Gjennomgående vurderinger for god IKT-sikkerhet

Publisert: 28.08.2017 | Sist endret: 29.08.2017

Beslutt tjenestemodell

Ved en tjenesteutsetting bør det som et minimum stilles krav til leverandøren om å ha:
- Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017
- Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten.
- Utvikling av sikkerheten i tjenesteproduksjonen og hos leverandøren, i tråd med utvikling i teknologi og trusselbildet over tid.
- En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder.
- Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk og logisk sikkerhet.
- Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører.
- Rutiner for hendelseshåndtering, avviks- og sikkerhetsrapportering.
- Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
- At bruk av underleverandører og deres bruk av underleverandører skal godkjennes før iverksetting.
- Hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon.

Offentlige og private virksomheter ser på IKT og bruken av IKT som en viktig del av virksomheten og realisering av dens strategi. Samtidig har de sett at kostnader, ressursbruk og den generelle avhengigheten til leveranse av IKT-tjenester er økende. Det er derfor et økende fokus på hvordan IKT-området utvikles og hvordan IKT-tjenestene kan leveres, og for mange er konklusjonen å kjøpe dette av en leverandør. Med tjenesteutsetting menes her at virksomheten velger å anskaffe «varer eller tjenester» fra en ekstern leverandør i stedet for å levere den selv. Dette kan også gjelde kjøp av nye tjenester som skal integreres i IKT-infrastrukturen. Anskaffelse av skybaserte tjenester inngår i denne definisjonen.

Økt behov for sikkerhet medfører også at mange virksomheter, spesielt de med små IT-miljøer, vil ha utfordringer med å implementere mange av sikringstiltakene. For disse aktørene kan ofte løsningen være å sette ut hele eller deler av driften. Dette gir en endring av leveransemodellen og dermed en endring av risikovurderingen for det som tjenesteutsettes.

Virksomheten må sørge for at sikkerhetsnivået opprettholdes eller forbedres i forbindelse med tjenesteutsetting. Kravene til sikring av tjenester satt ut til tredjepart vil i prinsippet ikke være annerledes enn når de leveres av virksomheten selv. De samme kravene må innfris og må reguleres i kontrakter, følges opp og kontrolleres, slik at de ivaretas av tjenesteleverandøren. De tjenester som settes ut må også inkluderes i den resterende porteføljen til virksomheten. Virksomheten må etablere en helhetlig arkitektur og må forstå hvilke funksjoner i det totale systemet som ivaretas hvor i arkitekturen og av hvem.

I realiteten vil virksomheter møte kommersielt attraktive og til dels sterke, dominerende tjenesteleverandører som i liten grad er villige til å gi tilstrekkelig transparens til å verifisere samsvar med regelverk og anbefalinger.
Der kravene ikke oppnås vil virksomheten ha en risiko og virksomheten må vurdere eventuelle kompenserende tiltak, eller hvorvidt tjenesten faktisk skal settes ut.

Når en virksomhet velger å sette ut leveranser er det viktig å kartlegge hvilke lover, krav og regler som gjelder for egen virksomhet både nasjonalt og internasjonalt. Virksomheten bør kartlegge hvilke verdier som eksponeres ved tjenesteutsetting, og vurdere dette opp mot behovet for konfidensialitet, integritet og tilgjengelighet. Virksomheter bør utarbeide et detaljert kravdokument som dekker tjenesteleveransen og alle faser av tjenesteutsettingen det vil si anskaffelsen, forvaltning og driftsfasen samt ved terminering av kontrakten. Det er viktig å være klar over at utsetting av IKT-tjenester ikke bare har en merkantil dimensjon. Alle i virksomheten som påvirkes av utsettingen, må inkluderes både under anskaffelse, i driftsperioden og ved terminering. Det avgjørende er likevel at grunnprinsippene bør følges, uavhengig av om tjenesten leveres internt eller av en tjenesteleverandør.

Sentraliser og automatiser drift og forvaltning

Kompleksiteten i IKT-systemer kombinert med et uoversiktlig trusselbilde, utfordrer forvaltningen av disse. Nye sårbarheter utvikles kontinuerlig, og tiden det tar fra en sårbarhet oppdages til den utnyttes reduseres. Ofte er det bare timer fra en sikkerhetsoppdatering slippes fra en leverandør, til det første angrepet oppdages hos NSM NorCERT. Samtidig må virksomheter holde tritt med den teknologiske utviklingen. Utstyr må byttes ut, nye leverandører må få tilgang og de ansatte ønsker å benytte den siste teknologien og knytte den mot virksomhetens nettverk og tjenester. En forsvarlig livsløpsforvaltning av IKT-porteføljen forutsetter at virksomheter må automatisere og sentralisere drift og forvaltning av IKT-systemer. En effektiv utøvelse av dette vil kreve konsistent, sentralisert og automatisert drift av virksomhetens IKT-systemer. Det holder ikke bare å anskaffe utstyret, det må også legges en plan for hvordan det skal håndteres gjennom levetiden, og hvordan og når det skal erstattes.

Helhetlig forvaltning av IKT og IKT-sikkerhet innebærer blant annet bruk av løsninger hvor man gjenbruker sikkerhetsmekanismer på tvers av ulike plattformer, tjenester og applikasjoner. Det kan ofte være et problem at budsjetter ikke tar høyde for at enheter må skiftes ut, at det trengs personell for å drifte et stadig mer automatisert og komplekst system og at man må følge med på hvilke sårbarheter som må håndteres.