Pragmatische informatiebeveiliging risicoanalyses binnen (middel)grote organisaties

Transcriptie

1 Pragmatische informatiebeveiliging risicoanalyses binnen (middel)grote organisaties PvIB, 29 september 2009 Eric Verheul nl.pwc.com] 1 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 2 1

2 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 3 Introductie Mijn achtergrond ISO Lead auditor ETSI TS Lead auditor ISO implementatie projectleider Deeltijd hoogleraar binnen de digital security group van de Radboud Universiteit, docent masters vak Security in Organisations 4 2

3 Introductie Teamleden Ir. Jeroen Prins Fook Hwa Tan MSc Ir. Bart Witteman Dr. Peter van Rossum Drs. Gerhard de Koning Gans 5 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 6 3

4 ISO eisen aan risicobeoordeling ISO achtergrond 7 ISO eisen aan risicobeoordeling ISO achtergrond Plan: definieer ISMS informatiebeveiliging (ISMS) beleid scope bepaal assets ( alles van waarde voor de organisatie ) benadering voor risicobeoordeling management processen selecteer maatregelen middels risicobeoordeling [VvT, RT] bepaal hoe de effectiviteit van maatregelen gemeten kan worden Do: implementeer management processen implementeer geselecteerde maatregelen Check: interne reviews van management processen interne reviews van geselecteerde maatregelen Act: voer management review uit (e.g. gebaseerd op beveiligingsincidenten, effective measurements, audits) stel ISMS bij 8 ISMS Handbook ISO

5 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis 4.2.1c) Vaststellen welke benadering voor risicobeoordeling wordt gekozen in de organisatie. 1) Een methodologie voor risicobeoordeling vaststellen die is afgestemd op het ISMS, maar ook op de geïdentificeerde eisen voor beveiliging van bedrijfsinformatie en eisen uit weten regelgeving. 2) Criteria ontwikkelen voor de aanvaarding van risico's en vaststellen welke risiconiveaus aanvaardbaar zijn ( risk appetite ) De gekozen methoden voor risicobeoordeling moeten bewerkstelligen dat risicobeoordelingen vergelijkbare en herhaalbare resultaten leveren. ISO auditor: er dient een gedocumenteerde methode te zijn; risk appetite dient te zijn bepaald. 9 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis 4.2.1d): Risico's identificeren. 1) De bedrijfsmiddelen identificeren die binnen de reikwijdte van het ISMS vallen en wie de verantwoordelijke eigenaren van deze bedrijfsmiddelen zijn. 2) De bedreigingen voor deze bedrijfsmiddelen identificeren. 3) De zwakke plekken identificeren die vatbaar kunnen zijn voor de bedreigingen. 4) De mogelijke gevolgen identificeren die verlies van vertrouwelijkheid, integriteit en beschikbaarheid kunnen hebben voor de bedrijfsmiddelen ISO auditor: De methodologie dient assets, bedreigingen, kwetsbaarheden, risico s en impacts omvatten. 10 5

6 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis e): De risico's analyseren en beoordelen. 1) Beoordelen welke schade de organisatie waarschijnlijk zal ondervinden als gevolg van een beveiligingsstoring, rekening houdend met de gevolgen als de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsmiddelen worden geschonden. 2) Beoordeling van de waarschijnlijkheid dat een beveiligingsstoring optreedt in het licht van de aanwezige bedreigingen en kwetsbaarheden, en gevolgen voor deze bedrijfsmiddelen, en de huidige getroffen beheersmaatregelen. 3) Een inschatting maken van de risiconiveaus. 4) Vaststellen of de risico's aanvaardbaar zijn of behandeling vereisen aan de hand van de criteria voor risicoaanvaarding die in 4.2.1c) zijn vastgesteld. ISO auditor: geprioritiseerde risico s dienen vastgesteld te zijn; bekend moet zijn welke behandeling behoeven. 11 ISO eisen aan risicobeoordeling Relevante ISO eisen Eis f): Opties voor de behandeling van de risico's identificeren en beoordelen. Opties: toepassen maatregelen, accepteren van risico s, risico s vermijden of overdragen van risico s. Eis 4.2.1g): Beheersdoelstellingen en maatregelen voor de behandeling van de risico's kiezen. Eis 4.2.1h) Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico's. ISO auditor: acceptatie, vermijding, overdragen van risico s of maatregelen. Acceptatie restrisico s door management. 12 6

