Bild 1

KLISTER KARTLÄGGNING

INFORMATIONSSÄKERHET I KOMMUNER

I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I , H Ö G S K O L A N S K Ö V D E

Rose-Mharie Åhlfeldt

Eva Söderström

Marcus Nohlberg

Joeri van Laere

Christian Lennerholt

Metod och resultat

Bild 2

PROJEKTGRUPP HÖGSKOLAN I SKÖVDE

Rose-Mharie Åhlfeldt

Informations-säkerhet

Ledning och styrning

Eva SöderströmInformations-

säkerhet, Trust, E-tjänster

Marcus Nohlberg

Informations-säkerhet, Social

enginering, Forensic

Christian LennerholtDatabaser,

IT-utveckling

Joeri Van LaereKrishantering, Informations-

hantering

Bild 3

• Information är ett av våra viktigaste

arbetsverktyg.

• Ingen information – ingen fungerande

verksamhet.

• God och säker informationshantering är

därför en verksamhets- och kvalitetsfråga.

VARFÖR INFORMATIONSSÄKERHET?

Bild 4

• Sveriges kommuner hanterar en betydande del av samhällets tjänster

• Kommunernas informationsförsörjning är blir därför en kritisk del i samhällets informationssäkerhet

• För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt

(Informationssäkerhet i kommuner, MSB 2012)

INFORMATIONSHANTERING I

KOMMUNER

Bild 5

INFORMATIONSSÄKERHETSMODELLEN

Bild 6

KARTLÄGGNING INFORMATIONSSÄKERHET

Bild 7

• GAP-analys

• Analyserar gapet mellan det nuvarande läget mot kraven i

standarden (ISO/IEC 27001 och 27002)

• Ger en helhetsbild över informationssäkerhetsnivån i kommunens

verksamhet baserat på en vedertagen/jämförbar ”best practice”

• Är en viktig (omfattande) del i den grundläggande analysen för ett

införande av ett ledningssystem för informationssäkerhet (LIS).

METOD FÖR KARTLÄGGNING

Bild 8

METODSTÖD FÖR LIS

Bild 9

GAP-ANALYS

Bild 10

Identifiera kunskapskällor

• Befintliga dokument

• Utse nyckelpersoner/roller för intervjuer

Dokumentera nuläget

• Platsbesök, intervjuer

Dokumentera förbättringsförslag

• Handlingsplan för åtgärder

GAP-ANALYS

Bild 11

FORSKNINGSUTBLICK

Bild 12

• Utvärdera utifrån ett tillstånd

• Olika funktioner / roller i en verksamhet

• Baserat på olika kriterier och mål

• Nivåer på “skydd”: D, C1, C2, B1, B2, A1. D= minimalt skydd,

A=bra skydd.

• Utvärdera genom jämförelse

• Utifrån givna standarder

• Hur gör andra?

FORSKNINGSUTBLICK ÖVER

METODER FÖR KARTLÄGGNING

(Solms, 2012)

(Tu & Yuan, 2014)

(Lopes & Oliveira, 2015)

Bild 13

• Matriser

• Ger helhetssyn på vilka nivåer som är uppfyllda och vilka

brister som finns

• Verksamhetens struktur

• Organisatorisk support

• Medvetenhet: utbildning av anställda

• IT-kompetens: rent generellt

VERKTYG FÖR KARTLÄGGNING AV

INFORMATIONSSÄKERHET

(Behnia & Rashid, 2012)

(Solms, 2012)

(Tu & Yuan, 2014)

(Lopes & Oliveira, 2015)

Bild 14

• Mindre enkäter

• Inför nya policies

• Saknar “riktiga” IT-verktyg

VERKTYG FÖR KARTLÄGGNING AV

INFORMATIONSSÄKERHET

(Behnia & Rashid, 2012)

(Solms, 2012)

(Tu & Yuan, 2014)

(Lopes & Oliveira, 2015)

Bild 15

• Hur översätts GAP-analysens frågebatteri till ett IT-stöd?

• Kommunanpassa frågorna: hur påverkar det IT-stödet?

• Förändras arbetsprocessen med kartläggningen om ett IT-stöd

används? Hur?

VÅRT FÖRENKLADE IT-STÖD -

UTMANINGAR

Bild 16

DEMO

Bild 17

• Processbaserat IT-stöd

• Utifrån olika roller

• Säkerhetskrav kopplade till IT-stödet

• Förslag på frågor som är intressanta för respektive roll

FÖRBÄTTRINGSFÖRSLAG

Bild 18

Behnia, A., Rashid, R.A and Chandry, J.A, 2012. A Survey of Information Security

Risk Analysis Methods. Smart Computing Review, Vol.2, No.1.

Lopes, I and Oliveira, P, 2015. Implementation of Information Security Olives: A

Survey in Small and Medium Sized Enterprises, New Contributions in Information

Systems and Technologies, Vol. 353, pp. 459-468.

Sols, R, 2012. Information Security Management: Processes and Metrics. Diss,

University of Johannesburg.

