torsdag den 28. april 2016

Risikovurdering - hvad bruger vi dem til?


Risikostyring med ISO 27005


Af Jakob Holm Hansen, Senior Security Advisor hos Neupart / KMD

Det er efterhånden blevet god praksis at lave risikovurderinger - eller i hvert fald erkende, at man bør lave dem.

Alt for ofte ser vi desværre, at virksomheder bare udfører risikovurderinger for at efterkomme et eller andet compliance-krav (revision, kontrakt, lovgivning m.v.). Hvis man er heldig, får man endda ressourcer til at gennemføre dem en gang om året. 

Man gennemfører sin risikovurdering, taler med sin organisation og laver en fin rapport til sidst. Og så er "projektet" afsluttet. Men det er en fejl at se risikovurdering som et projekt. Risikovurdering skal være en proces. En proces der er tilbagevendende og kontinuerligt justeret.

I ISO27001-standarden er risikovurdering en dynamo for sikkerhedsarbejdet

» Det er vores risikovurdering, der er udgangspunktet og den trækker tråde ud i hele vores ISMS
» Det er vores risikohåndteringsplan, vi skal anvende til at udvælge de rigtige sikkerhedsforanstaltninger i vores virksomhed
» Det er vores risikovurdering, der er med til at sikre ledelsesforankring og identificere forretningens krav


Og hvordan gør vi så det? 

Vi må tage et aktivt valg om at anvende risikovurderingen. Vi må ændre vores kultur omkring risikovurderingen.

Helt konkret skal man, som en del af risikovurderingen, gøre følgende:
  • Fastlægge "risk acceptance criteria", eller risikoappetit - altså hvor meget risiko er vi villig til at acceptere før vi skal handle
  • Beslutte kriterier for hvornår vi skal risikovurdere, f.eks. når vi får nye systemer eller ændrer i infrastrukturen - med andre ord er det en dynamisk proces, og ikke bare noget vi skal gøre én gang årligt
  • Evaluere vores resultater - ligger vores risici over eller under vores risikoappetit?
  • Håndtere vores risici - når vi har fundet nogle risici der ligger ud over vores risikoappetit, så skal vi gøre noget ved det!

Håndtering af risici

Eller "risk treatment" som det hedder i ISO27001/5, er den del af processen, der bringer risikovurderingens resultat ind i resten af vores ledelsessystem for informationssikkerhed.

Når vi skal håndtere identificerede risici, der ligger over vores risikoappetit, gør vi følgende:
  1. Vi definerer hvad vi vil gøre ved risikoen
    • Reducér risikoen - flere sikkerhedstiltag, større sikkerhed, nye regler
    • Eliminér risikoen - vi nedlægger systemet eller processen der resulterer i risikoen
    • Overfør risikoen - forsikring ift. risikoen, outsourcing til tredjepart
    • Acceptér risikoen - det er for dyrt at gøre noget ved risikoen, så ledelsen accepterer den
  2. Vi etablerer handlingsplaner for de risici, vi har besluttet at gøre noget ved
    • Hvad skal der gøres (se pkt. 1)?
    • Hvem er ansvarlig?
    • Hvornår er deadline?
    • Hvor høj er prioriteten?
  3. Vi følger op på handlingsplanerne
    • Har de ansvarlige lavet deres arbejde?
    • Hvor kan vi se resultatet?
  4. Vi følger op på vores risici
    • Opdatering af risikovurdering der hvor vi har gennemført handlingsplaner
    • Er risiko forøget?
    • Er risiko dalet?
    • Kan vi stadig acceptere de risici vi har accepteret?

Hvis vi anvender eller efterlever ISO27001, så vil de risici vi har identificeret samt de identificerede handlingsplaner, skulle kunne linkes over til vores "Statement of Applicability". Derved sikrer vi også en rød tråd hele vejen ned til vores sikringstiltag og kontrolmål.

Risikohåndteringen kan blandt andet også stille krav til, hvordan vi implementerer:
  • Beredskabsplaner
  • Awareness
  • Intern audit
  • Metrikker
  • Håndtering af sikkerhedshændelser
  • etc.

