Styring og ledelse av digital sikkerhet

Artikkelen nedenfor gir et overblikk over styring og ledelse av digital sikkerhet. Videreutdanning gjennom EVU-kurset Ledelse av informasjonssikkerhet gir solid kompetanse og utførende ferdigheter innen dette fagområdet.

1. Nivåer for styring og ledelse av digital sikkerhet

Digital sikkerhet prioriteres høyt i styring og ledelse av ethvert foretak. Samtidig er det en rekke unike aspekter ved digital sikkerhet som krever særskilte kompetanser, noe som gjør at digital sikkerhet på mange måter er et eget område innen styring og ledelse. Her benyttes som regel begrepet informasjonssikkerhet, slik at man snakker om styring og ledelse av informasjonssikkerhet og styringssystem for informasjonssikkerhet.

Organisasjonsstrukturer er som regel hierarkiske. Alle nivåer i en organisasjon har på hver sin måte ansvar for å utføre oppgaver relatert til digital sikkerhet, men styret og toppledelsen står til regnskap og er juridisk ansvarlig for at arbeid med informasjonssikkerhet er godt organisert og ivaretatt. Styringsnivåene for organisering av arbeid med informasjonssikkerhet kan deles inn på ulike måter. En vanlig oppdeling av styringsnivåer generelt, og som også kan anvendes på informasjonssikkerhet, er vist i figuren nedenfor.

Hierarki av styring og ledelse av digital sikkerhetHierarki av styring og ledelse.

Det er nyttig å ha en god forståelse av begreper relatert til styringsnivåene i figuren ovenforenfor. Foretaksstyring er det øverste styringsnivået i en organisasjon, som er styrets og toppledelsens ansvarsområde. Risikostyring generelt, og styring av informasjonssikkerhet spesielt, inngår i foretaksstyring. Det engelske begrepet «Information Security Management» oversettes offisielt til «ledelse av informasjonssikkerhet», av Standard Norge. Frem til 2014 var oversettelsen imidlertid «styring av informasjonssikkerhet», og mange organisasjoner (f.eks. NSM) bruker fortsatt den oversettelsen. Begge oversettelsene er derfor i bruk. Begrepet internkontroll er i stor grad overlappende med styring/ledelse av informasjonssikkerhet, men med særlig vekt på etterlevelse av lover og forskrifter. Administrasjon og drift av informasjonssikkerhet består av det daglige arbeidet med å ivareta sikkerhet i drift av systemer og nettverk. Dette arbeidet består for eksempel av monitorering og konfigurering av systemer og nettverk, håndtering av sikkerhetshendelser og rapportering. Det er et voksende marked rundt administrasjon og drift av informasjonssikkerhet, som kalles MSS (Managed Security Services). Det fins en rekke selskaper som er spesialisert på å yte denne typen tjenester, både i Norge og internasjonalt. Disse kalles typisk MSSP (Managed Security Service Providers). De store konsulentselskapene tilbyr også tjenester i dette markedet. De tre styringsnivåene i figuren over er nærmere beskrevet nedenfor.