7 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 13 Onze invulling van de ISO risicobeoordeling Definities van informatiebeveiliging Preservation of confidentiality, integrity and availability of information (ISO 27002). The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability (NIST). The condition in which confidentiality, integrity and availability of information and information technology are protected by appropriate safeguards. (BSI). Vreemd genoeg maakt het cruciale begrip risico geen deel uit van deze definities. 14 7

8 Onze invulling van de ISO risicobeoordeling Alternatieve definitie van IB Het voldoende beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen de mogelijke manifestatie van bedreigingen. 15 Onze invulling van de ISO risicobeoordeling Alternatieve definitie van IB Het voldoende beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen de mogelijke manifestatie van bedreigingen. Risicobeoordeling Dreiging #1 Dreiging #2 Dreiging #3 Dreiging #4 Dreiging #m Kwetsbaarheid #1 Kwetsbaarheid #2 Kwetsbaarheid #3 Kwetsbaarheid #4 Risico paden (scenario s) Kwetsbaarheid #n 16 8

9 Onze invulling van de ISO risicobeoordeling Alternatieve definitie van IB Het voldoende beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie tegen de mogelijke manifestatie van bedreigingen. Risicobeoordeling Maatregelen Dreiging #1 Kwetsbaarheid #1 Dreiging #2 Kwetsbaarheid #2 Dreiging #3 Dreiging #4 Dreiging #m Kwetsbaarheid #3 Kwetsbaarheid #4 Risico paden (scenario s) Kwetsbaarheid #n 17 Risico s Onze invulling van de ISO risicobeoordeling BIAs & RATs Kritische systemen Facturering CRM Telefoon ERP Document management Treasury.. Baseline beveiliging 18 9

10 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment 5. Risk acceptance 6. Documentation/communication 7. Risk monitoring Bron: ISO Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment Determine legal requirements Determine scope and boundaries Determine dependencies with other systems

11 Onze invulling van de ISO risicobeoordeling Risico beoordeling Scope Dependencies with other systems Verbonden informatiesystemen Afdeling #1 Manager #1 Afdeling #2 Manager #2 Afdeling #3 Manager #3 Bedrijf Proces #1 info Bedrijf Proces #2 info Bedrijf Proces #3 Informatie Systeem #1 Opleggen van eisen Network Opleggen van eisen Informatie Systeem #2 Informatie Systeem #3 21 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment Identify assets (= familiarize with system) Identify threats Identify vulnerabilities Relate existing controls (baselines in our setting) Determine consequences (Risk paths) Threats may be of natural or human origin

12 Onze invulling van de ISO risicobeoordeling Natuurlijke dreiging voorbeelden 23 Source: BSI IT-Grundschutz-Catalogues Onze invulling van de ISO risicobeoordeling Menselijke dreiging voorbeelden Source: NIST SP

13 Onze invulling van de ISO risicobeoordeling Voorbeelden van kwetsbaarheden 25 Source: ISO Onze invulling van de ISO risicobeoordeling Voorbeelden van kwetsbaarheden Als alternatief kun je kwetsbaarheden ook direct relateren aan de 11 ISO hoofdstukken. H ISO Beveiligingsbeleid Beveiligingsorganisatie Classificatie en beheer van bedrijfsmiddelen Beveiligingseisen ten aanzien van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Ontwikkeling en onderhoud van systemen Incidentmanagement Continuïteitsmanagement Naleving 26 Voorbeeld topics Nieuwe technologie zonder beleid? Issues rond IB organisatie? Speciale assets in gebruik? Speciale PZ attentiepunten? Issues rond fysieke- and omgevingsbeveiliging? Issues rond beheer? Issues rond toegangsbeveiliging? Issues rond implementeren van informatiebeveiligng in software lifecycle? Speciale gebeurtenissen die gemonitord moeten worden? Speciale issues rond BCM? Speciale juridische eisen? 13

14 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation Prioritize risks (risk paths) Determine the real risks - Estimation could be qualitative or quantitative (e.g. based on historic data). - In practice one uses qualitative estimations. 27 Onze invulling van de ISO risicobeoordeling Guestimates of risk paths Orange = risk appetite boundary 28 14