Afslutningsvis vil jeg huske jer på, at risikovurdering ikke er noget I skal lave for jeres revisors skyld, det er noget I skal lave for jeres egen skyld. For det er et utroligt vigtigt og stærkt værktøj til at implementere jeres informationssikkerhed med. Så brug det!


Øvrige ressourcer

Vejledning i risikostyring
Et af de styrende elementer i ISO 27001 er kravet om, at informationssikkerheden 
baseres på de reelle risici, organisationer er udsat for. Samlet set kaldes denne aktivitet 
for risikostyring. Neuparts 8-siders vejledning til risikostyring er udarbejdet med udgangspunkt i standarden for Risk Management, ISO 27005. Du kan hente den her


Læs desuden om, hvordan KMD Secure ISMS hjælper dig med effektive risikovurderinger og risikohåndtering,  og med at få styr på sikkerhedsopgaverne

PS KMD Secure ISMS er det nye navn for SecureAware, løsningen som Neupart har udviklet.

onsdag den 16. marts 2016

EU’s persondataforordning - hvor svært kan det være?

Indrømmet, det er en kompleks ny persondataforordning vi lige har fået teksten til. Den kommer til at erstatte den nuværende danske persondatalov. Den nye indeholder mange krav til, hvordan virksomheder skal behandle og beskytte persondata, og ikke mindst hvilke processer der skal fungere i virksomhederne. Neupart-teamet hos KMD er vant til, at finde på pragmatiske løsninger til enklere efterlevelse af it-sikkerhedskrav. Den indgangsvinkel har vi brugt til at udvikle dette standard værktøj, som vi nu vil præsentere dig for.


Vi har lagt kravene fra forordningen ind i værktøjet KMD Secure ISMS, så du nemt kan lave jeres første gap-analyse på EU forordningen. 

På dette billede fra Secure ISMS ser du forordningen i venstre side og i højre side ser du en række links til jeres it-sikkerhedshåndbog eller andre af jeres dokumenter, der beskriver hvad eller hvordan.



Ligger jeres it-sikkerhedshåndbog i
 Secure ISMS,
er en stor del af jeres håndbog allerede mappet op til de nye persondatakrav.



Grunden til at du kan lave gap-analysen så nemt er, at vi har lagt EU-reglerne ind i kravbiblioteket i Secure ISMS ved siden af de andre kravsæt, der allerede ligger der.

EU persondataforordningen ligger i Secure ISMS kravbiblioteket.



Men der er flere gode nyheder. Når I  så kender jeres “huller” i forhold til de nye regler, så har vi sørget for at koble en effektiv opgavestyring på jeres gap-analyse. Med opgavestyringen får I automatisk opfølgning og nem rapportering på jeres compliance status.

Effektiv opgavestyring: Opgaver er koblet på de enkelte krav. En opgave
kan være alt fra enkle "udfør"-opgaver til tilbagevendende processer.



Opgavestyringen kan I også bruge til at styre løbende, tilbagevendende opgaver. Opgaver, der vedrører jeres løbende efterlevelse af de nye regler.

Større virksomheder fører kontrol ved regelmæssigt at udføre intern audit; dette er også et område, som er understøttet af opgavestyringen i værktøjet. 
  
Det er nemt af verificere, kontrollere eller lave intern audit.
Der er hvem-hvad-hvornår historik på rød-gul-grøn forløbet.

På den måde understøttes de processer, der skal køre i enhver virksomhed der behandler persondata.

PS! Til de virksomheder der har deres it-sikkerhedshåndbog i Secure ISMS har vi en ekstra fordel: Vi har på forhånd mappet en stor del af jeres håndbog op til de nye persondatakrav.



På nuværende tidspunkt er det seneste udkast til forordningen, der ligger i Secure ISMS. Når den endelige tekst ligger klar opdateres Secure ISMS med denne.


Lær mere på dette webinar:
EU persondatabeskyttelse - hvor svært kan det være?


Du kan læse mere om Secure ISMS ved at klikke her


Hilsen
Lars Neupart
Neupart GRC, KMD