Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Bild 1
KLISTER KARTLÄGGNING
INFORMATIONSSÄKERHET I KOMMUNER
I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I , H Ö G S K O L A N S K Ö V D E
Rose-Mharie Åhlfeldt
Eva Söderström
Marcus Nohlberg
Joeri van Laere
Christian Lennerholt
Metod och resultat
Bild 2
PROJEKTGRUPP HÖGSKOLAN I SKÖVDE
Rose-Mharie Åhlfeldt
Informations-säkerhet
Ledning och styrning
Eva SöderströmInformations-
säkerhet, Trust, E-tjänster
Marcus Nohlberg
Informations-säkerhet, Social
enginering, Forensic
Christian LennerholtDatabaser,
IT-utveckling
Joeri Van LaereKrishantering, Informations-
hantering
Bild 3
• Information är ett av våra viktigaste
arbetsverktyg.
• Ingen information – ingen fungerande
verksamhet.
• God och säker informationshantering är
därför en verksamhets- och kvalitetsfråga.
VARFÖR INFORMATIONSSÄKERHET?
Bild 4
• Sveriges kommuner hanterar en betydande del av samhällets tjänster
• Kommunernas informationsförsörjning är blir därför en kritisk del i samhällets informationssäkerhet
• För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt
(Informationssäkerhet i kommuner, MSB 2012)
INFORMATIONSHANTERING I
KOMMUNER
Bild 5
INFORMATIONSSÄKERHETSMODELLEN
Bild 6
KARTLÄGGNING INFORMATIONSSÄKERHET
Bild 7
• GAP-analys
• Analyserar gapet mellan det nuvarande läget mot kraven i
standarden (ISO/IEC 27001 och 27002)
• Ger en helhetsbild över informationssäkerhetsnivån i kommunens
verksamhet baserat på en vedertagen/jämförbar ”best practice”
• Är en viktig (omfattande) del i den grundläggande analysen för ett
införande av ett ledningssystem för informationssäkerhet (LIS).
METOD FÖR KARTLÄGGNING
Bild 8
METODSTÖD FÖR LIS
Bild 9
GAP-ANALYS
Bild 10
Identifiera kunskapskällor
• Befintliga dokument
• Utse nyckelpersoner/roller för intervjuer
Dokumentera nuläget
• Platsbesök, intervjuer
Dokumentera förbättringsförslag
• Handlingsplan för åtgärder
GAP-ANALYS
Bild 11
FORSKNINGSUTBLICK
Bild 12
• Utvärdera utifrån ett tillstånd
• Olika funktioner / roller i en verksamhet
• Baserat på olika kriterier och mål
• Nivåer på “skydd”: D, C1, C2, B1, B2, A1. D= minimalt skydd,
A=bra skydd.
• Utvärdera genom jämförelse
• Utifrån givna standarder
• Hur gör andra?
FORSKNINGSUTBLICK ÖVER
METODER FÖR KARTLÄGGNING
(Solms, 2012)
(Tu & Yuan, 2014)
(Lopes & Oliveira, 2015)
Bild 13
• Matriser
• Ger helhetssyn på vilka nivåer som är uppfyllda och vilka
brister som finns
• Verksamhetens struktur
• Organisatorisk support
• Medvetenhet: utbildning av anställda
• IT-kompetens: rent generellt
VERKTYG FÖR KARTLÄGGNING AV
INFORMATIONSSÄKERHET
(Behnia & Rashid, 2012)
(Solms, 2012)
(Tu & Yuan, 2014)
(Lopes & Oliveira, 2015)
Bild 14
• Mindre enkäter
• Inför nya policies
• Saknar “riktiga” IT-verktyg
VERKTYG FÖR KARTLÄGGNING AV
INFORMATIONSSÄKERHET
(Behnia & Rashid, 2012)
(Solms, 2012)
(Tu & Yuan, 2014)
(Lopes & Oliveira, 2015)
Bild 15
• Hur översätts GAP-analysens frågebatteri till ett IT-stöd?
• Kommunanpassa frågorna: hur påverkar det IT-stödet?
• Förändras arbetsprocessen med kartläggningen om ett IT-stöd
används? Hur?
VÅRT FÖRENKLADE IT-STÖD -
UTMANINGAR
Bild 16
DEMO
Bild 17
• Processbaserat IT-stöd
• Utifrån olika roller
• Säkerhetskrav kopplade till IT-stödet
• Förslag på frågor som är intressanta för respektive roll
FÖRBÄTTRINGSFÖRSLAG
Bild 18
Behnia, A., Rashid, R.A and Chandry, J.A, 2012. A Survey of Information Security
Risk Analysis Methods. Smart Computing Review, Vol.2, No.1.
Lopes, I and Oliveira, P, 2015. Implementation of Information Security Olives: A
Survey in Small and Medium Sized Enterprises, New Contributions in Information
Systems and Technologies, Vol. 353, pp. 459-468.
Sols, R, 2012. Information Security Management: Processes and Metrics. Diss,
University of Johannesburg.