15 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment Risks can be accepted Risks can be avoided Risks can be transferred Risks can treated with controls 29 Illustratie Electronic banking case op Security in Organisations website:

16 Onze invulling van de ISO risicobeoordeling Risk estimation/evaluation Medium Risico: Hoog Risico: Impact Mr. X pleegt fraude door Clieop aanpassing op zijn PC Onbekende pleegt fraude door Clieop aanpassing op Mr. X s PC Laag Risico: Interne medewerkers lezen declaratie gegevens Uit Clieop op mr. X s PC Medium Risico: Betalingsgegevens van het bedrijf worden commercieel benut 31 Kans Onze invulling van de ISO risicobeoordeling Risk Treatment Medium Risico: Hoog Risico: Impact Mr. X pleegt fraude door Clieop aanpassing op zijn PC Maatregel: toepassen controle in EB pakket Onbekende pleegt fraude door Clieop aanpassing op Mr. X s PC Maatregel: toepassen controle in EB pakket Laag Risico: Medium Risico: Interne medewerkers lezen declaratie gegevens Uit Clieop op mr. X s PC Acceptatie 32 Betalingsgegevens van het bedrijf worden commercieel benut Avoid: geen externen op de PC van Mr. X Kans 16

17 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment 5. Risk acceptance After risk treatment a risk revaluation should be performed. Risk treatment (residual risks) must be accepted by management. 33 Onze invulling van de ISO risicobeoordeling Belangrijkste stappen 1. Context establishment 2. Risk assessment 3. Risk estimation/evaluation 4. Risk treatment 5. Risk acceptance 6. Documentation/communication 7. Risk monitoring The risk process should be documented, and periodically reassessed

18 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 35 (Software) tools voor risicobeoordeling Risicobeoordeling workshops De scope van risicobeoordelingen betreffen in onze opzet informatiesystemen/infrastructuren die al door een eerste schifting heen zijn. Bij de risicobeoordeling hoeven we alleen te kijken naar additionele maatregelen. We maken Excel spreadsheets op maat voor de organisatie in kwestie en zorgen dat de juiste bedreigingen en kwetsbaarheden zijn opgetekend op basis van ervaring, creativiteit, ISO 27005, NIST SP en de BSI IT- Grundschutz-Catalogues. Ruw voorbeeld Excel spreadsheet op de Security in Organisations website. Risicobeoordeling vindt plaats in een workshop van een dagdeel

19 (Software) tools voor risicobeoordeling Risicobeoordeling workshops Het is cruciaal dat de juiste mensen bij de workshop zijn: zij die de technische karakteristieken van het systeem kennen, zij die bestaande beveiligingsmaatregelen kennen, zij die de bedrijfsprocessen kennen waarbij het systeem wordt ingezet. Neem de rust om het systeem voldoende te leren kennen. Wees niet te ambitieus: streef er alleen naar om bedreigingen, kwetsbaarheden en risico s te vinden die (onbewust) in de hoofden van de workshopdeelnemers zitten. Stel prikkelende vragen, en neem beveiligingsincidenten en audits mee. Als buitenstaander heb je het voordeel makkelijk domme vragen te kunnen stellen (die vaak het belangrijkst zijn). En, risicobeoordeling moet ook gewoon leuk zijn (virtueel hacken) 37 (Software) tools voor risicobeoordeling Risicobeoordeling software Risicobeoordeling software faciliteert dat het proces reproduceerbaar is en het vereenvoudigt het documentatie proces. Maar risicobeoordeling software introduceert ook risico s: dat je teveel tijd bezig bent met het leren van de tool zelf, dat je teveel tijd bezig bent keuzen te maken die niet relevant zijn, dat de risicobeoordeling een mechanisch vink proces wordt zonder dat men zelf nog nadenkt. Op staat een overzicht van risicobeoordeling software. Uit een informeel onderzoekje dat wij deden op basis van dit overzicht kwamen IRAM (nu RAW) van het ISF en EBIOS (gratis) het beste uit de bus. De Excel sheets die wij gebruiken voldoen met enige tuning voor de meeste middelgrote bedrijven volgens mij ook

20 Agenda Introductie ISO eisen aan risicobeoordeling Onze invulling van de ISO risicobeoordeling (Software) tools voor risicobeoordeling Conclusie 39 20