Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa Robert Kępczyński Senior Consultant
Mechanizm bezpieczeństwa zawsze jest kompromisem " Akceptowalne ryzyko Skomplikowanie Dłuższy czas reakcji Ograniczenia operacyjne Większe koszty Trudniejsza obsługa Bez analizy ryzyka dobór optymalnych zabezpieczeń jest bardzo trudny
Bezpieczeństwo procesów biznesowych versus bezpieczeństwo infrastruktury IT " Biznes Infrastruktura IT
Ocena ilościowa: Oszacowanie dojrzałość systemu bezpieczeństwa wg modelu Forrester Research
Cele oceny ilościowej" Obiektywna ocena całości działań związanych z bezpieczeństwem Porównanie dojrzałości systemu bezpieczeństwa do innych w branży (benchmark) Ocena dojrzałości systemu bezpieczeństwa w perspektywie wieloletniej Rekomendacje krótko i długofalowe
Ocena ilościowa wg modelu Forrester Research" Forrester stworzył model dojrzałości systemu bezpieczeństwa (Forrester Information Security Maturity Model - ISMM) kompilując dobre praktyki z powszechnie uznanych standardach bezpieczeństwa: ISO 27001/ISO 27002 COBIT 4.1 NIST SP 800-53 BITS Framework ISF's 2012 Standard of Good Practice (SOGP) COSO control framework OCEG's GRC Capability Model
Dojrzałości systemu oceniana jest poprzez domeny, funkcje i komponenty" Oversight Strategy Risk management Governance Compliance Audit and assurance People Process Technology Security services Communication Security organization Business relationship Roles/responsibilities Identity and access management Threat and vulnerability management Investigations & records management Incident management Sourcing and vendor management Information asset management Applications/system development Business continuity & disaster recovery Network Data Systems Endpoints Applications Content
Domeny agregują funkcje, a funkcje komponenty" Domena Funkcja Komponent Oversight" People " Process" Technology"
Domeny agregują funkcje, a funkcje komponenty" Domena Oversight" People " Process" Technology" Funkcja Strategy" Governance! Risk Management! Compliance" Audit/Assurance" Komponent
Domeny agregują funkcje, a funkcje komponenty" Domena Oversight" People " Process" Technology" Funkcja Strategy" Governance! Risk Management! Compliance" Audit/Assurance" Komponent Risk context" Risk identification! Risk analysis! Risk evaluation" Risk treatment" Risk tracking" Risk reporting"
Ocena domeny " Domena Funkcja Komponent Oversight! People! Strategy! Governance! Risk context! Risk identification! 1! 4! 0 SCORE! No formal process for treating risks" Process! Technology! Risk management! Compliance! Audit/! Assurance! Risk analysis! Risk evaluation! Risk treatment! Risk tracking! Risk reporting! 3! 2! 4! 3! 3! 1 2 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options" Risks are mitigated or transferred using consistent guidelines and policies" 3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options" 4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction" 5!! Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."
Ocena domeny " Domena Funkcja Komponent Oversight! People! Strategy! Governance! 3.43! 2.11! Risk context! Risk identification! 1! 4! 0 SCORE! No formal process for treating risks" Process! Technology! Risk management! Compliance! Audit/! Assurance! 2.86! 4.14! 1.93! Risk analysis! Risk evaluation! Risk treatment! Risk tracking! Risk reporting! 3! 2! 4! 3! 3! 1 2 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options" Risks are mitigated or transferred using consistent guidelines and policies" 3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options" 4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction" 5!! Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."
Ocena domeny " Domena Funkcja Komponent Oversight! People! 2.97! Strategy! Governance! 3.43! 2.11! Risk context! Risk identification! 1! 4! 0 SCORE! No formal process for treating risks" Process! Technology! Risk management! Compliance! Audit/! Assurance! 2.86! 4.14! 1.93! Risk analysis! Risk evaluation! Risk treatment! Risk tracking! Risk reporting! 3! 2! 4! 3! 3! 1 2 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options" Risks are mitigated or transferred using consistent guidelines and policies" 3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options" 4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction" 5!! Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."
