Informasjon er etter hvert blitt en av de mest sentrale verdiene i de fleste virksomheter. Man er avhengig av tilgang til og beskyttelse av regnskapsdata, kundedata, teknisk dokumentasjon, prosessbeskrivelser, osv. Man er også avhengig av systemer for å kommunisere og dele informasjon. Dette gjør informasjonssikkerhet til en essensiell oppgave. Likevel kan det være utfordrende for de med informasjonssikkerhetsansvar å vise hva deres arbeid bidrar med for virksomheten, og om sikkerhetsarbeidet drives på en effektiv måte.
For de som er opptatt av å følge sikkerhetsstandarden ISO 27001, er det et krav om å gjennomføre måling for blant annet å kunne vurdere om sikkerhetsaktivitetene blir utført etter hensikten, om sikkerhetstiltakene er virkningsfulle og om styringen av sikkerhetsarbeidet er effektiv. Men hvordan bør man egentlig gå frem når man skal måle, og hvilke ressurser kan være til hjelp i arbeidet?
Litt forenklet kan man si at det finnes to hovedangrepsvinkler til måling. Den første kan karakteriseres som “bottom-up” i at man måler det som er lett å måle, og ser hvor langt man kommer med det. Den alternative vinklingen er “top-down” der man starter sikkerhetsmålingene med å definere hva man ønsker å oppnå med å måle (hvilket spørsmål ønsker man å finne svar på) og så velger indikatorer som støtter opp under det. Det skulle vel være unødvendig å påpeke at det er “top-down”-måten å gjøre det på som anbefales i litteratur og standarder på området. Men hvordan er det i praksis?
Jeg kjenner ikke til noen ferske undersøkelser av hvilke indikatorer som er mest brukt, men i en undersøkelse fra 2006 ble det vist at den indikatoren som oftest ble rapportert til ledelsen var hvor mange informasjonssikkerhetshendelser det hadde vært i den siste perioden. Dette er informasjon det er forholdsvis enkelt å skaffe til veie, men er det nyttig informasjon for ledelsen? Som mål på hvor god sikkerheten er, er ‘antall hendelser’ noe tvetydig. En økning i antall hendelser kan indikere dårligere sikkerhet, men det kan også vise endringer i trusselnivået, eller høyere grad av bevissthet hos ansatte ved at flere sikkerhetsproblemer blir rapportert. Antall hendelser er også forholdsvis ubrukelig som mål, uten at man vet noe om hvilke konsekvenser hendelsene hadde. Mange små hendelser er kanskje ikke så nøye, mens mange store hendelser er noe helt annet. ‘Antall hendelser’ kan imidlertid være et relevant mål for å kunne styre ressurser til hendelseshåndteringsarbeidet, men også her er det nødvendig med mer informasjon, for eksempel om hvor mye arbeidstid som går med per hendelse.
Du skjønner kanskje hvor det bærer… Måling er viktig for å forstå hvordan sikkerheten er og hvordan sikkerhetsarbeidet drives – og slik kunnskap er nødvendig for å drive informasjonssikkerhetsarbeidet videre. Men det er også viktig å være kritisk til det målearbeidet man gjør:
- Hva ønsker vi at målingene skal gi svar på?
- Samler vi inn de riktige dataene?
- Bruker vi det vi har samlet?
- Er vi beredt til å la indikatorene og analysen av dem påvirke beslutningsprosessene?
For de som ønsker å begynne med måling relatert til sikkerhet, eller forbedre sine eksisterende målinger, finnes det mange ressurser å starte med. Det finnes en hovedstandard på området, ISO/IEC 27004, og i tillegg har NIST en guide på temaet (NIST SP 800-55). I disse dokumentene finnes det hjelp til å sette opp et program for å måle sikkerhet. De motiverer bruk av måling, beskriver viktige roller og prosesser, kommer med maler for å dokumentere indikatorene, og gir også noen få eksempler på indikatorer som kan være relevante. Det finnes også et stort utvalg av bøker, artikler og rapporter på temaet. I mylderet som er der ute har jeg lyst til å fremheve følgende ressurser:
- The Center for Internet Security publiserte i 2009 (oppdatert i 2010) en katalog over sikkerhetsindikatorer. Disse har blitt til ved at hundre eksperter ble enige om et sett av standardmål for sikkerhet.
- The Corporate Information Security Working Group utga i 2004 (oppdatert i 2005) en rapport med totalt 99 indikatorer strukturert etter sikkerhetsmål og hvem som er ansvarlig for disse.
- The Metrics Catalog Project tilbyr en online katalog over sikkerhetsindikatorer.
Disse ressursene tilbyr sammen en stor mengde av indikatorer som kan brukes som inspirasjon i eget arbeid. Det er imidlertid viktig å fokusere på eget behov, og det kan nok ofte være lurt å starte i det små og så heller utvide med flere indikatorer etter hvert.
På SINTEF har vi nå et forskningsprosjekt der vi blant annet skal forske på indikatorer knyttet til håndtering av informasjonssikkerhetshendelser. I den sammenheng vil vi studere indikatorer som kan brukes som tidlig varsling av problemer, og også indikatorer som måler kvalitet på hendelseshåndteringen i etterkant.