Upload
others
View
13
Download
0
Embed Size (px)
Citation preview
Risikovurdering for folk og ledereNormkonferansen 2018
Åsmund Ahlmann NyreInformasjonssikkerhetsrådgiver
Helse Midt-Norge IT
• «Effekten av usikkerhet knyttet til mål» (ISO 27001)
• «Antatt sannsynlighet for og antatte konsekvenser av uønskede hendelser» (Gammelt jungelord)
Risiko
Konsekvens
Sannsynlighet
Risiko
Riskovurdering og risikostyring
• Etablere (kontekst)
• Identifisere
• Analysere
• Evaluere
• Håndtere
• Monitorere
• Kommunisere
Risikovurdering
Risikohåndtering
Risikoidentifikasjon
Risikoanalyse
Risikoevaluering
Etablere kontekst
Ove
rvåk
ing
og
gjen
no
mga
ng
Kom
mu
nik
asjo
n
Trenger vi en metode for risikoidentifikasjon?
• Flere må kunne delta i og forstå risikovurderinger
• Risikovurderinger må være forutsigbare
• Vi må ta hensyn til ulik risikoopplevelse
Opplevelse av risiko og nytte
Risiko Nytte
Slik vi tror det er
Slik vi opplever det
Risiko
Nytte Risiko
Nytte
Følelser påvirker
Risiko
Nytte
Følelser påvirker
Risiko
Nytte
Vi trenger noe som gjør det…
• Enkelt
• Forståelig
• Logisk
• Korrekt
… vi må tenkte saaakte!
Risikoidentifikasjon
• Identifisere verdier• Informasjon og forretningsprosesser• (IT-systemer, nettverk, personell, etc.)
• Identifisere trusselaktører
• Identifisere hendelser
• Identifisere trusler/angrep
• Identifisere sårbarheter/svakheter
• Identifisere eksisterende sikkerhetstiltak
• Identifisere konsekvenser
Risikovurdering
Risikohåndtering
Risikoidentifikasjon
Risikoanalyse
Risikoevaluering
Etablere kontekst
Noen sammenhenger*
Trusselaktør
Sårbarhet Trussel
Sikkerhetstiltak
Hendelse Konsekvenser
motvirkerutnytter
utfører skaper medfører
Verdi
angår
En hendelse innebærer et brudd på konfidensialitet, integritet eller tilgjengelighet for en eller flere verdier
Strukturert risikoidentifikasjon
Verdier
• Systemer• Infrastruktur• Tjenester• Applikasjoner• MTU
• Informasjon• Helseopplysninger• Dokumentasjon• Fortrolig bedriftsinformasjon• Autentiseringsinformasjon
• Prosesser
Trusselaktører
• Interne eller eksterne
• Menneskelig eller ikke-menneskelig
• Tilsiktet eller utilsiktet
Trusselhandling
Handling Beskrivelse Sikkerhetsbrudd
Gjør tilgjengelig Trusselaktøren gjør verdien tilgengelig for uvedkommende
Konfidensialitet
Endring Trusselaktøren gjør endringer med/i verdien
Integritet
Hindrer tilgang Trusselaktøren forstyrrer (tilgang til) verdien
Tilgjengelighet
Sletter/fjerner Trusselaktøren sletter/fjerner verdien Integritet/ Tilgjengelighet
Misbruker Trusselaktøren misbruker verdien (f.eks for et annet formål)
Konfidensialitet
Oppnår tilgang Trusselaktøren får tilgang til verdien Konfidensialitet/ Integritet
Hva gjør trusselaktøren med verdien?
Hendelseskonstruksjon
Aktør Intensjon Verdi Hendelse
Ansatt Utilsiktet Endrer logg Ansatt endrer logg utilsiktet
Utenlandsk etterretning
Tilsiktet Oppnår tilgang beredskapsplaner Utenlandsk etterretning får tilgang til beredskapsplaner
Naturkatastrofe(flom/skred/etc)
- Hindrer tilgang IT-system Flom gjør IT-System utilgjengelig
Haktivister Tilsiktet Gjør tilgjengelig Personopplysninger Haktivister gjør personopplysningertilgjengelige på internett
Handling
Hva med resten?
• Trusler
• Sårbarheter
• Sikkerhetstiltak
• konsekvenser
Hendelse:«økonomisk kriminelle hindrer tilgang til IT-system».
Trussel:«Aktøren bruker e-post for å lure ansatte til å installere skadevare (krypteringsvirus) på sin egen maskin»
Sårbarhet:«Ansatte har i stor grad rettigheter til å kjøre filer på egen maskin.»
Sikkerhetstiltak:«Det er omfattende spam-filtre på plass og alle vedlegg som er kjørbare filer blir blokkert/filtrert.»
Konsekvenser:«Ansatte får ikke gjort jobben sin og ressurser må brukes på å gjenopprette».
Oppsummering
• Alle skal med!• Enkelt
• Forståelig
• Tenk sakte!• Logisk
• Strukturert tilnærming kan være en hjelp!
Takk for meg!