Tu, Z and Yuah, Y, 2014. Critical Success Factors, Analysis on Information Security

Management: A Literature Review, CSF Analysis on Effective Information Security

Management.

REFERENSER

Bild 19

KLISTERGENOMFÖRANDE OCH RESULTAT

Bild 20

Planering/Upplägg

• April - Aug

Genomförande

• Sep- Nov

Analys ochefterarbete

• Nov – Dec

Resultat-redovisning

• Januari 2016

PROJEKTPLAN

Bild 21

På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt,

Påskynda och öka arbetet med informationssäkerhet,

Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten,

Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs,

Få en fördjupad information om styrkor och svagheter i skyddet av information,

FÖRVÄNTAT RESULTAT KOMMUNER

Bild 22

Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område

Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt

Möjlighet till produktifiering av metod och förenklat it-stöd,

Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland

FÖRVÄNTAT RESULTAT ÖVRIGT

Bild 23

Styrgrupp

• Representanter från SSVIT, HiS, samt deltagande kommuner

Projektgrupp

• Intern grupp med HiS samt Skaraborgs kommunalförbund

• Extern grupp med ytterligare 2 representanter från deltagande

kommuner.

Referensgrupp

• Representanter från både deltagande kommuner i Skaraborg

samt övriga Västra Götaland.

ORGANISATION AV PROJEKTET

Bild 24

UTVECKLING METODSTÖD

Bild 25

UTVECKLING AV METODSTÖD

Utgångspunkter

• Befintlig GAP-analys i metodstödet

• Uppdaterad ISO 27002 standard

Hur uppdaterade vi GAP-analysen?

• Kritiska/ickekritiska åtgärder

• Kommunperspektiv (= fyra extra kritiska åtgärder)

• Identifiering av roller för respektive kartläggningsområde

• Samarbete med referensgruppen

Kravställning/utveckling av förenklat IT-stöd

Bild 26

KARTLÄGGNING - PILOTSTUDIE

Bild 27

KARTLÄGGNING - PILOTSTUDE

15 kommuner i Skaraborg

Mål: bidra till etablering av LIS i VGRs kommuner

Observera!

• Varje analys baseras på kommunernas självskattning och

analysledarnas subjektiva bedömningar och jämförelse kan

endast ske internt inom en kommun.

• Ett fokus har skett på skola, vård och social verksamhet

(duktiga men utsatta verksamheter).

Bild 28

Arbetssätt

Planering Genomförande Efterarbete

Uppdateringav metodstöd

Förberedelseav GAP-analys

Schemaläggningav besök

Förberedelseav GAP-analys

Inbokningav besök

ForskareReferensgrupp

Kommuner

Pilotstudie hos 15 kommuner

Analysförbere-delser utifrån

resultatet

Samman-ställning och förbättrings-åtgärder på

kommunnivå

Helhetsresultat och projekt-

dokumentation

Förbättrings-åtgärder

metodstöd

Bild 29

Bedömningen är graderad i fyra nivåer:

0 = Ingen efterlevnad

1 = Bristande efterlevnad

2 = Acceptabel efterlevnad

3 = Stor efterlevnad

Maxvärde: 3

Normvärde: 2

Kommunernas genomsnitt: 1,2

Bedömningsnivåer

Bild 30

Bild 31

RESULTAT PER DELOMRÅDE

Kartläggningsområde Snitt

Informationsäkerhetspolicy 0,8

Organisation av informationssäkerhet 0,9

Personalsäkerhet 1,1

Hantering av tillgångar 0,9

Styrning av åtkomst 1,7

Kryptering 0,2

Fysisk säkerhet 1,6

Bild 32

RESULTAT PER DELOMRÅDE

Kartläggningsområde Snitt

Driftsäkerhet 1,4

Kommunikationssäkerhet 1,9

Anskaffning, utveckling o underhåll av IS 1,3

Leverantösrelationer 1,2

Hantering av informationssäkerhetsincidenter 0,8

Kontinuitetshantering informationssäkerhet 1,1

Efterlevnad 1,2

Bild 33

• Informationssäkerhetspolicyn

• Organisation av informationssäkerhet - roller/ansvar

• Avsaknad av kompetens inom informationssäkerhetsområdet

• Hantering av informationstillgångar

• Regler för kryptering

• Incidenthantering

• Kontinuitetshantering

• Efterlevnad

• Formalisering av processer

• Befintliga system styr behov

BRISTER - ÖVERGRIPANDE

Bild 34

• Kommunikationssäkerhet

• Driften

• Styrning och åtkomst - dubbelbottnad

STYRKOR - ÖVERGRIPANDE

Bild 35

VAD BEHÖVER HÄNDA NU? (1 av 2)

Kommuner

• Regelverk och organisation av arbetet en prioritet

• Systematiskt och långsiktigt tänk – LIS-arbete

• Samarbete såväl inom kommuner som mellan kommuner

GAP-verktyg

• Vidare arbete med kommunanpassning

• Språkbruk och formuleringar

• Skalbarhet gällande kommunstorlek och komplexitet

Bild 36

Forskare

• Sprida resultat till forskarsamhället

• Fördjupa pilotstudien och dess resultat

• Förbättra både standard och metod

• Resurser i att stärka kommunernas eget arbete

VAD BEHÖVER HÄNDA NU (2 av 2)

