Kaare B Martinussen fm Path AS

Risk
Management
Kaare B Martinussen
fm Path AS
Enterprise Security
Agenda
•
•
•
•
•
•
Status i dag
Hva er risiko
Hva kan en gjøre
Hva er ” en Standard ”
Gode tips på veien
” Tanker til slutt ”
Enterprise Security
Hverdagen endres
•
•
•
•
•
•
Voldsom økning i informasjonsmengden
Utstyr og programvare fra flere forskjellige IT-leverandører
Stadig større verdier forvaltes av stadig færre medarbeidere
Kompliserte og ofte usikre kommunikasjonsløsninger
Distribuerte og integrerte løsninger
Stor – og stadig stigende – avhengighet av IT i folks daglige
arbeid
• Ofte uklare ansvarsforhold og svak eller mangelfull styring
• Økende antall trusler og farer – trusselbildet endres
• Stadig større økonomiske konsekvenser dersom uhell
inntreffer
Enterprise Security
Hva er Risk -
Enterprise Security
Risiko ?
Enterprise Security
Risiko ?
Enterprise Security
Risiko ?
Enterprise Security
Risiko ?
Enterprise Security
Risiko ?
Enterprise Security
Hva er vi redd for ?
Enterprise Security
Hva tror vi ?
Enterprise Security
Hva er risiko
• Risiko beskriver fare for tap, usikkert eller
uberegnelig utfall av at en trussel
materialiseres. I forbindelse med IT-sikkerhet
er risiko en funksjon av sannsynligheten eller
muligheten for at en sikkerhetshendelse vil
inntreffe og den forventede skadevirkningen
hendelsen kan medføre.
Enterprise Security
Akseptabelt risikonivå
• Akseptabel risiko angir den risiko foretaket
er villig til å akseptere. Akseptabelt
risikonivå skal besluttes av foretakets
ledelse. Resultat fra risikovurdering skal
sammenlignes
Enterprise Security
Sikkerhetshensyn
K
I
Konfidensialitet
Integritet
Tilgjengelighet
T
Konfidensiaitet – Å forhindre uvedkommendes tilgang til informasjon
Integritet – Å sikre informasjonens ekthet og konsistens. Å forhindre at
informasjon bevisst eller ubevisst manipuleres
Tilgjengelighet – Å sikre tilgang til informasjon og systemer når tilgang
skal gis
Enterprise Security
Rammeverkets hjørnesteiner
•
Sikkerhetsvisjon og -strategi
•
•
•
•
Forankring i toppledelsen
•
•
•
•
Forankring i prinsipp og praksis
Støtte via policy, instrukser og ressurstildeling
Klargjøring av risiko toleranse
TreningsTrenings- og holdningsprogrammer
•
•
•
Prinsipper og filosofi
Strategi for å beskytte informasjon
Sikkerhetskommité for autoritative beslutninger og
kommunikasjon
Kommunikasjon dekker aller nivåer av en organisasjon og alle
aspekter av informasjonssikkerhet
Kontinuerlig, gjennomgående og integrert del av fagkrets
Struktur på
på sikkerhetsadministrasjonen
•
•
Sentralisert og desentralisert ressursanvendelse
Roller og ansvar
Enterprise Security
IBM - TRIRIGA extends IBM Maximo success in IBM Smarter Planet initiatives
with key functionality for Intelligent Buildings solutions
TRIRIGA extends IBM Maximo success in IBM Smarter Planet initiatives
with key functionality for Intelligent Buildings solutions
Energy
Smart Meter,
Demand Response
Portfolio
Fire Functionality
Checks,
Detector Service
Elevators
Maintenance,
Performance
Estates Mgmt
Asset Mgmt
HVAC
Fans, Variable Air
Volume, Air Quality
Weather
Current
Predictions
Water
Smart Meters,
Use / Flow
Sensing
Lifecycle
Energy Use
Emergency
Services
Passive/Active
Occupancy
Space Mgmt
Tenant Services
Help Desk
Alerts, Actions
Lighting
Occupancy
Sensing
Access/Security
Badge In,
Cameras, Integration
Perimeter, Doors,
Floors, Occupancy
Waste Mgmt
Trash/Water/Recycle
Compliance
Space Mgmt
24/7 Monitoring
Condition Monitoring,
Parking Lot Utilization
Space Utilization
Occupancy/
Management
Voice/Video/Data
Integrated Building & Communications Services
Enterprise Security
Utilities
Demand Mgmt,
Cost Control
Community
Services
Transportation,
Traffic, Events
Commercial
Potential
Advertisement
Industry Specific
Hospital, Hotel, Etc.