2. Styring av informasjonssikkerhet

Styret og toppledelsen i et foretak har som ansvar å definere foretakets målsettinger, visjoner og verdigrunnlag. I den grad det må gjøres en avveining mellom satsing på ulike målsettinger, er det styrets og toppledelsens ansvar å balansere disse. Dette gjelder også for styring av informasjonssikkerhet. Virksomheter er under konstant press for å øke effektivitet og kvalitet og for å være konkurransedyktige i markedet. Et vanlig virkemiddel for å oppnå disse tingene er å redusere kostnader og øke effektivitet gjennom digitalisering av forretningsprosesser. Sammen med den stigende avhengigheten av digitale forretningsprosesser øker også trusler mot de samme prosessene gjennom online eksponering. Når digitale forretningsprosesser har sårbarheter som kan utnyttes av trusselaktører, oppstår informasjonssikkerhetsrisikoer. I den grad viktige forretningsprosesser og tjenester kan bli angrepet og falle ut som følge av trusler og sårbarheter, oppstår det risikoer for virksomhetens målsettinger og kanskje for hele dens eksistens. For at digitalisering av forretningsprosesser skal være bærekraftig, må disse sikkerhetsrisikoene håndteres forsvarlig. Styret og ledelsen har dessuten overordnet ansvar for å påse at lover og forskrifter overholdes til enhver tid. Mange virksomheter har i tillegg krav om å ha et styringssystem for informasjonssikkerhet, som enkelt sagt betyr at prosesser og aktiviteter rundt informasjonssikkerhet skal være systematisk strukturert og følge et anerkjent rammeverk. Den engelske betegnelsen er ISMS (Information Security Management System) som oversettes enten som «styringssystem for informasjonssikkerhet» eller «ledelsessystem for informasjonssikkerhet» (LSIS). Denne boken oversetter ISMS som «styringssystem for informasjonssikkerhet». ISMS beskrives i avsnitt 12.3.2. Å ivareta kravene beskrevet over kan generelt beskrives som styring av informasjonssikkerhet. En mer konsis definisjon på styring av informasjonssikkerhet er gitt av ISACA:

  • Styring av informasjonssikkerhet består av å definere strategiske målsettinger for informasjonssikkerhet, sørge for at disse blir oppnådd, styre sikkerhetsrisiko med effektiv bruk av organisatoriske ressurser, påse at styringssystemet for informasjonssikkerhet fungerer hensiktsmessig og at resultater følger forventninger og målsettinger.

ISACA (Information Systems Audit and Control Association) er en internasjonal forening for IT-revisorer og fagfolk som jobber med IT-ledelse. ISACA publiserer rammeverk og veiledningsmateriale for styring og ledelse av IT generelt, deriblant for styring og ledelse av informasjonssikkerhet. ISACA forvalter profesjonelle sertifiseringsprogrammer for fagfolk innen IT-revisjon og IT-ledelse, og arrangerer faglige møter for medlemmer, blant annet også i Norge. I tillegg til definisjonen på styring av informasjonssikkerhet gjengitt ovenfor definerer ISACA følgende fem hovedmålsettinger for styring av informasjonssikkerhet:

