Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant

Transkrypt

1 Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa Robert Kępczyński Senior Consultant

2 Mechanizm bezpieczeństwa zawsze jest kompromisem " Akceptowalne ryzyko Skomplikowanie Dłuższy czas reakcji Ograniczenia operacyjne Większe koszty Trudniejsza obsługa Bez analizy ryzyka dobór optymalnych zabezpieczeń jest bardzo trudny

3 Bezpieczeństwo procesów biznesowych versus bezpieczeństwo infrastruktury IT " Biznes Infrastruktura IT

4 Ocena ilościowa: Oszacowanie dojrzałość systemu bezpieczeństwa wg modelu Forrester Research

5 Cele oceny ilościowej" Obiektywna ocena całości działań związanych z bezpieczeństwem Porównanie dojrzałości systemu bezpieczeństwa do innych w branży (benchmark) Ocena dojrzałości systemu bezpieczeństwa w perspektywie wieloletniej Rekomendacje krótko i długofalowe

6 Ocena ilościowa wg modelu Forrester Research" Forrester stworzył model dojrzałości systemu bezpieczeństwa (Forrester Information Security Maturity Model - ISMM) kompilując dobre praktyki z powszechnie uznanych standardach bezpieczeństwa: ISO 27001/ISO COBIT 4.1 NIST SP BITS Framework ISF's 2012 Standard of Good Practice (SOGP) COSO control framework OCEG's GRC Capability Model

7 Dojrzałości systemu oceniana jest poprzez domeny, funkcje i komponenty" Oversight Strategy Risk management Governance Compliance Audit and assurance People Process Technology Security services Communication Security organization Business relationship Roles/responsibilities Identity and access management Threat and vulnerability management Investigations & records management Incident management Sourcing and vendor management Information asset management Applications/system development Business continuity & disaster recovery Network Data Systems Endpoints Applications Content

8 Domeny agregują funkcje, a funkcje komponenty" Domena Funkcja Komponent Oversight" People " Process" Technology"

9 Domeny agregują funkcje, a funkcje komponenty" Domena Oversight" People " Process" Technology" Funkcja Strategy" Governance! Risk Management! Compliance" Audit/Assurance" Komponent

10 Domeny agregują funkcje, a funkcje komponenty" Domena Oversight" People " Process" Technology" Funkcja Strategy" Governance! Risk Management! Compliance" Audit/Assurance" Komponent Risk context" Risk identification! Risk analysis! Risk evaluation" Risk treatment" Risk tracking" Risk reporting"

11 Ocena domeny " Domena Funkcja Komponent Oversight! People! Strategy! Governance! Risk context! Risk identification! 1! 4! 0 SCORE! No formal process for treating risks" Process! Technology! Risk management! Compliance! Audit/! Assurance! Risk analysis! Risk evaluation! Risk treatment! Risk tracking! Risk reporting! 3! 2! 4! 3! 3! 1 2 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options" Risks are mitigated or transferred using consistent guidelines and policies" 3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options" 4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction" 5!! Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."

12 Ocena domeny " Domena Funkcja Komponent Oversight! People! Strategy! Governance! 3.43! 2.11! Risk context! Risk identification! 1! 4! 0 SCORE! No formal process for treating risks" Process! Technology! Risk management! Compliance! Audit/! Assurance! 2.86! 4.14! 1.93! Risk analysis! Risk evaluation! Risk treatment! Risk tracking! Risk reporting! 3! 2! 4! 3! 3! 1 2 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options" Risks are mitigated or transferred using consistent guidelines and policies" 3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options" 4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction" 5!! Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."

13 Ocena domeny " Domena Funkcja Komponent Oversight! People! 2.97! Strategy! Governance! 3.43! 2.11! Risk context! Risk identification! 1! 4! 0 SCORE! No formal process for treating risks" Process! Technology! Risk management! Compliance! Audit/! Assurance! 2.86! 4.14! 1.93! Risk analysis! Risk evaluation! Risk treatment! Risk tracking! Risk reporting! 3! 2! 4! 3! 3! 1 2 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options" Risks are mitigated or transferred using consistent guidelines and policies" 3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options" 4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction" 5!! Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."

