Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed

Lignende præsentationer


Præsentationer af emnet: "IT Arkitektur og Sikkerhed"— Præsentationens transcript:

1 IT Arkitektur og Sikkerhed
Risiko vurdering og vurdering af IT sikkerheds løsninger

2 Indhold Risiko analyse Opgave Vurdering af sikkerhedsløsninger
Gennemgang af ROI case Gruppe opgaver

3 Risiko analyse Risiko Analyse er midlet til:
Begrunde IT sikkerhedskost Styre IT sikkerhed i en virksomhed Vise at man har ”styr” på tingene (compliance)

4 Risiko analyse typer Der er grundlæggende to typer risiko analyser:
Kvalitativ Kvantitativ Kvalitativ er kendetegnet ved at den ikke bruger tal og kroner/øre og typisk behandler scenarier. Kvantitativ søger at bruge kroner/øre samt sandsynlighed til at finde ud af hvor tit ting sker, hvad det koster og hvad kontroller koster i ration til risikoen.

5 Kvalitativ risiko analyse
Hvordan findes risk? Interview med eksperter - brug af “Delphi” teknikker Brainstorming Gruppe arbejde typisk

6 Identifying Qualitative Risks
Expert Interviews Wideband Delphi Technique Brainstorming Nominal Group Technique Affinity Diagram Analogy Techniques Wideband Delphi – group of experts meet to discuss risks; the coordinator formulates the problem and distributes to experts in the filed. The coordinator creates a scale to rank opinions and send the scale to experts. The experts create their list separately and they only know their position. The coordinator combines results and than everyone meets to discuss results – the experts lave and univocally resubmit changes. Process is repeat several times. Nominal Group Technique (NGT) each member of a small group (6-12) writes down what he or she thinks are the major issues. First person reads off one item form their list and item is recorded on a pad. Next person does the same and this continues in order until all lists are exhausted. Each member privately ranks the results and they are tabulated into one final ranked list. Builds on brainstorming, NGT. Identify all risks and look for commonalty and break those into major sub categories that are controllable.

7 Kvalitativ risiko matrix

8 Eksempel MEDIUM HIGH HIGH RISK LOW RISK MEDIUM LOW 12 0%  100% 4  
Hostage / Kidnap Strike / Walkout Hostile Takeover Tornado Chemical Spill / Contamination Class Action Lawsuit Loss of IT / Virus Media Investigation MEDIUM HIGH HIGH RISK Major Explosion Employee Violence Breach IT Security Major Electrical Storm Civil Unrest Ice Storm Major Fire Blizzard Terrorism Industrial Espionage 0%  Sabotage Comm. Disease Neighbor Issue 100% Flood Suicide Telecomm Failure. Management Issues LOW RISK MEDIUM LOW Protesters Injury / Death Accusation / Libel / Slander Maj. Operator Error Bomb Threat Equipment Malfunc. Power Failure Organized Crime Bribery / Extortion Security Breach Child Care Incident Transportation Incident Fog Minor Explosion 4

9 Kvalitativ risiko analyse opsummering
Fordele Simpel at forstå og lave Giver en generel og hurtig opsummering af hvilke områder der bør behandles Ulemper Er svær at lave konsistent Er meget subjektiv i både indhold og måling Giver ikke en cost/benefit analyse

10 Steps i en kvantitativ risiko analyse
Mange svar… Her bruger vi Pfleeger: Identify Assets Determine vulnaribility (threat agent) Estimate likelihood of exploration (ARO) Compute Expected annual loss (ALE) Survey applicable controls and their cost Project annual savings of control

11 Risiko analyse step 1 og 2 Første to step var:
Identify Assets Determine vulnaribility (threat agent) Gøres nemt i skema (tavle) Hvor en threat agent møder en asset har vi et ”noget” vi skal tage stilling til Det gøres i step 3

12 Step 3 - Estimate likelihood of exploration (ARO)
ARO er vigtigt at forstå ARO står for ”Annual Rate of Occurrence” Hvor tit sker det (pr. år) Sandsynlighed for at en event vil ske Hvis en ting sker en gang hvert 10. år er ARO = 0,1 Hvis en event sker 20 gange om året er ARO = 20

13 Step 4 - Compute Expected annual loss (ALE)
ALE står for ”Annual Loss Expectancy” ALE er et af de vigtigste tal i en risiko analyse ALE beregnes som SLE x ARO ARO kender vi men hvad med SLE?

14 Step 4 – SLE SLE Står for ”Single Loss Expectancy”
SLE beregnes som ”Asset Value” x ”Exposure Factor (EF)” Asset Value kan vi godt relatere til men hvad med EF?

15 Step 4 - EF Exposure Factor = ”Percentage of asset loss caused by identified threat” Går fra 0 til 100% Eksempel: Asset = Web Site, Defaced web site = ??? Asset = Kildekode, Kildekoden stjålet = ???

16 Step 5 - Survey applicable controls and their cost
Nu ved vi hvad det koster. Nu kan vi kigge på hvor meget vi bruger på at forebygge. Beregnes som ”årlig omkostning for kontrol” x ”effektivitet” Brandalarm eksempel: kr x 95% = kr

17 Step 6 - Project annual savings of control
= Step 4 – step 5 Altså: ALE + (årlig omkostning til kontrol x effektivitet)

18 Kvantitativ risiko analyse opsummering
Fordele Bruger sandsynlighed Udtrykker i kroner/øre God til behandling af/med management Ulemper Unøjagtig Kan give falske værdier og tryghed Ofte stort arbejde da mange data skal opsamles og behandles

19 Eksempel

20 Og så… Vurdering af sikkerhedsløsninger


Download ppt "IT Arkitektur og Sikkerhed"

Lignende præsentationer


Annoncer fra Google