  1. Strategisk tilpasning av aktiviteter for informasjonssikkerhet. Nytten av aktiviteter rundt informasjonssikkerhet er uunngåelig knyttet til hvor godt de støtter målene for organisasjonen og med hvilken kostnad. Uten organisatoriske mål som referansepunkt kan andre prinsipper som f.eks. beste praksis ofte være for omfattende, utilstrekkelige eller feilrettet på andre måter. Fra et forretningsperspektiv er en adekvat og tilstrekkelig praksis som er proporsjonal med kravene, som regel mer kostnadseffektiv og hensiktsmessig enn alltid å følge beste praksis. Noe annet vil i utgangspunktet være vanskelig for styret og toppledelsen å forsvare, særlig i kommersielle selskaper. Fra et styringsperspektiv er informasjonssikkerhet ikke et mål i seg selv – det skal bidra til å nå virksomhetens mål.
  2. Risikostyring. Optimal risikostyring er et grunnleggende mål – ikke bare for aktiviteter rundt informasjonssikkerhet, men egentlig for alle sikkerhetsaktiviteter i en organisasjon. Nytteverdi av risikostyring kan ikke måles direkte, men må måles med indikatorer som på en indirekte måte korrelerer med risikostyringens nytteverdi. Sagt på en relativt abstrakt måte kan risikostyring sies å ha god nytteverdi hvis den på en konsistent og kostnadseffektiv måte oppfyller forventningene om å oppnå definerte sikkerhetsmål.
  3. Effektiv bruk av ressurser. Som med alle andre organisatoriske ressurser må ressurser relatert til informasjonssikkerhet brukes fornuftig og effektivt. Det er for eksempel viktig å kartlegge allerede implementerte løsninger og vurdere om en løsning kan gjenbrukes innenfor andre områder eller avdelinger. Kompetanse og menneskelige ressurser er svært viktig. Kunnskap må fanges opp, tas vare på, bli formidlet og gjort tilgjengelig når det trengs. Kompetanse må bygges, brukes og ivaretas på best mulig måte. Styringssystemer og prosesser må standardiseres så langt det er mulig for å redusere administrasjons- og opplæringskostnadene. Alt må være godt dokumentert, referert og tilgjengelig.
  4. Verdiskaping. Det kan virke paradoksalt at arbeid med informasjonssikkerhet skaper verdi, fordi det i første rekke er en stor kostnadspost i organisasjoner. Imidlertid skaper god styring av informasjonssikkerhet verdi på bunnlinjen gjennom reduserte tap, økt omdømme og tillit i markedet, balansert risikostyring og mer effektiv organisering og bruk av ressurser. Optimal verdiskaping oppstår når strategiske mål for informasjonssikkerhet oppnås, juridiske krav etterleves og sikkerhetstrusler balanseres med en akseptabel risiko, alt til lavest mulig kostnad.
  5. Målbarhet. En enkel regel for styring kan uttrykkes slik: «Du kan ikke styre det du ikke kan måle.» Måling, monitorering og rapportering av aktiviteter rundt informasjonssikkerhet er derfor en forutsetning for å kunne vurdere om organisatoriske mål oppnås. Metoder for å måle aktiviteter og hendelser relatert til informasjonssikkerhet på tvers av organisasjonen må utvikles, og analysemodeller som gir en indikasjon på effekten av aktiviteter og prosesser rundt informasjonssikkerhet, må defineres. Det vil typisk være et spekter av slike målinger og analysemodeller som ikke direkte kan oversettes til en enkelt metrikk for hvor «sikker» organisasjonen er. Grad av informasjonssikkerhet i en organisasjon må derfor måles indirekte gjennom vurdering av kvalitet i prosesser, og kan til syvende og sist uttrykkes som grad av modenhet i styring av informasjonssikkerhet. En relevant standard og veileder for måling, evaluering og analyse av informasjonssikkerhet er ISO/IEC 27004.

3. Spørsmål som styret og toppledelsen bør stille seg

For mange styremedlemmer og toppledere kan utfordringer med cybersikkerhet virke overveldende. På den ene siden har de overordnet ansvar for styring av digital sikkerhet i virksomheten, på den andre siden har de kanskje utilstrekkelig kompetanse til å ta dette ansvaret på en god måte. Etter som de fleste forretningsprosesser digitaliseres og eksponeres mot cybertrusler, som ofte resulterer i betydelig cyberrisiko og risiko for virksomheten generelt, er kompetanse innen dette området en forutsetning for at styret og toppledelsen skal kunne gjøre en god jobb.

Listen med spørsmål nedenfor kan brukes som en enkel sjekkliste for styremedlemmer og toppledere på om de har oversikt med hensyn til styring av informasjonssikkerhet i virksomheten de har ansvar for.

  1. Hvordan holder virksomheten seg oppdatert om digitale trusler generelt og for egen sektor og virksomhet spesielt?
  2. Har virksomheten god oversikt og forståelse av risiko relatert til informasjonssikkerhet?
  3. Hvor godt er risikostyring for informasjonssikkerhet integrert i helhetlig risikostyring?
  4. Bør cyberforsikring inkluderes i virksomhetens forsikringspoliser?
  5. Hvor modent er virksomhetens ISMS?
  6. Hvor godt er ISMS forankret hos ledelsen?
  7. Jobbes det med god sikkerhetskultur som del av virksomhetskulturen generelt?
  8. Dekker beredskapsplanen også cybersikkerhetshendelser, og er planen testet?
  9. Hvor god er virksomhetens etterlevelse av lover og forskrifter relatert til informasjonssikkerhet?
  10. I hvilken grad bør virksomheten outsource sikkerhetsfunksjoner, som f.eks. gjennom å kjøpe sikkerhetstjenester MSS (Managed Security Services)?
  11. Hvor god er beskyttelsen av informasjon som overføres til tredjeparter?
  12. Hvor god er virksomhetens etterlevelse av GDPR?

