikationspligt

*Kun når IT Sikkerhed bliver målbar kan ledelsen af organisationen tildele de nødvendige ressourcer uden hvilke IT Sikkerheden sjældent bliver rigtigt effektiv.

**Det handler ikke om at blive ”100 % sikker” men at definere det niveau af risiko, organisationen vil acceptere og justere IT Sikkerheden herefter. Husk at dette er en kontinuerlig proces og ikke et projekt der slutter.

***20CSC konkurrerer ikke med ISO27002 men er en pragmatisk, prioriteret og målbar genvej til IT Sikkerhed, som hurtigt kan gennemføres og som kan mappes direkte mod ISO27002, hvis man ønsker det.

 

Du kan se hvordan vi præsenterer mapning af 20 CSC mod ISO27002 under GAP analysen herunder:

 

 

Sådan foretages GAP analysen

For at komme i gang med 20 CSC skal man lave en GAP analyse, der har til formål at måle organisationens IT Sikkerhed op mod de 20 CSC for at se, hvor mange af kontrollerne man opfylder*. Dette giver en nuværende IT Sikkerhedsprofil (Eng: ”Posture”). Man sætter derefter et nyt mål for en forbedret IT Sikkerhedsprofil og GAP analysen fortæller dig:

  1. Hvad din nuværende IT Sikkerhedsprofil er (et tal på en skala fra fra 1-100 eller 1-150)
  2. Hvor langt der er mellem den nuværende og den målsatte IT Sikkerhedsprofil
  3. Hvad du skal gøre for at nå den målsatte profil – i praksis!

 

20 CSC er ikke en standard man kan blive ”compliant” med, men en række pragmatiske kontroller / ToDos, som kan efterleves/opfyldes i større eller mindre grad. Man kan ikke blive certificeret i 20 CSC, men det er muligt (ikke nødvendigt) at tage et detaljeret on-line kursus i 20 CSC her

 

Draware har lavet en DANSK udgave af denne GAP analyse, som gennemføres på følgende måde:

A) Vi sidder on-site sammen med din organisations ledende medarbejdere fra IT afdelingen i 2 dage:

  1. Første dag går med at måle organisationens nuværende IT Sikkerhedsprofil baseret på de 20 CSC (et tal fra 20-100)
  2. Anden dag går med at formulere hvad den nye målsatte IT Sikkerhedsprofil skal være og hvordan den opnås i praksis ved en række ”ToDos” udmøntet som: Bemærkninger, Processer, Kontroller og Løsninger. Resultatet ligger i et Excel regneark, hvor hver enkelt kontrol er scoret på en skala fra 1 til 5:, hvor 1 er ingen opfyldelse, som markeres med rød, 3 er medium opfyldelse, som markeres med gul og 5 er komplet opfyldelse, som markeres med grøn. Vi bestemmer sammen den enkelte score og regnearket bliver efter GAP analysen din ejendom. Summen af alle kontroller giver et tal for organisationens IT Sikkerhedsprofil og den målsatte sum minus summen for den nuværende IT Sikkerhedsprofil giver den målbare vækst i IT Sikkerhed. 

 

B) Draware udarbejder derefter en præsentation, som du internt i organisationen kan bruge til at synliggøre den aktuelle risiko for ledelsen. Bl.a. på basis af dette dokument kan ledelsen så træffe en informeret beslutning om, hvilket niveau af risiko man vil acceptere og bevilge de nødvendige ressourcer.  Dokumentet indeholder bl.a:

  1. En let forståelig forklaring af organisationens nuværende IT Sikkerhedsprofil og konsekvensen af denne
  2. En prioriteret liste med ”straks-tiltag”, der er praktiske ToDos fundet under GAP analysen
  3. En række IT projekter, der skal gennemføres for at opnå den målsatte IT Sikkerhedsprofil. Disse projekter
    indeholder referencer til kontroller i 20 CSC og ISO27002, projekt økonomi og forventet tid, som skal bruges
    på implementering og efterfølgende drift.
  4. En prioriteret plan for hvilke 20 CSC kontroller, der skal implementeres i hvilken rækkefølge og i hvilke faser
    (fx 20CSC Fase 1: #1-6, #13, #17 og #19, Fase 2: resten)

 

Du kan se forløbet af Drawares 20 CSC GAP analyse forklaret på vores YouTube video:

 

Resultatet af GAP analysen og brug af 20 CSC

Det er vores erfaring fra MANGE sikkerhedsvurderinger, at organisationer efter at have adopteret 20 CSC og have gennemført den første GAP analyse:

  1. Forstår deres nuværende IT Sikkerhedsprofil (hvilket ofte er en profil med adskilligt flere brister end forventet)
  2. Forstår hvad der skal til – både teknisk og organisatorisk – for at opnå en IT Sikkerhedsprofil, der passer til den aktuelle risiko
  3. Forstår den store forskel på IT Sikkerhed, der bygger på gode intentioner versus IT Sikkerhed, der bygger på kontroller
  4. Forstår hvilke af de nuværende IT Sikkerhedsløsninger, der skal implementeres bedre og suppleres med organisatoriske kontroller,
    hvilke løsninger, der overlapper og hvilke løsninger, der mangler.
  5. Får et nyt klippe-solidt grundlag for at træffe informerede beslutninger om IT Sikkerhed
  6. Får et værktøj/en metode, der hjælper med at formidle IT Sikkerhedsbudskabet og risikoen til ledelsen, som derefter kan træffe beslutningerne om tildeling af de nødvendige ressourcer på et informeret grundlag (IT Sikkerhed der matcher den accepterede risiko)

 

Dit næste skridt...

Hvis du gerne vil bestille en GAP analyse, skal du kontakte Christian Schmidt på e-mail chr@draware.dk eller ringe til os på 45 76 20 21.

En GAP analyse indeholder:

2 dage hos kunde

1 dag til udarbejdelse af detaljeret rapport med nuværende sikkerhedsstatus, ønsket sikkerhedsstatus og handlingsplan til at opnå det ønskede mål.

2 timers gennemgang af konklusion on-site hos jer eller on-line.

 

En GAP analyse koster kr. 60.000,- eksklusive moms.

Hvis du har brug for en nærmere forklaring på 20 CSC og GAP analysen, gennemgår vi emnet på ca. 1½ time enten on-site eller on-line. Denne service er gratis.

 

 

Hent PDF brugt ved seminar her

Se Draware præsentation på dansk af GAP på ComputerWorld seminar 24.08.17

________________________________________________________________________________________________________________________________________________________________

Nyttige links: 

Info om CIS 20 CSC of ISO27001/2

Se artikel om ISO2700x på siden https://advisera.com/27001academy/  

CSC mapping -andre frameworks: https://www.sans.org/security-resources/posters/20-critical-security-controls/55/download (se side 2)

Løsningers relevans for de enkelte CSC: https://www.sans.org/media/critical-security-controls/critical-controls-poster-2016.pdf (se side 2)

Den politiske modstand mod enkelte cyber sikkerhedstiltag: https://www.asd.gov.au/infosec/top-mitigations/mitigations-2017-table.htm

 

Information om, hvordan man kommunikerer IT Sikkerhed til ledelsen:

https://www.tenable.com/whitepapers/using-security-metrics-to-drive-action

https://www.tenable.com/infographics/security-assurance

https://www.ponemon.org/local/upload/file/Firemon%20Research%20Report%20FINAL%202.pdf