Security Incident handling and reporting - a study of the difference between theory and practice

Abstract

NORSK: Private bedrifter og offentlige institusjoner er i stadig sterkere grad avhengig av pålitelige og sikre Informasjon og Kommunikasjons Teknologi (IKT) løsninger. Økning i ”business to business” samt ”business to consumer” fremtvinger en økt tilgjengelighet inn mot organisasjonenes IKT systemer. En rask vekst i antall brukere på Internett, økt båndbredde og økt IKT kompetanse hos brukerne (også kunnskap om hvordan de bryter sikkerhetsmekanismer) gir større utfordringer knyttet til å ivareta sikkerheten i løsningene som tilgjengliggjøres på Internett. Dette gjelder i høyeste grad i organisasjonenes interne nett. I denne komplekse settingen vil det fra tid til annen oppstå sikkerhetshendelser. Dette er hendelser som på en eller annen måte utnytter svakheter i systemer, tjenester eller programmer slik at det medfører brudd på enten konfidensialitet, integritet eller tilgjengelighet. Det er gjennom litteratur, medieoppslag og i forskjellige IKT og sikkerhetsutdanninger mange teoretiske tilnærminger til hvordan man skal håndtere slike sikkerhetshendelser og rapportere disse. Imidlertid er det lite kjent hvordan dette skjer i praksis og hvor effektivt bedrifter og institusjoner ivaretar sine sikkerhetshendelser. Det er også uvisst hvordan forskjellige bedrifter og offentlige institusjoner definerer hva som er en sikkerhetshendelse. Hvordan håndterer så de forskjellige organisasjoner en sikkerhetshendelse? - Er sikkerhetshendelser definert slik at man vet når de har inntruffet? - Er det rutiner for hvordan en sikkerhetshendelse skal håndteres? - Er det rapporteringsrutiner som fungerer slik at de som skal ivareta sikkerhetshendelsen blir varslet? - Er det forskjell på hvordan offentlig institusjoner og private bedrifter håndterer sikkerhetshendelser. Vi har gjort en undersøkelse blant norske bedrifter og offentlige institusjoner for å finne svarene på disse spørsmålene. Sikkerhetsledere og andre som jobber med sikkerhet har svart på et spørreskjema som berører disse temaene. For å kunne gi svar på om man har håndteringsmekanismer på plass har vi også utviklet sikkerhetsmetrikker som kan brukes for å verifisere dette. Slike metrikker kan brukes internt som oppfølgingsverktøy eller som målepunkter mot outsourcingsleverandører og tredjeparter. Gjennom svarene i spørreundersøkelsen ser vi en klar forskjell på hvordan offentlige og private organisasjoner håndterer sikkerhetshendelser. De offentlige organisasjonene har større mangler på sin hendelseshåndtering når det gjelder policynivå, opplæring og praksis i forhold til hvordan sikkerhetshendelser håndteres i private organisasjoner. Ser vi samlet på organisasjonene er det også for de private organisasjoner rom for forbedringer, spesielt knyttet til rapportering, opplæring og statistikk knyttet til hvor mange hendelser som blir rapportert.

ENGELSK: Increasingly private companies and public institutions are more dependent on reliable and secure Information and Communication Technology (ICT) solutions. The increase in business to business and business to consumer handling has forced an increased level of availability against the organisation's ICT systems. In addition, the fast growth in the number of Internet users, increased broadband and increased ICT expertise at the users (also knowledge about how security mechanisms are breached) present considerable challenges related to maintaining security in the solutions that are available on the Internet. This also applies to a great extent to the organisation's internal network. With a background as complex as this, security incidents occur from time to time. These are incidents, which in one way or another exploit weaknesses in systems, services or programs so that this causes a breach either of confidentiality, availability or integrity. Through literature, media, ICT and security education many theoretical approaches have emerged for how to handle such security incidents and how to report them. However, very little is known about what happens in practice and how efficiently companies and institutions see to their security incidents. It is also uncertain how different companies and institutions define what constitutes a security incident. So how do different organisations handle a security incident? - Are security routines defined so that one knows when an incident has occurred? - Are there routines for how a security incident shall be handled? - Are there reporting routines that function so that those seeing to security incidents are notified? · Is there a difference in how public institutions and private companies handle security incidents? We have conducted a survey of Norwegian companies and public institutions to find answers to these questions. Security managers and others working with security have responded to a survey concerning these matters. To be able to give correct answers on the level of handling security incidents, we have also developed security metrics that can be used to verify this. These metrics can be used internally or as measuring points towards suppliers, contractors, third party or outsourcing vendors. Through the answers from the survey, we see a difference in how public and private organisations handle their security incidents. The public organisations have shortcomings in the way they handle security incidents such as policy level, training and practice, compared to how private organisations handle their security incidents. If we look at the organisations gathered, we can also find room for improvements in the private domain, especially connected to reporting, training and statistics regarding the number of reported security incidents.