Kan man måle it-sikkerhed?

BLOG: Sikkerhedsfolk mangler konkret viden om sikkerhedsniveauet i deres organisationer, og ledelsen ser ofte it-sikkerhed som en unødvendig omkostning og de sikkerhedsansvarlige som uforståelige marsmænd. Målinger af sikkerheden kan hjælpe.
Skrevet i It-sikkerhed


Af Carsten Jørgensen (3) Send e-mail
Publiceret d. 31. oktober 2007 kl. 10.05 | Antal kommentarer (3)
Send Tip en ven Print Udskriv


 
ANNONCE:
Mange sikkerhedsfolk mangler konkret viden om trusler og sårbarheder, hævdede jeg i "Ved sikkerhedsfolk, hvad de taler om?". Samtidig er det ekstremt svært for sikkerhedsfolk at kommunikere effekten af IT-sikkerhed til en ledelse, der ofte ikke er interesseret i it.

It-sikkerheden opfattes typisk som "god", hvis der ikke sker sikkerhedshændelser. Dvs. for ledelsen er det umiddelbart det samme, om sikkerheden er optimal eller man bare ikke har været udsat for angreb. Det er derfor svært at kommunikere, at man gør et godt arbejde som sikkerhedsansvarlig eller forklare, at der er et reelt behov for yderligere ressourcer til sikkerhedsarbejdet for at undgå potentielle udgifter i fremtiden.

Nøgletal
Man er nødt til at have konkrete tal om it-sikkerheden at forholde sig til, og man nødt til at kommunikere de centrale tal til de relevante personer i organisationen på en klar og overskuelig måde. Og det er hér, "security metrics" eller "sikkerhedsmetrikker" er et nyt, men ekstremt effektivt værktøj.

Ideen er helt enkelt løbende at måle udvalgte sikkerhedsaktiviteter og resultater med henblik på at skabe grundlaget for beslutninger og klare mål for it-sikkerheden.

Metrikker bliver brugt som et helt grundlæggende element indenfor bl.a. ITIL og COBIT, mens it-sikkerhed traditionelt har været opfattet som et særligt kompliceret område, der ikke kan måles.
Det er selvfølgelig forkert. Det er umuligt at måle på forhånd, om der kommer en ny 0-day i Word, men man kan sagtens måle, om kritiske sikkerhedsopdateringer rulles ud tilstrækkeligt hurtigt på alle sites - eller om hovedparten af virusinfektioner kommer fra salgsafdelingen i København eller fra teknikerne i Odense.

For mange andre i it-branchen (og de fleste andre brancher) lyder det som en selvfølge, at man måler udvalgte aktiviteter. Men den type data, vi typisk har haft adgang til indenfor it-sikkerhed, har været nærmest intetsigende, f.eks. "antal virus blokeret af anti-virus systemet" eller "antal angreb blokeret af firewall'en".
Det eneste, den type tal fortæller, er, at 'det er da heldigt at vi har en firewall og et anti-virus system, for vi bliver angrebet ligesom alle andre'. Men de siger *intet* om konsekvenserne, og de giver intet grundlag for beslutninger.
SecurityMetrics1
Metrikkerne kan vise effektiviteten af- og sammenhænge mellem f.eks. brug af ressourcer, procedurer og produkter.
Illustrationen ovenfor kan således bruges på flere måder. Dels kan den bruges som udgangspunkt for at undersøge, hvad der gøres forskelligt på Site A og B, men den kan også bruges til at undersøge, om stigningen af inficerede maskiner på Site A stammer fra stigningen i maskiner med manglende opdateringer, eller om folk havde så travlt med at bekæmpe virus udbrud, at de ikke har haft mulighed for - eller ressourcer til - også at patche maskinerne.

Nøgletallene kan bl.a. danne udgangspunkt for forbedringer af sikkerheden i driften, dokumentation for it-sikkerhedsafdelingens arbejde, grundlag for ledelsesbeslutninger - og samtidig fungere som stærk dokumentation for intern og ekstern it-revision.

Flere typer metrikker
Metrikker kan baseres på mange forskellige kilder. Logfiler og statistik fra antivirus software er oplagte, men der kan også være vigtig relevant information i f.eks. sårbarhedscanninger, incident tickets fra Servicedesk, HR, change dokumentationen eller fra interne spørgeskema undersøgelser.

Når man beslutter, hvad man vil måle på, bør man være opmærksom på, at der er to grundlæggende typer sikkerhedsmetrikker: måling af effektivitet og måling af efterlevelse. Begge kan være effektive, men har forskelligt fokus.

Måling af effektivitet er resultat-baserede metrikker: "antal inficerede arbejdsstationer i salgsafdelingen i perioden" eller "på hvor mange enheder har test af beredskabsplaner været gennemført med tilfredsstillende resultat".

Måling af efterlevelse er mere passivt og følger, hvor mange systemer er i overensstemmelse med reglerne eller en baseline: eksempler er "antal enheder med testet beredskabsplan" og "procentdel patchede servere".

Den indsamlede information skal selvfølgelig tilpasses modtagerne. Ledelsen, it-chefen og system-ejeren har alle forskellige behov for metrikker. En vigtig del af sikkerhedsmetrikkerne er således, hvordan de metrikker, man har udvalgt, præsenteres. Det er et muligt emne for et senere blogindlæg.

