Suche senden
Hochladen
Måling og visualisering av informasjonssikkerhet
•
0 gefällt mir
•
618 views
Transcendent Group
Folgen
Carsten Maartmann-Moe 14.09.2015, ISF Høstkonferansen 2015
Weniger lesen
Mehr lesen
Business
Melden
Teilen
Melden
Teilen
1 von 30
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Transcendent Group
Penetration testing as an internal audit activity
Penetration testing as an internal audit activity
Transcendent Group
Next generation access controls
Next generation access controls
Transcendent Group
Value added security services
Value added security services
Transcendent Group
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
Transcendent Group
How we got domain admin
How we got domain admin
Transcendent Group
Empfohlen
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Transcendent Group
Penetration testing as an internal audit activity
Penetration testing as an internal audit activity
Transcendent Group
Next generation access controls
Next generation access controls
Transcendent Group
Value added security services
Value added security services
Transcendent Group
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
Transcendent Group
How we got domain admin
How we got domain admin
Transcendent Group
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Transcendent Group
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Transcendent Group
Frukostseminarium om molntjänster
Frukostseminarium om molntjänster
Transcendent Group
Finansiering av terrorism
Finansiering av terrorism
Transcendent Group
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
Effectively managing operational risk
Effectively managing operational risk
Transcendent Group
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Transcendent Group
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Transcendent Group
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Transcendent Group
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Transcendent Group
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Transcendent Group
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Transcendent Group
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
Transcendent Group
Asp norge
Asp norge
JPTorgersrud
Sikkerhetstilstanden i norske virksomheter – og forventninger til nettskyen. ...
Sikkerhetstilstanden i norske virksomheter – og forventninger til nettskyen. ...
IKT-Norge
Weitere ähnliche Inhalte
Andere mochten auch
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Transcendent Group
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Transcendent Group
Frukostseminarium om molntjänster
Frukostseminarium om molntjänster
Transcendent Group
Finansiering av terrorism
Finansiering av terrorism
Transcendent Group
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
Effectively managing operational risk
Effectively managing operational risk
Transcendent Group
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Transcendent Group
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Transcendent Group
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Transcendent Group
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Transcendent Group
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Transcendent Group
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Transcendent Group
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
Transcendent Group
Andere mochten auch
(20)
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Frukostseminarium om molntjänster
Frukostseminarium om molntjänster
Finansiering av terrorism
Finansiering av terrorism
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Effectively managing operational risk
Effectively managing operational risk
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
Ähnlich wie Måling og visualisering av informasjonssikkerhet
Asp norge
Asp norge
JPTorgersrud
Sikkerhetstilstanden i norske virksomheter – og forventninger til nettskyen. ...
Sikkerhetstilstanden i norske virksomheter – og forventninger til nettskyen. ...
IKT-Norge
Du må satse for å vinne!
Du må satse for å vinne!
Anders Hoff
20150318- Internet of Things - Hype eller revolusjon FINAL
20150318- Internet of Things - Hype eller revolusjon FINAL
Christopher Eikanger Andersen
Internet of things - hype eller revolusjon
Internet of things - hype eller revolusjon
Christopher Andersen
Webanalyse og rapportering
Webanalyse og rapportering
Kjetil Manheim
Teknologitrender som vil påvirke fremtidens ledelse
Teknologitrender som vil påvirke fremtidens ledelse
Simen Sommerfeldt
It driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåfør
Simen Sommerfeldt
Både føre vár og etter snar
Både føre vár og etter snar
Kenneth Gulbrandsøy
2020-02-05 - Karabin frokostmøte: Maskinlæring for beslutningstakere
2020-02-05 - Karabin frokostmøte: Maskinlæring for beslutningstakere
Karabin AS
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?
Marie Elisabeth Gaup Moe
IT-Drift
IT-Drift
Per Arne Godejord
Hvordan du som gründer kan hente ut potensialet innenfor IoT
Hvordan du som gründer kan hente ut potensialet innenfor IoT
Simen Sommerfeldt
EDAG i skyene
EDAG i skyene
Flemming Ottosen
Pc Ware Datasenter LøSninger 2009
Pc Ware Datasenter LøSninger 2009
siggen64
3 år med forenkling og framtidsretting hos skatteetaten
3 år med forenkling og framtidsretting hos skatteetaten
Tormod Varhaugvik
Innføring av A-ordningen
Innføring av A-ordningen
Skatteetaten
Micr0402 Produktark Bi V2 2
Micr0402 Produktark Bi V2 2
Microsoft Norge AS
Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5
Kristian Hjelseth
20210428 dnd medlemsmøte-api_testing_sb1
20210428 dnd medlemsmøte-api_testing_sb1
Minh Nguyen
Ähnlich wie Måling og visualisering av informasjonssikkerhet
(20)
Asp norge
Asp norge
Sikkerhetstilstanden i norske virksomheter – og forventninger til nettskyen. ...
