mandag den 16. april 2012

4 ansvarlige genveje til god nok risikovurdering


Standarder for it-sikkerhed har mindst to kendetegn: De kan kurere eventuelle søvnproblemer og nogle af dem beskriver en relativ perfekt verden hvor de ansvarlige for it-sikkerhed har god tid og hvor der er ressourcer nok til at analysere behov og dokumentere beslutninger. Nu fik jeg måske startet dette indlæg lidt sarkastisk, men jeg er faktisk en relativ stor tilhænger af standarder og "best practice"; der er ingen grund til at genopfinde gode ting. Det med kedeligheden i standarderne kan jeg ikke gøre noget ved sådan direkte, men jeg har nogle forslag til at ansvarlige genveje til it-risikovurderinger, som kan hjælpe med pragmatisk efterlevelse af ISO 27001, den standard med mest medvind i Danmark. Genvejene hjælper dig med at spare tid.

Første genvej hedder ikke alle aktiver. Et aktiv i 27001 er ret bredt defineret som alt der har værdi for organisationen og standarden siger "identificer aktiver inden for scope". Jeg kender ingen virksomheder der har kortlagt samtlige aktiver. Du starter med at vurdere de vigtigste forretningsprocesser, ikke alt muligt andet. Og da slet ikke alt med et ip-nummer, hvis nogen hos jer skulle få den tanke. I kan senere udvide, så de services eller systemer, der understøtter jeres forretningsprocesser også bliver vurderet. Du og dine kollegaer har sikkert allerede en god fornemmelse for hvilke forretningsprocesser, der betyder mest. Genvejen her er et væsentlighedskriterie, så I får færre vurderinger og bruger tiden på de væsentligste.

Anden genvej er ikke alle trusler. Flere risiko-standarder indeholder ret omfattende trusselskataloger. Hvis I selv holder en brainstorm på alt det der kan gå galt, opdager du hurtigt hvorfor trusselskataloger bliver (for) lange. Genvejen her går ud på at I dele aktiverne op i typer, og kortlægge hvilke trusler der har relevans for hvilke aktivtyper. Eksempelvis er det ikke alle typer aktiver der kan brænde. Forretningsprocesser, it-services, logiske servere m.m. brænder ikke. Det er kun de mere fysiske af slagsen, som hardware og bygninger. Og selv inden for de fysiske aktiver kan I lave ansvarlige genveje ved kun at vurdere truslen fra brand på et datacenter, ikke enkeltvis på alt det udstyr der også står i datacenteret. Genvejen her giver færre trusselsvurderinger.

Op- og nedarvning er navnet på tredje genvej. God skik og standarder foreskriver at lave både BIA ("Business Impact Assessments" eller forretningskonsekvensvurderinger) og sandsynlighedsvurderinger. Sidstnævnte udføres ved at estimere jeres aktivers sårbarhed overfor de relevante trusler. I praksis ved jeg, virksomheder har mere end svært ved at lave begge former for vurderinger på rigtigt mange aktiver. Det er vanskeligt at lave sårbarhedsvurdering på fx en forretningsproces og også vanskeligt at lave en forretningskonsekvensvurdering på en server. Løsningen på denne udfordring er at kortlægge afhængigheder mellem aktiverne. I eksemplet skal du skrive på forretningsprocessen hvilke andre aktiver den afhænger af, altså aktiver som understøtter processen. Konsekvensvurderingen laves så "blot" på forretningsprocessen, og sårbarhedsvurderingerne laves "blot" på de understøttende aktiver. Forretningskonsekvensen arves nedad til de understøttende aktiver og sårbarhedsvurderingerne arves opad til forretningsprocessen fra de underliggende systemer. På den måde giver denne genvej færre konsekvensvurderinger og færre sårbarhedsvurderinger samtidigt med at det rent faktisk kan lade sig gøre at udføre de vurderinger, som der er behov for.