Flere eksempler
"De bedste" sikkerhedsmetrikker vil være helt afhængigt af hvad behovet i organisationen er, men et par eksempler på gode sikkerhedsmetrikker kan være:

1. Antal virus inficerede maskiner, per afdeling
2. Antal virus hændelser der kræver manuel oprydning
3. Antal udgående virus
4. Spam ikke detekteret af filter i forhold til totale antal spam
5. Nedetid på kritiske systemer i perioden som følge af sikkerhedshændelser og sikkerhedsfejl
6. %-del kritiske systemer/data/funktioner med dokumenteret risikoanalyse
7. Trend i antallet af sårbarheder på kritiske systemer
8. Tid for at godkende og installerer kritiske sikkerhedsopdateringer på kritiske systemer
9. Antallet af åbne sårbarheder/issues på kritiske systemer

Nr.1 kan vise om der er områder der kræver en særlig indsats, f.eks. brugeruddannelse. Nr. 2 og 3 giver tilsammen et absolut billede af hvor effektiv anti-virus løsningen har været.
Hvis man, som i nr.4, sætter målinger i forhold til det samlede antal, i stedet for simpelthen at følge antallet, undgår man at almindelige udsvingninger påvirker mønstret over tid.
Nr. 5 er et eksempel på ledelsesrapportering, samtidig kan tallet sammenholdes med andre målinger, bliver nedetiden f.eks. højere hvis man er længere om at opdatere systemerne?

Ledelsesforståelse
Med metrikkerne bliver det pludseligt enkelt at illustrere for ledelsen hvad effekten af sikkerhedsarbejdet har været: Efter vi købte vores nye sikkerhedsdims er antallet af hændelser faldet med 11%. I Sverige anbefaler vi der afsættes yderligere ressourcer, fordi de ligger én dag over gennemsnittet for installation af kritiske sikkerhedsopdateringer.
SecurityMetrics2
Det bliver pludseligt muligt at se om sikkerheden er bedre/højere i forhold til tidligere, ledelsen kan tydeligt se hvad de får for sikkerhedsbudget, der dannes et stærkt grundlag at sætte klare mål efter og tage beslutninger udfra. Og sikkerhedsafdelingen kan skabe synlighed overfor ledelsen på en måde ledelsen kan forholde sig til direkte.

Hvis det er lykkes at skabe interesse for sikkerhedsmetrikker er nøglebogen for yderligere information "Security Metrics: Replacing Fear, Uncertainty, and Doubt" af Andrew Jaquith. God fornøjelse!

Kommentarer til blogindlæg



Stephan Engberg (nedlagt brugerprofil)
Selvfølgelig er det fint at få input på aktive angreb.

Men det er kun en lille del af sikkerheden. Og det måler på ingen måde hverken sårbarheden, risikoen eller sætter tal på konsekvenserne, når - ikke hvis - det går galt.
1. november 2007 kl. 12.05
Anmeld Besvar

Carsten Jørgensen (3)
Lidt blandede noter som svar:

Metrikker giver selvfølgelig ikke sikkerhed i sig selv (Dilbert). Metrikkerne kan give *faktisk* information om sikkerhedesniveauet og vise hvor der skal sættes ind.
Det er bare et spørgsmål om at definere de rigtige metrikker. Og det er langt fra kun aktive angreb som metrikker kan give information om.

Sikkerhedshændelser sker sjældent og kan samtidigt være katastrofale, så det er selvfølgeligt ekstremt svært at sætte tal på konsekvenserne af en hændelse. Men som Richard Bejtlich lige har skrevet - med et link til Security Metrics bogen ovenfor:
Figure out how to play and score the game before you pretend to think you can improve the score.

2. november 2007 kl. 08.57
Anmeld Besvar

idastenberg
God eftermiddag Carsten,

Dette er en interessant artikel, du skrev her. Jeg arbeider for Firebrand Training. Firebrand tilbyr klassebaserte sertifiseringskurs i IT og prosjektstyring. Vi har for nylig lanceret vores ITIL praksis eksamen, at det måske nyttigt at din hjemmeside læsere. Så lad mig vide, hvis du har brug for mere information om dette.

Ida Stenberg
ITIL Kursus
11. januar 2011 kl. 18.48
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Mere fra It-sikkerhed


Ønsker til databeskyttelsen
På en række områder har dansk lovgivning et højt niveau for databeskyttelse. Når der lægges op til yderligere harmonisering i EU opfordrer Datatilsynet til, at man fra dansk side arbejder for et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau.
3. februar 2011 kl. 13.30 | læs »



Få indblik i Stuxnet
Stuxnet-ormen har lagt Mærsk og Siemens' fabrikssystemer ned, og den er blevet udråbt til en af de værste sikkerhedstrusler i 10 år. Her kan du få et indblik i, hvordan den virker.
15. november 2010 kl. 12.39 | læs »



Mere viden er en nødvendighed
Personers ret til privatliv og databeskyttelse er grundlæggende. Det fremgår nu også af It-politisk redegørelse, at beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter. Men der er også brug for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Som eksempel omtales en konkret sag fra Datatilsynets hverdag
5. maj 2010 kl. 13.15 | læs »



Stjålne data: Helliger målet midlet?
Kan man købe stjålne data til at bekæmpe skattesnyd? Det er der stor uenighed om.
10. februar 2010 kl. 15.10 | læs »



I dag er det Databeskyttelsesdag
28. januar 2010 kl. 10.00 | læs »




It-sikkerhed







Carsten Jørgensen (3)
Carsten Jørgensen er bl.a. CISSP, CISA og CISM. Han har beskæftiget sig med sikkerhed på fuld tid siden 1999 og arbejder i dag som it-sikkerhedschef i Falck.

I sin fritid driver han hjemmesiderne CloudSecurity.dk og ComputerForensics.dk. Carsten er facilitator for Dansk-IT's kompetancenetværk for Cloud Computing og virtualisering, han underviser i it-sikkerhed på DIKU.

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

IBM Danmark fyrer 170 mand
IBM Danmark lader hovederne rulle.
Læs mere