Sikkerhetstilstanden i norske virksomheter – og forventninger til nettskyen. ...
Du må satse for å vinne!
Du må satse for å vinne!
20150318- Internet of Things - Hype eller revolusjon FINAL
20150318- Internet of Things - Hype eller revolusjon FINAL
Internet of things - hype eller revolusjon
Internet of things - hype eller revolusjon
Webanalyse og rapportering
Webanalyse og rapportering
Teknologitrender som vil påvirke fremtidens ledelse
Teknologitrender som vil påvirke fremtidens ledelse
It driftsperson fra mekaniker til kartleser og sjåfør
It driftsperson fra mekaniker til kartleser og sjåfør
Både føre vár og etter snar
Både føre vár og etter snar
2020-02-05 - Karabin frokostmøte: Maskinlæring for beslutningstakere
2020-02-05 - Karabin frokostmøte: Maskinlæring for beslutningstakere
Software Security: Hvordan bygge sikre systemer?
Software Security: Hvordan bygge sikre systemer?
IT-Drift
IT-Drift
Hvordan du som gründer kan hente ut potensialet innenfor IoT
Hvordan du som gründer kan hente ut potensialet innenfor IoT
EDAG i skyene
EDAG i skyene
Pc Ware Datasenter LøSninger 2009
Pc Ware Datasenter LøSninger 2009
3 år med forenkling og framtidsretting hos skatteetaten
3 år med forenkling og framtidsretting hos skatteetaten
Innføring av A-ordningen
Innføring av A-ordningen
Micr0402 Produktark Bi V2 2
Micr0402 Produktark Bi V2 2
Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5
20210428 dnd medlemsmøte-api_testing_sb1
20210428 dnd medlemsmøte-api_testing_sb1
Mehr von Transcendent Group
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Transcendent Group
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Transcendent Group
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Transcendent Group
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Transcendent Group
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Transcendent Group
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Transcendent Group
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
Transcendent Group
Kravställning för grc systemstöd
Kravställning för grc systemstöd
Transcendent Group
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Transcendent Group
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
Mehr von Transcendent Group
(14)
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
Kravställning för grc systemstöd
Kravställning för grc systemstöd
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Måling og visualisering av informasjonssikkerhet
1.
Måling og visualisering av
informasjonssikkerhet Carsten Maartmann-Moe 14.09.2015, ISF Høstkonferansen 2015
2.
Hos Transcendent Group
møter du erfarne konsulenter innen governance, risk and compliance. Våre tjenester skaper trygghet og muligheter for myndigheter, offentlige og private selskaper og organisasjoner innen en rekke ulike bransjer. Les mer om oss på www.transcendentgroup.com Om selskapet ©TranscendentGroupNorgeAS2015
3.
Jeg kommer ikke
til å snakke om IT- sikkerhet og dashboards ©TranscendentGroupNorgeAS2015
4.
Hvorfor skal vi
måle? ©TranscendentGroupNorgeAS2015
5.
Hvordan måler man
noe som er uhåndgripelig og ikke kvantifiserbart? Måling av ROI innenfor informasjonssikkerhet er vanskelig: • Hvor mye sparer du i unngåtte sikkerhetshendelser? • Må du motregne dette mot tap av brukervennlighet som følge av innførte sikkerhetstiltak? • Får vi virkelig verdi av verktøy X før vi har bemanning til å fikse rotårsakene til problemene vi opplever? ©TranscendentGroupNorgeAS2015
6.
Sikkerhet er en
prosess – men det finnes dårlige prosesser Ignoranse Har jeg et problem? Ja, verktøy fra leveran-dør X sier det Panikk “Fiks” problemet ©TranscendentGroupNorgeAS2015
7.
Hva skal målingen(e)
besvare? • Hvor vi har problemer / om ting fungerer som det skal? • Om vi klarer å endre adferd? • Statistikk? • Compliance? ©TranscendentGroupNorgeAS2015
8.
