NSM (Nasjonal Sikkerhetsmyndighet) har tidligere gitt ut det svært gode rammeverket Grunnprinsipper for IKT-sikkerhet. Et rammeverk som etterhvert har blitt så bra at det er å regne som beste praksis for grunnleggende sikkerhetsmekanismer de fleste Norske bedrifter bør ha på plass. Det er kanskje ikke like kjent at de også har gitt ut flere grunnprinsipper. Det viktigste dokumentet blant disse mener vi er Grunnprinsipper for sikkerhetsstyring (GFS) ettersom det utgjør overbygget for alt det andre sikkerhetsarbeidet og setter riktig kontekst for virksomheten.
Det anerkjente rammeverket Cybersecurity Framework (CSF) har etablert en bransjestandard for å sortere tiltak som benytter fem overordnede kategorierbasert på tiltaksformålet. I NSM grunnprinsipper for IKT-sikkerhet adaperte de denne tilnærmingen, men holdt seg til fire kategorier som kanskje er like greit. I bildet under ser vi kategoriene sammenlignet, hvor Respond og Recover fra CSF har blitt slått sammen av NSM:
I GFS bygger NSM videre på tiltakssorteringen som har etablert seg i bransjen. Dette er en nyttig sortering av tiltak fordi den gir oss en forståelse av formålet med tiltakene og en overordnet forståelse av rekkefølgen av barrierer: Premisset for sikkerhetsarbeidet legges i steg 1 hvor man identifiserer og kartlegger det man har av verdi som trenger beskyttelse. Hvis de beskyttende tiltakene feiler og angriperen kommer seg inn i nettverket, må vi evne å oppdage. Hvis vi ikke oppdager og håndterer i tide, må vi evne å håndtere en eskalerende hendelse samt gjenopprette data og funksjonalitet etter at skaden har skjedd. NSM benytter seg av denne inndelingen for både GFS og IKT-sikkerhet. Førstnevnte har naturligvis et høyere abstraksjonsnivå og er temaet i denne artikkelen, GFS rammeverket med Diri-støtte er illustrert i figuren i toppen av artikkelen.
ISO27005 bransjestandarden for risikostyring av informasjonsikkerheten og den erfarne sikkerhetsekspert ser fort at aktivitetene i GFS er tett knyttet opp mot arbeidsflyten i ISO27005. Dette passer oss i Diri bra med vår ISO27005-støtte. Vi beskriver ikke kravene fra NSM i detalj, men vi diskuterer hvordan du kan imøtekomme kravene ved å bruke Diri. For å se kravene i sin helhet henviser vi til NSMs originaldokument.
Interne og eksterne krav kan for eksempel være statlige krav, lovkrav, kontraktskrav og lignende som legger føringer for risikostyringen senere. Dette kan du svare opp med Diri som en del av overordnede risikovurderingen og verdivurderingen. I førstnevnte kan du svare opp og kartlegge hva som legger føringer for sikkerheten, når dette er gjort er det mye lettere å omgjøre de til uønskede hendelser og risiko. Verdivurderingen i Diri hjelper deg også med å kartlegge hvilke lover og forskrifter som gjelder for deg.
I Diri finner du en arbeidsprosess som enkelt hjelper deg med å kartlegge de viktigste systemene dine og hvilke informasjonsverdier som forvaltes. Diri hjelper deg også med å verdivurdere og prioritere disse.
Trusler er tett knyttet opp mot risiko. I Diri arbeider du ut i fra at risiko er at en trussel utnytter en sårbarhet og forårsaker hendelse. Denne hendelsen medfører minst en konsekvens for bedriften. Diri har ferdige biblioteker med trusselaktører, angrepsmetoder og uønskede hendelser som du kan velge fra.
Når du arbeider med Diri så arbeider vi med risikoanalyse. Det kan være mange inputs til en sårbarhetsanalyse, slik som funn fra tekniske verktøy eller avvik fra beste praksis. Fordelen med Diri er at du får systematisert funnene dine, kartlagt sikkerthetsmekanismer og avgjort hva de betyr i form av bedriftsrisikoen.
I Diri består ett scenario av en årsak (trussel utnytter sårbarhet), en uønsket hendelse og medfølgende konsekvens for dine verdier. Du kan velge fra allerede eksisterende scenarier i Diri eller legge til dine egne. Diri har forhåndsdefinerte bibliotek du kan velge fra, men du kan også legge til dine egne hvis du ønsker.
Ved å kartlegge IKT-systemporteføljen i Diri vil du også kartlegge hvilke avhengigheter du har til leverandører og andre virksomheter. I Diri kan du arbeide sysematisk med dine avhengigheter. Selv om det ikke er en del av kravet fra NSM arbeider vi i Diri en modul for å kartlegge avhengigheter også internt i bedriften.