External Integration
Maintenance
Analytics and Optimization
Building Services
IBM - TRIRIGA Workplace Enterprise-Class Applications
Role-based Applications
TRIRIGA Operations
TRIRIGA Environmental
TRIRIGA Real Estate
TRIRIGA Projects
TRIRIGA Facilities
Portfolio Planning
Program Management
Space Management
Contact Center
CO2 Emission Tracking
Site Selection
Fund Management
Space Chargeback
Service Management
Utility Tracking
Transaction Management
Scope Management
Space Requests
Warranty Management
Waste Disposal
Lease Administration
Cost Management
Strategic Planning
Preventive Maintenance
Water Consumption
Lease Accounting
Schedule Management
Move Management
Facility Assessment
AR Tenant Tracking
Resource Management
Reservation Management
Security/Key Management
Green Opportunities
Tracking
Payment Processing
Quality Management
Personnel Provisioning
Inventory Management
Client Requests
Vendor Engagement
CAD Management
Capital Planning
Enterprise Security
Energy Star Integration
Resource Planning
Procurement
FM - Core
Components
LEED/BREEAM Certification
Geographies
People
Receiving
Customer Self Service
Reporting
Locations
Specifications
Invoicing
News
WPM Metrics
Organizations
Assets
Requests
Graphics
GIS Mapping
Vendors
Contracts
Tasks
Document Management
GANTT Schedules
Workplace Solution
Role/Process-based Navigation
SimpleSimple-toto-Use Interface
Adapts to User Needs
Reminders My Bookmarks
Quick Links
Performance Management and Reporting
PrePre-built Metrics
Crystal Reports
TimeTime-trends
CAD Reports
My Reports
Award-winning Applications
Real Estate
Projects
Facility
Operations
Sustainability
Single Technology Platform
EnterpriseEnterprise-class Database
Document Repository
WebWeb-based Configuration
Upgrade Management
Interoperability
TRIRIGA Business Connect
TRIRIGA OffOff-line
Enterprise Security
TRIRIGA Data Connect
ESRI GIS Server
AutoCAD
MicroStation
Risk - Hvor ??
Enterprise Security
Risk - fra hvor ?
Samsung
Android +
Virtualization
layer
iOS
HTC Android
3.X / 4.X
2.1.2
Rooted Jailbroken
Enterprise Security
Xoom
Samsung
Galaxy Tab
iPad
20
Simple Cloud Based - Architecture
Android Agent
iOS 4.x
MDM API
TELCO
Visibility, Security, &
Mobility Clients
TELCO
H
o
m
e
Embedded Device Mgmt
TELCO
Blackberry
Exchange ActiveSync
Cloud Extenders
3rd
Party Device Mgmt
Business Premise
• Data Reporting
• Policy Enforcement
• Actions/Mgmt/Help Desk
• Update/Patching Services
• Software Services
• Software Distribution
• User/Device Grouping
• User/Device Enrollment
H
o
m
e
R
e
p
o
r
t
s
Enterprise
Security
21
Device/Policy/Connectio
n Mgmt & Actions
H
o
m
e
R
e
p
o
r
t
s
Consolidated User View
Mobility Intelligence™
Intelligence™
Behavior
R
e
p
o
r
t
s
Security & Compliance
Risikobildet
• Virksomheten må ivareta eksterne og interne krav for å forebygge mot
uønskede hendelser (IKT, HMS, osv.).
• HRS fanger eksplisitt eller implisitt opp risiko som også må
kartlegges i disse sammenhenger.
• Fra avviksrapporter eller risikoanalyser inne et av risikokategoriene,
identifiseres risikoer som er kandidater til det risikobildet som utarbeides
med fokus på HRS.
• Det er viktig at risiko som fanges opp i slike sammenhenger, og som er
av vesentlig betydning for virksomhetens måloppnåelse, innlemmes i
risikobildet fra en helhetlig risikostyring.
