Oppsummering fra NIFS-møte 29. november 2017

NIFS-spøkelse

Temaet for NIFS-møtet var måling av informasjonssikkerhet. Arrangementet var en kombinasjon av foredrag, plenumsdiskusjoner og workshop.

Måling av informasjonssikkerhet er nødvendig for å oppnå kontinuerlig forbedring i styringssystemet og for å gi ledelsen et godt grunnlag for å ta beslutninger.

Svanhild Gundersen fra Difi innledet med nytt fra Difi, hva vi jobber med i dag og våre forslag til prosjekt for 2018.

Møtet var delt i tre:

  1. Standard ISO/IEC 27004:2016 «Information Security Management – Monitoring, measurement, analysis and evaluation»
  2. Informasjon om Difi-prosjektet: Evaluering av handlingsplan for informasjonssikkerhet i statsforvaltningen (2015-2017)
  3. Måling av informasjonssikkerhetskultur

Håkon Styri fra Difi presenterte målinger og bruk av ISO/IEC 27004:2016 «Information Security Management – Monitoring, measurement, analysis and evaluation». Denne standarden er laget for måling av aktivitetene i ISO 27001 og har beskrivelser og eksempler på gjennomføring av måling, hvem som bør måle osv. 

Hvorfor skal vi måle? Vi måler for å redusere usikkerhet. Dette kan være usikkerhet om sikkerhetstiltak virker, kostnader ved ulike sikkerhetstiltak, formålseffektivitet og hvor mye den totale risikoen reduseres. Det er viktig for ledelsen å vite om tiltakene virker og om de er kostnadseffektive. Eksempler på hva vi kan måle er:

  • Implementering av styringssystem for informasjonssikkerhet
  • Hendelseshåndtering
  • Konfigurasjonsstyring
  • Sikkerhetsforståelse og opplæring
  • Logging av tilgangskontroll
  • Logging av avvik
  • Revisjonsaktiviteter
  • Risikovurdering
  • Risikohåndtering
  • Risikostyring hos tredjepart – viktig ved tjenesteutsetting av oppgaver. Gjør underleverandøren nødvendig risikostyring.
  • Virksomhetskontinuitetsstyring
  • Styring av fysisk sikkerhet.
  • Systemovervåking – leter vi etter feil i systemer.

I gruppearbeidet diskuterte vi hvordan vi beskriver målingen på en slik måte at den kan gjentas, at vi kan se effekten og hvordan vi kan oppnå forbedring.

Det er viktig å ikke måle mer enn det som er nødvendig og viktig for din virksomhet. Du bør derfor:

  • Identifisere hvilken informasjon du ønsker å få frem. Hvem er målgruppen for informasjonen og hvilket informasjonsbehov har de? 
  • Finne ut hvilke måleaktiviteter som er nødvendig for å fremskaffe denne informasjonen. Husk at det ikke er nødvendig å måle alt som kan måles. Å måle alt kan også være økonomisk ineffektivt.
  • Etablere prosedyrer
  • Overvåke og utføre målinger
  • Analyse resultater
  • Evaluere informasjonen

Det finnes et flytdiagram for dette i standarden.

Ikke utfør målinger for målingens skyld i håp om at informasjonen en gang kan komme til nytte. Dette må sees i motsetning til logging der behovet og formålet med loggingen er definert på forhånd.

Håkon presenterte også et dilemmatreningseksempel som kan brukes i virksomhetene. Denne ligger på nettsiden til Difi og kan fritt brukes av alle. Dette dilemmaet handler om hvorfor vi skal måle og hvorfor skal vi bruke penger på måling.

Etter lunsj presenterte Håkon Styri Difis prosjekt "Evaluering av handlingsplan for informasjonssikkerhet". Etter presentasjonen ble det plenumsdiskusjon om praktisk gjennomføring av måling.

Bjarte Malmedal fra NorSIS presenterte en undersøkelse av sikkerhetskultur som NorSIS har utført for i underkant av 50 virksomheter. Undersøkelsen gir virksomheten et øyeblikksbilde for å identifisere problemområder, lage metrikk for sikkerhetskultur, mulighet til å måle effekten av tiltak, hvordan bedre forstå egen organisasjon og velge tiltak med størst effekt.

Neste NIFS-møte er 21. februar og har arbeidstittel «Hvordan kommuniserer vi med ledelsen om informasjonssikkerhet?»

Vi tar gjerne imot forslag på tema til de to NIFS-møtene til høsten.

Publisert: 13. des 2017, Sist endret: 22. mar 2018

Deldette

Kontakt