Hvordan skal vi
kommunisere resultater? ©TranscendentGroupNorgeAS2015
9.
Metric definition: Email
encryption adoption rate Justification: Measures the ROI of the [removed] email encryption solution. Description % emails sent encrypted, grouped on internal, external and total Type Compliance and implementation Frequency Monthly Formula # emails encrypted per month / total email volume per month * 100 Audience/customer [Client org. unit] Responsible party [Client resources responsible for measurement] Data source [removed] Email Encryption and Exchange Target type Higher is better Target Steady increase in adoption ISO 27k ref. 10.1 Cryptographic controls Comments and notes Scripting needed to pull data automatically, estimated to 8 hours. ©TranscendentGroupNorgeAS2015
10.
Eksempler på målinger ©TranscendentGroupNorgeAS2015
11.
Hva skjer: antall
sikkerhetshendelser 3 5 8 4 5 3 0 1 2 3 4 5 6 7 8 9 Q2-12 Q3-12 Q4-12 Q2-13 Q3-13 Q4-13 ©TranscendentGroupNorgeAS2015
12.
Trend: # medium+high
sårbarheter i Internett-eksponerte systemer 2,3 1,4 1,4 2,4 1,8 0,8 0,6 0,0 0,5 1,0 1,5 2,0 2,5 0 5 10 15 20 25 30 35 40 45 50 Medium+Highsårbarheterpersystem Antallsårbarheter Low Medium High M+H vulns. per system ©TranscendentGroupNorgeAS2015
13.
Asia Usikkerhet: risikostatus fordelt
per region EU USA Operations IT HR Compliance Marked og salg Marked og salg Operations HR IT Compliance Størrelsen av firkantene representerer antall systemer hver forretningsenhet. Fargen indiker risiko og usikkerhet (rød = dårlig, grønn = bra, grå = vi vet ikke ennå) HR Marked og salg Operations Compliance ©TranscendentGroupNorgeAS2015
14.
Bruke målinger til
å trigge endring ©TranscendentGroupNorgeAS2015
15.
Passord Passordstyrke er en
av de viktigste sikkerhetstiltakene Men vi vet at å bruke sterke passord ikke er lett: • Det er ikke lett å lage sterke passord • Det er ikke lett å huske på passord • Det finnes få enterprise-ready løsninger som fjerner behovet for passord • Regler om kompleksitet og passordbytte bidrar til at brukere velger svake passord (“passordsyken”) ©TranscendentGroupNorgeAS2015
16.
Måling av ISF-deltagere ©TranscendentGroupNorgeAS2015
17.
Måling – resultat 0% 20% 40% 60% 80% 100% Har
ett sterkt passord på jobben Tror den gjennomsnittlige kollegaen har ett sterkt passord på jobben Tror [teknisk utfordret person] har ett sterkt passord jobben ISF Vanlige mennesker ©TranscendentGroupNorgeAS2015
18.
Passordbytte er ment
å minimere skade • Tanken er at hvis man bytter passord ofte, så minimerer man tiden en angriper har disponibel til å utnytte det kompromitterte passordet. • Hvis policyen din er å bytte hver 90. dag, sier du egentlig at det er akseptabelt at en angriper kan benytte kompromittert ett passord i 45 dager. Statistisk sannsynlig tidspunkt for kompromittering av passord 90dager 45dager ©TranscendentGroupNorgeAS2015
19.
Men: Forskning viser
at passordbytter ikke virker “To be economically justifiable, time spent by computer users changing passwords should yield $16 billion in annual savings from averted harm.” Microsoft: So long, and no thanks for the externalities: The rational rejection of security advice by users (2010) “[…] our evidence suggests it may be appropriate to do away with password expiration altogether, perhaps as a concession while requiring users to invest the effort to select a significantly stronger password than they would otherwise (e.g., a much longer passphrase).” Yinqian Zhang: The security of modern password expiration: An algorithmic framework and empirical analysis (ACM CCS 2010) ©TranscendentGroupNorgeAS2015
20.
Passordbytte virker også mot
sin hensikt Hvor mange av dere har et «system» for å lage nye passord? ©TranscendentGroupNorgeAS2015
21.