Fjerde og sidste genvej hedder overordnede vurderinger først. I en konsekvensvurdering forholder man sig typisk til om en sikkerhedshændelse forventes at påvirke indtægter, omkostninger, image eller kontrakt- og lov-efterlevelse. Fjerde genvej er at vurdere disse forhold samlet, ikke individuelt. Det samme gælder sårbarhedsvurderinger hvor beskyttelsesniveauet for flere trusler kan vurderes samlet. Indrømmet, det er en genvej, og du kan sikkert finde eksperter, der siger at dette ikke er godt nok. Jeg mener, at I efterfølgende får masser af muligheder for at raffinere og vurdere mere detaljeret, på de aktiver hvor det måtte give mening. Derfor er denne genvej helt ansvarlig, især hvis jeres organisation endnu ikke har fået gjort risikovurdering til en tilbagevendende, regelmæssig rutine.

Her er en kort opsummering af genvejene:
1. Ikke alle aktiver
2. Ikke alle trusler
3. Op- og ned-arving
4. Overordnede vurderinger først

Husk at risikovurdering og risikostyring - som alt andet sikkerhed - er en proces, ikke et projekt eller et øjebliksbillede. Den viden kan du bruge til at køre risikovurderingerne lempeligt i begyndelsen og bruge genvejene i stor udstrækning - senere kan du raffinere og præcisere ved fx at medtage flere aktiver, flere trusler, involvere flere personer (flere vurderinger) og/eller lave mere detaljerede vurderinger.

Med disse genveje sparer du tid og/eller kan komme i mål med ISO 27001 efterlevelse med mindre indsats. Helt ansvarligt :-)

PS! Jeg skal lige tone rent flag og gøre læsere som måske ikke kender mig, opmærksom på at jeg er stifter og direktør i virksomheden Neupart, der sælger værktøjer og konsulentydelser indenfor risikostyring og andre beslægtede fagområder. De fire genveje kan du bruge med eller uden Neuparts risikostyringsværktøj, SecureAware. Hvis du kigger på skærmbillederne fra SecureAware (i bunden af dette link) får du nogle eksempler på hvordan de fire genveje kan implementeres og hvilke spørgsmål I kan stille i jeres risikovurderinger.

Kan nogle af disse genveje bruges i din organisation, eller har du nogle tips til praktisk risikovurdering, som du vil dele?

Om forfatteren: Lars Neupart er stifter af Neupart A/S og vil gerne fortælle dig at SecureAware = effektiv informationssikkerhed. Følg ham på Twitter.

1 kommentar:

Søren Germansen sagde ...

Hej Lars

Jeg mener bestemt dine genveje kan anvendes.

Når man skal lave sin første risikovurdering kan det godt virke som en uoverskuelig opgave, fordi man umiddelbart tror man skal have det hele med (alle aktiver) for at give et retvisende billede.

Men det er en super ide at starte top down med at risikovurdere på forretningsprocesser. Ved næste risikovurdering kan man så overveje at tage et underliggende lag mere med. Evt. blot i første omgang den forretningsproces der har med den største risiko.

To andre elementer som er vigtige at have med inden man starter på sin risikovurdering er:

1) at få defineret virksomhedens risikoprofil eller risikoappetit. Der vil være stor forskel på hvor ondt det fx gør for en kommune eller en skobutik at være uden strøm i 12 timer. Har man et risikovurderingsværktøj hvor denne profil er forhånds defineret, er det første der skal ske altså at få den tilpasset. Og husk det er ikke den it-ansvarlige der kender denne profil, men ledelsesniveauet i forretningen ;-)

2) at få afklaret om man ønsker en kvalitativ eller en kvantitativ vurdering. Start med fordel med en kvalitativ vurdering hvor man vurderer efter niveauer fx "ingen", "lav", "medium", "høj". Det er hurtigt at gå til. (Ha' med fordel et lige antal niveauer, så undgår man at dem der skal svare tager den midterste værdi fordi det er nemmest, men bliver tvunget til at tage stilling :-) ).
Senere kan man så ty til en kvantitativ vurdering og få kroner og øre på potentielle tab.

Søren Germansen
IT-Sikkerhedskonsulent
Jyske Bank