Tu, Z and Yuah, Y, 2014. Critical Success Factors, Analysis on Information Security
Management: A Literature Review, CSF Analysis on Effective Information Security
Management.
REFERENSER
Bild 19
KLISTERGENOMFÖRANDE OCH RESULTAT
Bild 20
Planering/Upplägg
• April - Aug
Genomförande
• Sep- Nov
Analys ochefterarbete
• Nov – Dec
Resultat-redovisning
• Januari 2016
PROJEKTPLAN
Bild 21
På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt,
Påskynda och öka arbetet med informationssäkerhet,
Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten,
Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs,
Få en fördjupad information om styrkor och svagheter i skyddet av information,
FÖRVÄNTAT RESULTAT KOMMUNER
Bild 22
Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område
Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt
Möjlighet till produktifiering av metod och förenklat it-stöd,
Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland
FÖRVÄNTAT RESULTAT ÖVRIGT
Bild 23
Styrgrupp
• Representanter från SSVIT, HiS, samt deltagande kommuner
Projektgrupp
• Intern grupp med HiS samt Skaraborgs kommunalförbund
• Extern grupp med ytterligare 2 representanter från deltagande
kommuner.
Referensgrupp
• Representanter från både deltagande kommuner i Skaraborg
samt övriga Västra Götaland.
ORGANISATION AV PROJEKTET
Bild 24
UTVECKLING METODSTÖD
Bild 25
UTVECKLING AV METODSTÖD
Utgångspunkter
• Befintlig GAP-analys i metodstödet
• Uppdaterad ISO 27002 standard
Hur uppdaterade vi GAP-analysen?
• Kritiska/ickekritiska åtgärder
• Kommunperspektiv (= fyra extra kritiska åtgärder)
• Identifiering av roller för respektive kartläggningsområde
• Samarbete med referensgruppen
Kravställning/utveckling av förenklat IT-stöd
Bild 26
KARTLÄGGNING - PILOTSTUDIE
Bild 27
KARTLÄGGNING - PILOTSTUDE
15 kommuner i Skaraborg
Mål: bidra till etablering av LIS i VGRs kommuner
Observera!
• Varje analys baseras på kommunernas självskattning och
analysledarnas subjektiva bedömningar och jämförelse kan
endast ske internt inom en kommun.
• Ett fokus har skett på skola, vård och social verksamhet
(duktiga men utsatta verksamheter).
Bild 28
Arbetssätt
Planering Genomförande Efterarbete
Uppdateringav metodstöd
Förberedelseav GAP-analys
Schemaläggningav besök
Förberedelseav GAP-analys
Inbokningav besök
ForskareReferensgrupp
Kommuner
Pilotstudie hos 15 kommuner
Analysförbere-delser utifrån
resultatet
Samman-ställning och förbättrings-åtgärder på
kommunnivå
Helhetsresultat och projekt-
dokumentation
Förbättrings-åtgärder
metodstöd
Bild 29
Bedömningen är graderad i fyra nivåer:
0 = Ingen efterlevnad
1 = Bristande efterlevnad
2 = Acceptabel efterlevnad
3 = Stor efterlevnad
Maxvärde: 3
Normvärde: 2
Kommunernas genomsnitt: 1,2
Bedömningsnivåer
Bild 30
Bild 31
RESULTAT PER DELOMRÅDE
Kartläggningsområde Snitt
Informationsäkerhetspolicy 0,8
Organisation av informationssäkerhet 0,9
Personalsäkerhet 1,1
Hantering av tillgångar 0,9
Styrning av åtkomst 1,7
Kryptering 0,2
Fysisk säkerhet 1,6
Bild 32
RESULTAT PER DELOMRÅDE
Kartläggningsområde Snitt
Driftsäkerhet 1,4
Kommunikationssäkerhet 1,9
Anskaffning, utveckling o underhåll av IS 1,3
Leverantösrelationer 1,2
Hantering av informationssäkerhetsincidenter 0,8
Kontinuitetshantering informationssäkerhet 1,1
Efterlevnad 1,2
Bild 33
• Informationssäkerhetspolicyn
• Organisation av informationssäkerhet - roller/ansvar
• Avsaknad av kompetens inom informationssäkerhetsområdet
• Hantering av informationstillgångar
• Regler för kryptering
• Incidenthantering
• Kontinuitetshantering
• Efterlevnad
• Formalisering av processer
• Befintliga system styr behov
BRISTER - ÖVERGRIPANDE
Bild 34
• Kommunikationssäkerhet
• Driften
• Styrning och åtkomst - dubbelbottnad
STYRKOR - ÖVERGRIPANDE
Bild 35
VAD BEHÖVER HÄNDA NU? (1 av 2)
Kommuner
• Regelverk och organisation av arbetet en prioritet
• Systematiskt och långsiktigt tänk – LIS-arbete
• Samarbete såväl inom kommuner som mellan kommuner
GAP-verktyg
• Vidare arbete med kommunanpassning
• Språkbruk och formuleringar
• Skalbarhet gällande kommunstorlek och komplexitet
Bild 36
Forskare
• Sprida resultat till forskarsamhället
• Fördjupa pilotstudien och dess resultat
• Förbättra både standard och metod
• Resurser i att stärka kommunernas eget arbete
VAD BEHÖVER HÄNDA NU (2 av 2)
Bild 37
Rose-Mharie Åhlfeldt, [email protected]
Maria Nilsson, [email protected] Skaraborgs kommunalförbund
Mer information om projektethttp://www.vastkom.se/samverkansomraden/esamhallet/gemensammafunktionerochtjanster/informationssakerhet/metodstodgapanalys.4.455606ea14bccfd925216c8b.html
KONTAKT
mailto:[email protected]:[email protected]://www.vastkom.se/samverkansomraden/esamhallet/gemensammafunktionerochtjanster/informationssakerhet/metodstodgapanalys.4.455606ea14bccfd925216c8b.html
Bild 38
DISKUSSION I BIKUPOR
Bild 39
• Varje bord har 3 frågor (delvis samma frågor men i annan ordning)
• Ni har totalt 20 minuter diskussionstid
• Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar
• För varje fråga:
• ta ett snabbt varv runt bordet (så att alla kommer till tals)
• skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst
• välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret !!)