4. Ledelse av informasjonsskkerhet

Ledelse av informasjonssikkerhet er å opprette, drifte og vedlikeholde et sett med prosesser og aktiviteter som på en fornuftig måte beskytter organisasjonens informasjonsverdier mot sikkerhetstrusler, og som dermed bidrar til å opprettholde KIT-sikkerhetsmålene konfidensialitet, integritet og tilgjengelighet. Et viktig element i ledelse av informasjonssikkerhet er risikostyring, en prosess som involverer vurdering av sikkerhetsrisikoer en organisasjon er eksponert mot, og hvordan disse best kan håndteres og reduseres til et adekvat nivå.

Ledelse av informasjonssikkerhet bør være basert på et ISMS (lnformation Security Management System), som oversettes til «styringssystem for informasjonssikkerhet» eller «ledelsessystem for informasjonssikkerhet». Et ISMS er et sett med prosesser og aktiviteter rundt informasjonssikkerhet definert gjennom et utvalg av standarder, rammeverk og egendefinerte retningslinjer og policyer. I Norge og Europa er det vanligste rammeverket som danner grunnlag for ISMS, beskrevet i den internasjonale standarden ISO/IEC 27001 Ledelsessystem for informasjonssikkerhet

For en virksomhet er det viktig å kjenne til krav om informasjonssikkerhet, både i egen organisasjon og i forhold til andre, rett og slett for å ha god sikkerhetsstyring og for å kunne velge passende sikkerhetstiltak. Det er ledelsens ansvar å legge til rette for at virksomheten kartlegger krav om informasjonssikkerhet. Generelt fins det tre typer kilder til krav om informasjonssikkerhet:

  • Krav om adekvat sikkerhet i applikasjoner og forretningsprosesser i henhold til standard god praksis og forvaltning. For hver type av systemer eller applikasjoner som implementeres og settes i drift, er det viktig å kjenne til hva som er god praksis med hensyn til å bygge inn sikkerhetsmekanismer og funksjoner. For eksempel er det standard praksis at grensesnittet mellom internett og virksomhetens datanett er beskyttet med en brannmur. Det er også standard praksis at tilgang til tjenester i egne nettverk eller til online-tjenester er beskyttet med brukerautentisering og tilgangskontroll. En konsis beskrivelse av god praksis for informasjonssikkerhet er utvalget av 13 prioriterte sikkerhetstiltak fra NSMs Grunnprinsipper for IKT-sikkerhet, som beskrevet i avsnitt 12.4. De fleste virksomheter vil ha stor nytte av å implementere disse. Imidlertid er det utilstrekkelig for en virksomhet å bare følge standard praksis. Ifølge CMMI-modenhetsskalaen beskrevet i avsnitt 12.6 anses en virksomhet å ha lav modenhet i styring av informasjonssikkerhet hvis den ikke i tillegg foretar egne risikovurderinger for å identifisere nødvendige sikkerhetstiltak.
  • Krav om å begrense sikkerhetsrisiko til et akseptabelt nivå. Sikkerhetstiltak for dette formål identifiseres gjennom sikkerhetsrisikovurdering og risikohåndtering. For eksempel kan risikovurdering peke på nødvendigheten av å installere en avansert brannmur med kapasitet til å motstå DDoS-angrep, fordi sannsynlighet og konsekvenser av DDoS-angrep anses å være høye. DDoS (Distributed Denial of Service) er et overlastangrep som betyr at et nettsted blir bombardert med så mye trafikk at legitime brukere ikke når frem. Hvis vanlig praksis setter krav om en (enkel) brannmur, kan risikovurdering sette krav om en avansert «neste generasjons» brannmur som kan filtrere bort DDoS-trafikk. Risikovurderingen kan også peke på nødvendigheten av å innføre tofaktor-autentisering (sterk brukerautentisering) for tilgang til svært sensitive ressurser. Hvis vanlig praksis setter krav om (enkel) brukerautentisering, kan risikovurdering i tillegg sette krav om sterk brukerautentisering.
  • Juridisk lovbestemte, regulatoriske og kontraktsmessige krav til informasjonssikkerhet. Alle virksomheter er underlagt lover og forskrifter om informasjonssikkerhet som må overholdes, og for spesifikke sektorer og organisasjoner gjelder ofte flere lover. Det er hver organisasjons plikt å ha oversikt over hvilke juridiske krav til informasjonssikkerhet som må overholdes. Sikkerhetsloven setter for eksempel en rekke krav om informasjonssikkerhet som underlagte foretak er pliktige til å overholde. Mange regelverk, som for eksempel sikkerhetsloven, spesifiserer også at virksomheter må identifisere krav om sikkerhet ut ifra risikovurderinger, som nettopp er kilden til krav nevnt over.

