The Building Security In Maturity Model

Vi har fått 20 offentlige virksomheter til å fylle ut en egenerklæring om hvilke programvaresikkerhetsaktiviteter de utfører som en del av sine egne systemutviklingsprosesser. Modenhetsstudien konkluderer med at norske offentlige virksomheter fremstår på noen områder som bedre enn det offisielle BSIMM-gjennomsnittet.

Skrevet i samarbeid med SINTEF IKT-  infosec.sintef.no

Det offentlige gjennomfører en rekke digitaliseringsprosjekter, og utfører dermed mange aktiviteter knyttet til utvikling og anskaffelse av nye digitale løsninger. For at disse løsningene skal kunne håndtere de digitale sikkerhetstruslene, er det viktig at det jobbes systematisk med sikkerhet i utviklingsprosessen.

Undersøkelsen er basert på rammeverket til Building Security In Maturity Model (BSIMM) BSIMM er en studie av en rekke virksomheter og deres program­vare­sikkerhetsaktiviteter, og rammeverket beskriver aktiviteter som gjennomføres hos en større andel av de virk­somhetene som er med i BSIMM-studien. Mange av disse virksomhetene er langt fremme på program­vare­sikkerhet, og BSIMM-rammeverket beskriver dermed aktiviteter som anses som nyttige i praksis for å bedre sikkerheten i programvare.

Modenhetskartleggingen av offentlige virksomheter har blitt gjennomført som en spørreundersøkelse. Virk­som­hetene har angitt hvilke av de 112 aktivitetene beskrevet i BSIMM-studien som de har tatt i bruk som en del av sin egen programvareutviklingsprosess. Svarene er fulgt opp i etterkant gjennom intervjuer med den enkelte virksomhet, for å utdype informasjonsgrunnlaget.

Modenhetsstudien konkluderer med at norske offentlige virksomheter fremstår som bedre enn det offisielle BSIMM gjennomsnittet innenfor området "Etterlevelse av lover, regler og retningslinjer" (Policy & Compliance), noe som er forståelig ut fra at offentlige virksomheter er vant til å måtte forholde seg til krav fra myndighetene.

Virksomhetene er imidlertid vesentlig dårligere innenfor områdene "Strategi og måling" (Strategy & Metrics), "Angrepsmodeller" (Attack Models), og penetreringstesting (Penetration Testing). Selv om tallene for "Opplæring og øvelser" (Education & Guidance eller Training) ser marginalt bedre ut enn i BSIMM-studien, er hovedinntrykket at virksomhetene har for dårlige rutiner for opplæring innen programvaresikkerhet, spesielt ved innleie av utviklere. Virksomhetene er ikke i stand til å måle effekten av programvaresikkerhetstiltak som iverksettes, og de jobber ikke systematisk med å identifisere og forstå angrep som er spesielt relevante for løsningene de utvikler. 

Resultatene tyder på at til tross for at virksomhetene gjør en del aktiviteter innenfor programvaresikkerhet, så er det få som har en helhetlig strategi på området. Mange er veldig avhengige av interessen og kompetansen til den enkelte utvikler. Det er også mye som tyder på at det fortsatt eksisterer et skille mellom "sikkerhets­folk" og "utviklere" i virksomhetene, og at det fortsatt er for mange utviklere som anser at sikkerhet er noe som kun angår sikkerhetsadministratorer.

Det er viktig å påpeke at det er stor variasjon mellom virksomhetene. Den beste virksomheten har imple­mentert 87 av de 112 aktivitetene, og den minst modne har kun implementert 9. Gjennomsnittet av de 20 virksomhetene er omtrent 44 av 112. Den gjennomsnittlige fordelingen per praksis er illustrert i figuren under.

Studien er gjennomført som en spørreskjemaundersøkelse med oppfølgingsintervjuer for å oppklare misforståelser og uklarheter. Den kan følgelig karakteriseres som en assistert selvevaluering, der vi ikke har hatt mulighet til å innhente evidens for at virksomhetene faktisk gjør det de sier.

Les hele rapporten fra studien

 

Gjennomsnittlig prosentdel av aktiviteter i virksomhetene:

 

 

Forfatter

Lillian Røstad
Lillian Røstad
Lillian leder seksjon for informasjonssikkerhet i Difi.

Kommentarer

Skriv ny kommentar

* obligatorisk felt som du må fylle ut