• Jag påminner om 10 minuter att det dags att byta till nästa fråga
BIKUPA - INSTRUKTIONER
Bild 40
Hur kan olika kommuner samverka med varandra när ni utvecklar och
förbättrar informationssäkerheten?
Hur skapas ett brett engagemang i en organisation för att förbättra
informationssäkerheten?
Vilken aspekt av informationssäkerhet är viktigast att åtgärda först,
när en kommun har en bristfällig utvärdering på de flesta områdena?
BIKUPA - DISKUSSIONSFRÅGOR
Bild 41
• Varje bord har 3 frågor (delvis samma frågor men i annan ordning)
• Ni har totalt 20 minuter diskussionstid
• Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar
• För varje fråga:
• ta ett snabbt varv runt bordet (så att alla kommer till tals)
• skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst
• välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret !!)
• Jag påminner om 10 minuter att det dags att byta till nästa fråga
BIKUPA - INSTRUKTIONER
Bild 42
PANELDEBATT
Bild 43
Nämn ett ”plus” och ett ”minus” med den använda metoden (GAP-
analys) för kartläggning.
FRÅGA FÖR PANELEN
Bild 44
GAP-analysen är en självskattningsmetod. Hur ser ni på det?
Lägger man sig högre eller lägre än verkligheten?
FRÅGA FÖR PANELEN
Bild 45
Har genomförandet av GAP-analysen redan gett en effekt i er
organisation, i så fall vilken?
FRÅGA FÖR PANELEN
Bild 46
”Fråga från salen”
FRÅGA FÖR PANELEN
Bild 47
Hur kan GAP-analysen förbättras bäst om ni bara får ge ett förslag?
FRÅGA FÖR PANELEN
Bild 48
Vid genomförandet av GAP-analysen har både enskilda
intervjuer och gruppintervjuer tillämpats.
Vad är för- och nackdelar med dessa metoder?
FRÅGA FÖR PANELEN
Bild 49
Vad tyckte de som deltog i GAP-analysens genomförande?
FRÅGA FÖR PANELEN
Bild 50
”fråga från salen”
FRÅGA FÖR PANELEN
Bild 51
Samstämmer den bild som analysen/rapporten ger med den uppfattning
som ni hade innan om informationssäkerhet i er organisation?
• Om JA => ska men ändå göra en sådan analys?
• Om NEJ => vad var största överraskningen för er/dig?
FRÅGA FÖR PANELEN
Bild 52
Vad kommer er organisation göra med utfallet av GAP-analysen
• på kort sikt (innan midsommar 2016)
• och på långsikt (därefter)?
FRÅGA FÖR PANELEN
Bild 53
Vad är största hindret/utmaningen för er i att bli bättre på
informationssäkerhet?
FRÅGA FÖR PANELEN
Bild 54
Vilka tänka-på-tips skulle du vilja skicka med till de som står inför
ett genomförande av en GAP-analys?
FRÅGA FÖR PANELEN
Bild 55
”Fråga från salen”
FRÅGA FÖR PANELEN
Bild 56
DISKUSSION:
HUR GÅR VI VIDARE?
Bild 57
Tillsammans ska vi hitta:
• Tre konkreta exempel som kommunerna kan samverka kring
• Tre förbättringsåtgärder som kommunerna behöver extern hjälp kring
• Tre viktiga framgångsfaktorer för arbetet med informationssäkerhet
• Tre stora hinder för arbetet med informationssäkerhet
• Tre förslag på ev förbättring av metoden för GAP-analys
Slutligen ska vi identifiera:
• Vad ska vi som konferensdeltagarna berätta om denna dag imorgon på vår
arbetsplats under fikat?
HUR GÅR VI VIDARE?