Krav om informasjonssikkerhet kan være artikulert på en relativt overordnet måte, for eksempel som sikkerhetsmål i henhold til sikkerhetsmålsettingene KIT (konfidensialitet, integritet og tilgjengelighet), eller på en mer detaljert måte, som spesifikke sikkerhetstiltak.

5. Administrasjon og drift av informasjonsskkerhet

Administrasjon og drift av informasjonssikkerhet består av en portefølje med ulike aktiviteter. En virksomhet kan velge å selv ta hånd om disse aktivitetene, eller outsorce dem til en MSSP (Managed Security Service Provider), kalt leverandører av informasjonssikkerhetstjenester på norsk.

Små virksomheter har typisk ingen ansatte som utelukkende jobber med informasjonssikkerhet, mens større virksomheter kan ha et SOC-team for sikkerhetsmonitorering og et CSIRT eller CERT for hendelsesrespons. Et SOC (Security Operations Center), kalt sikkerhetsoperasjonssenter på norsk, er et team med eksperter som har kompetanse, verktøy og ressurser til å utføre oppgaver og aktiviteter for informasjonssikkerhet. Disse aktivitetene er for eksempel:

  • brannmurer – konfigurering, overvåking og drift
  • IDS (Intrusion Detection System), dvs. konfigurering, overvåking og vedlikehold av systemer for inntrengningsdeteksjon i systemer og nettverk
  • sårbarhetsskanning og oppdatering av programvare
  • forebygging av tap og gjenoppretting av data
  • digital trusseletterretning
  • deteksjon og rapportering av sikkerhetshendelser

Et CSIRT (Computer Security Incident Response Team), eller CERT (Computer Emergency Response Team), kalt hendelsesresponsteam på norsk, er et team med eksperter som har kompetanse, verktøy og ressurser til å håndtere sikkerhetshendelser når de oppdages. CERT er et varemerke eid av Carnegie Mellon University, mens CSIRT er et begrep som kan brukes fritt. Et CSIRT håndterer hendelser som rapporteres av SOC eller detekteres på andre måter. Trinn i håndtering av sikkerhetshendelser er:

  • sortering (triage) for å bekrefte at hendelsen er betydelig og ikke en falsk positiv
  • analyse for å samle inn og analysere relevant informasjon for å forstå hendelsen/li>
  • skadebegrensning for å forhindre at angrepet sprer seg videre og skaden forverres/li>
  • utkastelse for å fjerne årsaken til hendelsen og sårbarheter som ble utnyttet/li>
  • gjenoppretting og normalisering, og eventuelt innføring av nye sikkerhetstiltak og rutiner/li>
  • lukking av saken for å dokumentere og lære av hendelsen/li>

Nødvendig kompetanse og grad av kompleksitet for utførelse av SOC- og CSIRT-aktiviteter kan medføre betydelige kostnader. Det kan derfor være kostnadseffektivt å kjøpe slike tjenester. Som tidligere nevnt fins det et raskt voksende marked for SOC- og CSIRT-tjenester.

Publisert 12. aug. 2023 12:24 - Sist endret 9. mai 2024 11:18
Del på e-post