Uniwersalna gradacja ocen i lokalny cel dojrzałości" Sześć poziomów oceny 0 Non-existent 1 Ad hoc 2 Repeatable 3 Defined 4 Measured 5 Optimized Risk context" Risk identification! Risk analysis! Risk evaluation" Risk treatment" Risk tracking" Risk reporting" 0 2 1 3 4 2 5 Stan istniejący Cel
Benchmark Forrestera względem innych w branży " Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized" Najniższa ocena w branży Średnia w branży Aktualna ocena przedsiębiorstwa Mediana w branży Najwyższa ocena w branży
Porównanie oceny konsultanta i oceny własnych specjalistów" Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized" Ocena zewnętrznego konsultanta Ocena specjalistów z przedsiębiorstwa Cel postawiony przez przedsiębiorstwo
Porównanie ocen z kilku lat " Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized" Ocena 2012 Ocena 2014 Ocena 2013
Ocena jakościowa: Analiza ryzyk związanych z komputeryzacją przedsiębiorstwa
Cel oceny jakościowej" Sprawdzenie czy istniejące mechanizmy bezpieczeństwa są nakierowane na minimalizację ryzyk spowodowanych przez komputeryzację Stworzenie spójnego obrazu istniejącego system bezpieczeństwa Rekomendacje krótko i długofalowe
Scenariusz oceny jakościowej" Przegląd dokumentacji Przegląd zabezpieczeń fizycznych Wywiad D Wywiad C Wywiad B Wywiad A Zebrane informacje Analiza Raport końcowy Fakty Wnioski Rekomendacje Dane zebrane z wywiadów będą chronine jak informacje poufne będą załączone do raportu w formie anonimowej
Wywiady z przedstawicielami różnych grup" Wywiady przeprowadza konsultant Wywiady obejmują przedstawicieli trzech grup: kierownictwa, działu IT oraz użytkowników aplikacji biznesowych Każda grupa ma oddzielny zestaw pytań Analiza danych z wywiadów skupia się na zrozumieniu różnic: v w odpowiedziach na te same pytania v między oczekiwanym postępowaniem a realną praktyką
Przegląd dokumentacji" Przegląd dokumentów pozwala ocenić różnicę między stanem rzeczywistym i postulowanym. Klient sam wybiera dokumenty, które uważa za ważne dla bezpieczeństwa: Polityka bezpieczeństwa Umowy z kooperantami (usługi serwisowe i outsourcingowe) Procedury dotyczące bezpieczeństwa fizycznego Standardy wewnątrzorganizacyjne dotyczące nabywania i wdrażania technologii informatycznych.
Przegląd zabezpieczeń fizycznych" Przegląd zabezpieczeń fizycznych dotyczy bezpieczeństwa fizycznego infrastruktury teleinformatycznej i składa się z dwóch części. Pierwsza część. Przegląd z przewodnikiem, Obejmie pomieszczenia, do których ograniczono dostęp zwykłym pracownikom Druga część. Przegląd z perspektywy zwykłego pracownika po godzinach pracy
Sposób prezentacji wyników wg ISO-27001" Ogólna konkluzja podsumowująca dany obszar tematyczny standardu ISO-27001 Stan szczególny 1 o dużym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu szczególnego Tytuł obszaru tematycznego ISO-27001 Stan szczególny 2 o małym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu Stan szczególny 3 o małym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu... Stan szczególny 4 wyróżniający się na tle innych firm tej samej branży Stan szczególny 5 wyróżniający się na tle innych firm tej samej branży
Ocena systemu bezpieczeństwa daje odpowiedzi na ważne pytania" Czy zabezpieczenia są nakierowane on ograniczanie rzeczywistych ryzyk? Czy poziom akceptowanego ryzyka jest optymalny z punktu widzenia biznesu? Czy zabezpieczenia nie krępują procesów biznesowych bez racjonalnego uzasadnienia? Czy koszty zabezpieczeń są uzasadnione?