14 Uniwersalna gradacja ocen i lokalny cel dojrzałości" Sześć poziomów oceny 0 Non-existent 1 Ad hoc 2 Repeatable 3 Defined 4 Measured 5 Optimized Risk context" Risk identification! Risk analysis! Risk evaluation" Risk treatment" Risk tracking" Risk reporting" Stan istniejący Cel

15 Benchmark Forrestera względem innych w branży " Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized" Najniższa ocena w branży Średnia w branży Aktualna ocena przedsiębiorstwa Mediana w branży Najwyższa ocena w branży

16 Porównanie oceny konsultanta i oceny własnych specjalistów" Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized" Ocena zewnętrznego konsultanta Ocena specjalistów z przedsiębiorstwa Cel postawiony przez przedsiębiorstwo

17 Porównanie ocen z kilku lat " Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized" Ocena 2012 Ocena 2014 Ocena 2013

18 Ocena jakościowa: Analiza ryzyk związanych z komputeryzacją przedsiębiorstwa

19 Cel oceny jakościowej" Sprawdzenie czy istniejące mechanizmy bezpieczeństwa są nakierowane na minimalizację ryzyk spowodowanych przez komputeryzację Stworzenie spójnego obrazu istniejącego system bezpieczeństwa Rekomendacje krótko i długofalowe

20 Scenariusz oceny jakościowej" Przegląd dokumentacji Przegląd zabezpieczeń fizycznych Wywiad D Wywiad C Wywiad B Wywiad A Zebrane informacje Analiza Raport końcowy Fakty Wnioski Rekomendacje Dane zebrane z wywiadów będą chronine jak informacje poufne będą załączone do raportu w formie anonimowej

21 Wywiady z przedstawicielami różnych grup" Wywiady przeprowadza konsultant Wywiady obejmują przedstawicieli trzech grup: kierownictwa, działu IT oraz użytkowników aplikacji biznesowych Każda grupa ma oddzielny zestaw pytań Analiza danych z wywiadów skupia się na zrozumieniu różnic: v w odpowiedziach na te same pytania v między oczekiwanym postępowaniem a realną praktyką

22 Przegląd dokumentacji" Przegląd dokumentów pozwala ocenić różnicę między stanem rzeczywistym i postulowanym. Klient sam wybiera dokumenty, które uważa za ważne dla bezpieczeństwa: Polityka bezpieczeństwa Umowy z kooperantami (usługi serwisowe i outsourcingowe) Procedury dotyczące bezpieczeństwa fizycznego Standardy wewnątrzorganizacyjne dotyczące nabywania i wdrażania technologii informatycznych.

23 Przegląd zabezpieczeń fizycznych" Przegląd zabezpieczeń fizycznych dotyczy bezpieczeństwa fizycznego infrastruktury teleinformatycznej i składa się z dwóch części. Pierwsza część. Przegląd z przewodnikiem, Obejmie pomieszczenia, do których ograniczono dostęp zwykłym pracownikom Druga część. Przegląd z perspektywy zwykłego pracownika po godzinach pracy

24 Sposób prezentacji wyników wg ISO-27001" Ogólna konkluzja podsumowująca dany obszar tematyczny standardu ISO Stan szczególny 1 o dużym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu szczególnego Tytuł obszaru tematycznego ISO Stan szczególny 2 o małym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu Stan szczególny 3 o małym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu... Stan szczególny 4 wyróżniający się na tle innych firm tej samej branży Stan szczególny 5 wyróżniający się na tle innych firm tej samej branży

25 Ocena systemu bezpieczeństwa daje odpowiedzi na ważne pytania" Czy zabezpieczenia są nakierowane on ograniczanie rzeczywistych ryzyk? Czy poziom akceptowanego ryzyka jest optymalny z punktu widzenia biznesu? Czy zabezpieczenia nie krępują procesów biznesowych bez racjonalnego uzasadnienia? Czy koszty zabezpieczeń są uzasadnione?