Ved å arbeide med risiko i Diri arbeider du også med konsekvenser. Disse utledes fra å stille spørsmålet hva kan skje hvis den uønskede hendelsen inntreffer? Diri lar deg velge hvilke verdier som kan bli rammet og vurdere ut i fra flere risikokriterier. I flere tilfeller vil en uønsket hendelse kunne føre til flere konsekvenser og det løser du enkelt med mange-til-mange koblingene i Diri.
Når du har identifisert verdier, trusler og sårbarheter i Diri vurderer du hvor sannsynlig det er at de ulike årsakene inntreffer og alvorligheten av konsekvensene. Forhindrende tiltak knyttes opp mot årsaker og konsekvensreduserende tiltak knyttes da opp mot utfallene. Risikobildet oppdateres ettersom eksisterende tiltak legges til og nye foreslås. Diri hjelper deg med å sortere tiltakene i ulike typer og klasser. Du får en unik oversikt i Diri tiltaksmatrise.
Enkelte tiltak vil påvirke flere risikoer og Diri lar deg knytte en-til-mange forhold. Dette gir deg en helt unik mulighet til å gjøre nyttekost-vurderinger i Diri. Når du har funnet tiltakene som har god nyttekost og akseptabel risiko setter du tiltaksansvarlig og tidsfrist i Diri. Da legger tiltaket seg i tiltaksoversikten som gjør det enkelt å følge opp implementasjonsstatus.
I Diri betaler du bare en lisens og oppretter så mange brukere du trenger uavhengig av kostnad.
Du bruker Diri for å tildele ansvar og oppgaver innenfor sikkerhetsorganisasjonen i Diri. Du får transparens i organisasjonen, innsyn i sikkerhetsarbeidet og risikobildet basert på vurderingene som blir gjort. Når medarbeidere blir med på risikovurderinger hjelper Diri deg med pedagogikken og opplæringen rundt det å tenke sikkerhet. Du får også innsyn i fremdriften i sikkerhetsarbeidet og ressursbehovet.
Alle standarder for å etablere styringssystem (ISMS) anbefaler risikostyring som den sentrale komponenten, hos NSM Sikkerhetsstyring er det punkt nr 1. For store bedrifter vil Diri være systemet de trenger for å drive risikostyring ved siden av innføring av ISO-krav. For mindre bedrifter vil Diri være tilstrekkelig som styringssystem for å holde styr på de viktigste sikkerhetsmekanismene. Forskjellen fra tradisjonell ISMS-tankegang blir at i Diri skal kravene knyttes opp mot risikobildet for at de skal kunne prioriteres. Enkelte deler av ISMSet, slik som policy og retningslinjer ligger utenfor Diri.
Diri hjelper deg med å opplæring av medarbeidere og med god risikostyring vil også de relevante scenariene for øving være enkle å finne i verktlyet. Selve øvingen og treningen blir utenfor Diri.
Med Diri sikrer du at det er enkelt å gjennomføre sikkerhetsrevisjoner. Du har allerede oversikt over kritiske systemer, risikobildet og status på tiltak i Diri. Dette gir transparens og senker kravet til egenkompetanse til å gjennomføre revisjoner av sikkerhetstilstanden. Årshjulet for informasjonssikkerhet kan du bygge inn i oppgaveoversikten i Diri. Oppfølging av revisjonsfunn legges inn, knyttes opp til riktig objekt og spores i Diri. Dokumentasjonskravet dekkes i stor grad i Diri dashboardet og rapportene som kan printes.
Heldigvis for deg har Diri innebygget rapportering helt i kjernen av verktøyet: Alle data som samles kan rapporteres, men Diri samler allerede de viktigste dataene for deg og fremstiller disse ved hjelp av ulike statistiske verktøy. Diri gir deg enkelt status for tiltak, endringer i risikobildet, resultater fra risikovurderinger og internrevisjoner, mulighetsrommet for forbedringer og et godt investeringsgrunnlag. Men hovedsakelig gir Diri deg sporbarhet og en enkel måte å spore måloppnåelse. Nye oppgaver og tiltak som oppstår fra ledelsens gjennomgang kan dokumenteres, tildeles og spores i Diri.
Diri er primært et verktøy for risikostyring og ikke hendelseshåndtering. Selve hendelseshåndteringen ligger utenfor omfanget til Diri, men verktøyet kan hjelpe deg med å for oversikt over hvilke tiltak som må innføres for å forberede hendelseshåndtering. I tillegg vil du kunne avdekke behovet for hendelseshåndteringskapasiteten i risikovurderinger. Etter ferdig håndtering bør hendelser knyttes opp mot systemer og risikoen med tilhørende tiltak bør legges inn i Diri for sporbarhet.
Denne artikkelen er skrevet av Gaute Wangen, og ble første gang publisert i 2021.