Security Incident handling and reporting - a study of the difference between theory and practice
Abstract
NORSK:
Private bedrifter og offentlige institusjoner er i stadig sterkere grad avhengig av
pålitelige og sikre Informasjon og Kommunikasjons Teknologi (IKT) løsninger.
Økning i ”business to business” samt ”business to consumer” fremtvinger en økt
tilgjengelighet inn mot organisasjonenes IKT systemer. En rask vekst i antall
brukere på Internett, økt båndbredde og økt IKT kompetanse hos brukerne (også
kunnskap om hvordan de bryter sikkerhetsmekanismer) gir større utfordringer
knyttet til å ivareta sikkerheten i løsningene som tilgjengliggjøres på Internett.
Dette gjelder i høyeste grad i organisasjonenes interne nett. I denne komplekse
settingen vil det fra tid til annen oppstå sikkerhetshendelser. Dette er hendelser
som på en eller annen måte utnytter svakheter i systemer, tjenester eller
programmer slik at det medfører brudd på enten konfidensialitet, integritet eller
tilgjengelighet. Det er gjennom litteratur, medieoppslag og i forskjellige IKT og
sikkerhetsutdanninger mange teoretiske tilnærminger til hvordan man skal
håndtere slike sikkerhetshendelser og rapportere disse. Imidlertid er det lite kjent
hvordan dette skjer i praksis og hvor effektivt bedrifter og institusjoner ivaretar
sine sikkerhetshendelser. Det er også uvisst hvordan forskjellige bedrifter og
offentlige institusjoner definerer hva som er en sikkerhetshendelse. Hvordan
håndterer så de forskjellige organisasjoner en sikkerhetshendelse?
- Er sikkerhetshendelser definert slik at man vet når de har inntruffet?
- Er det rutiner for hvordan en sikkerhetshendelse skal håndteres?
- Er det rapporteringsrutiner som fungerer slik at de som skal ivareta
sikkerhetshendelsen blir varslet?
- Er det forskjell på hvordan offentlig institusjoner og private bedrifter
håndterer sikkerhetshendelser.
Vi har gjort en undersøkelse blant norske bedrifter og offentlige institusjoner for å
finne svarene på disse spørsmålene. Sikkerhetsledere og andre som jobber med
sikkerhet har svart på et spørreskjema som berører disse temaene.
For å kunne gi svar på om man har håndteringsmekanismer på plass har vi også
utviklet sikkerhetsmetrikker som kan brukes for å verifisere dette. Slike
metrikker kan brukes internt som oppfølgingsverktøy eller som målepunkter mot
outsourcingsleverandører og tredjeparter.
Gjennom svarene i spørreundersøkelsen ser vi en klar forskjell på hvordan
offentlige og private organisasjoner håndterer sikkerhetshendelser. De offentlige
organisasjonene har større mangler på sin hendelseshåndtering når det gjelder
policynivå, opplæring og praksis i forhold til hvordan sikkerhetshendelser
håndteres i private organisasjoner. Ser vi samlet på organisasjonene er det også
for de private organisasjoner rom for forbedringer, spesielt knyttet til
rapportering, opplæring og statistikk knyttet til hvor mange hendelser som blir
rapportert. ENGELSK:
Increasingly private companies and public institutions are more dependent on
reliable and secure Information and Communication Technology (ICT) solutions.
The increase in business to business and business to consumer handling has
forced an increased level of availability against the organisation's ICT systems. In
addition, the fast growth in the number of Internet users, increased broadband
and increased ICT expertise at the users (also knowledge about how security
mechanisms are breached) present considerable challenges related to maintaining
security in the solutions that are available on the Internet. This also applies to a
great extent to the organisation's internal network. With a background as
complex as this, security incidents occur from time to time. These are incidents,
which in one way or another exploit weaknesses in systems, services or programs
so that this causes a breach either of confidentiality, availability or integrity.
Through literature, media, ICT and security education many theoretical
approaches have emerged for how to handle such security incidents and how to
report them. However, very little is known about what happens in practice and
how efficiently companies and institutions see to their security incidents. It is
also uncertain how different companies and institutions define what constitutes a
security incident. So how do different organisations handle a security incident?
- Are security routines defined so that one knows when an incident has
occurred?
- Are there routines for how a security incident shall be handled?
- Are there reporting routines that function so that those seeing to security
incidents are notified?
· Is there a difference in how public institutions and private companies
handle security incidents?
We have conducted a survey of Norwegian companies and public institutions to
find answers to these questions. Security managers and others working with
security have responded to a survey concerning these matters.
To be able to give correct answers on the level of handling security incidents, we
have also developed security metrics that can be used to verify this. These metrics
can be used internally or as measuring points towards suppliers, contractors,
third party or outsourcing vendors.
Through the answers from the survey, we see a difference in how public and
private organisations handle their security incidents. The public organisations
have shortcomings in the way they handle security incidents such as policy level,
training and practice, compared to how private organisations handle their security
incidents. If we look at the organisations gathered, we can also find room for
improvements in the private domain, especially connected to reporting, training
and statistics regarding the number of reported security incidents.