Bild 37

Rose-Mharie Åhlfeldt, rose-mharie.ahlfeldt@his.seProjektledare

Maria Nilsson, maria.nilsson@skaraborg.see-samordnare Skaraborgs kommunalförbund

Mer information om projektethttp://www.vastkom.se/samverkansomraden/esamhallet/gemensammafunktionerochtjanster/informationssakerhet/metodstodgapanalys.4.455606ea14bccfd925216c8b.html

KONTAKT

mailto:rose-mharie.ahlfeldt@his.semailto:maria.nilsson@skaraborg.sehttp://www.vastkom.se/samverkansomraden/esamhallet/gemensammafunktionerochtjanster/informationssakerhet/metodstodgapanalys.4.455606ea14bccfd925216c8b.html

Bild 38

DISKUSSION I BIKUPOR

Bild 39

• Varje bord har 3 frågor (delvis samma frågor men i annan ordning)

• Ni har totalt 20 minuter diskussionstid

• Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar

• För varje fråga:

• ta ett snabbt varv runt bordet (så att alla kommer till tals)

• skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst

• välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret !!)

• Jag påminner om 10 minuter att det dags att byta till nästa fråga

BIKUPA - INSTRUKTIONER

Bild 40

Hur kan olika kommuner samverka med varandra när ni utvecklar och

förbättrar informationssäkerheten?

Hur skapas ett brett engagemang i en organisation för att förbättra

informationssäkerheten?

Vilken aspekt av informationssäkerhet är viktigast att åtgärda först,

när en kommun har en bristfällig utvärdering på de flesta områdena?

BIKUPA - DISKUSSIONSFRÅGOR

Bild 41

• Varje bord har 3 frågor (delvis samma frågor men i annan ordning)

• Ni har totalt 20 minuter diskussionstid

• Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar

• För varje fråga:

• ta ett snabbt varv runt bordet (så att alla kommer till tals)

• skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst

• välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret !!)

• Jag påminner om 10 minuter att det dags att byta till nästa fråga

BIKUPA - INSTRUKTIONER

Bild 42

PANELDEBATT

Bild 43

Nämn ett ”plus” och ett ”minus” med den använda metoden (GAP-

analys) för kartläggning.

FRÅGA FÖR PANELEN

Bild 44

GAP-analysen är en självskattningsmetod. Hur ser ni på det?

Lägger man sig högre eller lägre än verkligheten?

FRÅGA FÖR PANELEN

Bild 45

Har genomförandet av GAP-analysen redan gett en effekt i er

organisation, i så fall vilken?

FRÅGA FÖR PANELEN

Bild 46

”Fråga från salen”

FRÅGA FÖR PANELEN

Bild 47

Hur kan GAP-analysen förbättras bäst om ni bara får ge ett förslag?

FRÅGA FÖR PANELEN

Bild 48

Vid genomförandet av GAP-analysen har både enskilda

intervjuer och gruppintervjuer tillämpats.

Vad är för- och nackdelar med dessa metoder?

FRÅGA FÖR PANELEN

Bild 49

Vad tyckte de som deltog i GAP-analysens genomförande?

FRÅGA FÖR PANELEN

Bild 50

”fråga från salen”

FRÅGA FÖR PANELEN

Bild 51

Samstämmer den bild som analysen/rapporten ger med den uppfattning

som ni hade innan om informationssäkerhet i er organisation?

• Om JA => ska men ändå göra en sådan analys?

• Om NEJ => vad var största överraskningen för er/dig?

FRÅGA FÖR PANELEN

Bild 52

Vad kommer er organisation göra med utfallet av GAP-analysen

• på kort sikt (innan midsommar 2016)

• och på långsikt (därefter)?

FRÅGA FÖR PANELEN

Bild 53

Vad är största hindret/utmaningen för er i att bli bättre på

informationssäkerhet?

FRÅGA FÖR PANELEN

Bild 54

Vilka tänka-på-tips skulle du vilja skicka med till de som står inför

ett genomförande av en GAP-analys?

FRÅGA FÖR PANELEN

Bild 55

”Fråga från salen”

FRÅGA FÖR PANELEN

Bild 56

DISKUSSION:

HUR GÅR VI VIDARE?

Bild 57

Tillsammans ska vi hitta:

• Tre konkreta exempel som kommunerna kan samverka kring

• Tre förbättringsåtgärder som kommunerna behöver extern hjälp kring

• Tre viktiga framgångsfaktorer för arbetet med informationssäkerhet

• Tre stora hinder för arbetet med informationssäkerhet

• Tre förslag på ev förbättring av metoden för GAP-analys

Slutligen ska vi identifiera:

• Vad ska vi som konferensdeltagarna berätta om denna dag imorgon på vår

arbetsplats under fikat?

HUR GÅR VI VIDARE?