HRS
IKT
Enterprise Security
Kvalitet
HMS
Annet
Risikobildet
Enterprise Security
Enterprise Security
Regelverk
og standarder
Enterprise Security
Securitas
Regelverk og standarder
• Seksjon 600 - IT-miljø
– Overordnet kartlegging av IT-miljø
– Risikovurdering
– Innspill til revisjonsstrategi
• Seksjon 2200 - Generelle IT-kontroller
– Kartlegging, beskrivelse av kontroller, testing
– Implementering, endringshåndtering, sikkerhet og
drift
26
Enterprise Security
Regelverk og standarder
Revisjonsstandarder
• RS400 - Risikovurdering og intern kontroll
• RS401 - Revisjon i IT-miljø
• RS402 - Revisjon i foretak som benytter
serviceorganisasjoner
• + øvrige RS’er (ex. RS500 - Revisjonsbevis og
RS620 - Bruk av en eksperts arbeid)
27
Enterprise Security
Regelverk og standarder
God IT-skikk
• God IT-skikk (nr 0) - Grunnleggende retningslinjer
• God IT-skikk (nr 1) - Dokumentasjon av ITsystemer
• God IT-skikk (nr 2) - Tilgangskontroller
• God IT-skikk (nr 3) - Kontinuitet i den
operasjonelle drift
• God IT-skikk (nr 4) - Endringsadministrasjon
• God IT-skikk (nr 5) - Bruk av Internet
28
Enterprise Security
Regelverk og standarder
Andre kilder
• Forskrift om bruk av informasjonsteknologi (IT)
fastsatt av Kredittilsynet 16. Des. 1992
• Lov om behandling av personopplysninger
• CobiT - Control Objectives for Information and
related Technology
• ISO 2700 1/2 Informatio Security Management
• Ny regnskapslov kap. 2
• Løsbladforskriften
29
Enterprise Security
Hva kan vi gjøre
Enterprise Security
Eksempler på viktige forhold for å redusere risiko
• toppledelsens engasjement og prioritering
• holdningsskapende virksomhet, kompetanse og
sikkerhetsbevissthet
• virksomhetens sikkerhetsstrategi
• organisering og ansvarsforhold
• krise- og beredskapsplanlegging
• kontraktsmessige forhold, forpliktelser overfor
kunder og marked
Enterprise Security
Organization – Capability Curve
No dedicated information security
resource
Established executive management
commitment
Clearly defined stakeholders
Risk
Established information security roles and
responsibilities
Established information security function
Target
Current
Cross functional information security
teams
Outsourced non-core competencies
Flexible dedicated resource
management
Established collaborative network
Dedicated core security team
Future
State
Fundamental
Enterprise Security
Tactical
Strategic
Regulatory Compliance – Capability Curve
No regulatory strategy
Ad hoc regulatory strategy
Public policy awareness
Risk
Established regulatory strategy
Target
Cross functional team
Current
Business impact analysis
methodology
Proactive regulatory program
Third party compliance review
Self - assessment capacity
Future
State
Fundamental
Enterprise Security
Tactical
Strategic
Policy Management – Capability Curve
No policy & standards
Informal, verbal policy & standards
Documented policy & standards with IT focus
Complete policy and standards with business focus
Risk
Executive cross-functional management commitment
Target
Policy and standards publicized and widely
deployed
Current
Sustainable process for policy and standards
Documented IT and
business process
procedures
Procedures fully
Sustainable
deployed and
process for
operational
procedures
Institutionalized
& operational
compliance
program
Future
State
Fundamental
Enterprise Security
Tactical
Strategic
Security Awareness – Capability Curve
No awareness program
Limited security awareness program
Cross functional executive commitment to awareness program
Risk
Developed awareness strategic plan
Target
Current
Designed educational materials
Established communication and educational
program
Enhanced training for technical
personnel
Demonstrated acceptance
and competency
Future
State
Fundamental
Enterprise Security
Tactical
Strategic
Funn ved senere E-business prosjekter
•Selskaper:
– Stoler på svake tekniske kontroller for informasjonssikkerheten
– Adresserte ikke adekvat skatteimplikasjoner
– Forstår ikke fullt ut operasjonell risiko
– Kontrollgap mellom forretningsenheter og støttetjenester
– Utilstrekkelig internrevisjondekning
– Ingen sentral prosjektoversikt
– Har ikke linket deres E-business strategi til deres forretningsmodell
– Har svake tredjeparts kontakter og ingen måling av performance
Markedet mar mange :
– Dårlige “ SaaS “ løsninger , sikkerhet et STORT problem
Enterprise Security
Hvordan klarer vi kravene
Enterprise Security
Oppsummering og konklusjon
• Risikoanalyser danner grunnlaget for alt
sikkerhetsarbeid.
• Risikogapet mellom virksomhetens avhengighet
av IT og sikkerhetsnivå er som regel stort.
• De økonomiske aspekter har vesentlig betydning
under arbeidet med risikoanalysen.
• Mange sikringstiltak er enkle og rimelige, og kan
innføres enkelt og raskt.
• Det er lov å akseptere restrisiko – men ledelsen
må være bevisst hvilken risiko virksomheten er
eksponert for.
Enterprise Security
Et trusselbilde i stadig endring!
Enterprise Security
Takk for meg
kbm@fmpath.com
Enterprise Security