Passordbytte koster samfunnet Mørketallsundersøkelsen
2014 estimerer at man på grunn av datakriminalitet i Norge taper. 19 MrdNOK årlig (19 000 000 000) Passordbytte: Hvis 2,7 millioner nordmenn i arbeid* bruker 1 time totalt årlig @ ca. 500 NOK* i verdiskapning i timen så er det. 1,35 MrdNOK årlig i tapt verdiskapning (1 350 000 000) *) Kilder: 2015, Sintef og SSB ©TranscendentGroupNorgeAS2015
22.
Vi ønsker å
måle passordstyrken Hvor sterke passord de ansatte lager er en god indikator, og svarer blant annet på følgende spørsmål: • Skjønner mine ansatte kommunikasjonsmaterialet rundt passord som er en del av awareness-kampanjen? • Endrer de oppførsel (lager de sterke passord)? • Fungerer de tekniske passordkontrollene som skal sikre ett sterkt passord? ©TranscendentGroupNorgeAS2015
23.
Så hva planlegger
vi å gjøre? • Fjerne policyen om at alle må bytte passord hver 90. dag • Hver 90. dag trekker vi ut krypterte passord fra AD, og forsøker å knekke dem • De passordene vi knekker vil vi resette (på samme måte som før, dvs. at brukeren får 14 dager på seg) • Vi vil inkludere informasjon som gjør det enkelt for brukerne å forstå hvordan de lager ett sterkt passord som er enkelt å huske • Så lenge du har ett passord som du aldri må bytte håper vi at dette vil gjøre det enklere å huske • Vi vil måle fremgangen kontinuerlig ©TranscendentGroupNorgeAS2015
24.
Hvordan kommuniserer vi
det? • Vi jobber kontinuerlig med å forbedre sikkerheten og gjøre det enklere for alle ansatte i [navn] • Som en del av dette arbeidet har vi identifisert at kravet om passordbytte hver 90. dag tar uhensiktsmessig mye av ansattes tid og ikke har noen positiv effekt på sikkerheten • Derfor har vi vedtatt at de som lager sterke passord slipper å bytte passord i fremtiden • Vi kommer til å teste passordene deres med jevne mellomrom • Dersom du har et svakt passord må du fortsette å bytte passord hver 90. dag, på samme måte som i dag • Dersom du lager et sterkt passord trenger du aldri bytte passord igjen ©TranscendentGroupNorgeAS2015
25.
Hvordan måler vi
det og hva slags resultater forventer vi? Måling: • Vesentlig forbedring i passordkvalitet • Konkret og målbar forbedring av sikkerheten Resultater: • Reduserte kostnader: passordbytte, glemte passord (support) • Økt tilfredshet hos ansatte 80% Tid Tid Passord cracket Kostnad passordbytte ©TranscendentGroupNorgeAS2015
26.
Metric definition: Password
strength Justification: Password strength has great impact on overall security, and measures user’s behaviour and awareness of [Client] governance and policies. Can be used to drive positive change*. Description % of Microsoft AD passwords cracked within a 24-hour timeframe, separated on regular users and system administrators Type Impact Frequency Quarterly Formula Number of passwords cracked / total number of user accounts * 100 Audience/customer [Client org unit] Responsible party [Client resources] Data source Microsoft AD Target type Lower is better Target 10 % on regular users, 0 % on system administrators ISO 27k ref. 9.4 System and application access control Comments and notes Development and deployment needed to pull & analyze data, estimated to [#] hours. *) Metric has to be implemented together with governance and communication activities, see page [ref] ©TranscendentGroupNorgeAS2015
27.
Oppsummering ©TranscendentGroupNorgeAS2015
28.
Oppsummering • Bruk målinger
aktivt til å forbedre hvordan dere jobber med informasjonssikkerhet • Visualiser målingene for å understreke problemer, risiko eller usikkerhet ©TranscendentGroupNorgeAS2015
29.
Vanlige problemer og
potensielle løsninger • Målingen viser at det vi gjør har liten effekt: Bra – presenter resultatet og revurder det du gjør! • Manglende automatisering: Start manuelt og med et par målinger, fortsett å automatisere over tid samtidig som du ruller på nye målinger • Målingen svarer ikke på spørsmålet «hvor sikker er jeg?»: Ikke alene, men sammen med de andre målingene så viser den at vi forbedrer oss • «Informasjonen er for teknisk for ledelsen»: Dersom du klarer å fremstille den riktig så vil du finne at det er få andre i virksomheten som er bedre rustet til å takle kompleksitet enn ledelsen ©TranscendentGroupNorgeAS2015
30.
www.transcendentgroup.com
Jetzt herunterladen