Detta är en artikel i en serie om CIS Controls version 7 och denna artikel handlar om förmågan att skydda sina data från exfiltration, reducera konsekvenserna av exfiltrerade data och säkerställa konfidentialiteten och riktigheten på känslig information.
Nyckelinsikter
- Börja med vanligt förekommande händelser som borttappade datorer och åtgärder för diskkryptering.
- Upprätta ett inventarie av system och vilken typ av information som behandlas i vilka system. Datainspektionen vill ha den, och ni vill ha den. Det behöver inte vara en fullständig inventering från dag 1. Börja…
- Området är större än vad som är lämpligt att placera i “en” förmåga… CIS-förmågan är mycket bred.
Inledning
Vi har nu anlänt till den 13 åtgärden av totalt 20 åtgärder och området skydd av data är ett onekligen stort och omfattande område. Åtgärderna som CIS föreslår är spretiga och sträcker sig från inventarier, till kryptering av disk till nätverkstrafik. Detta är antagligen en konsekvens av det faktum att skydd av data skulle kunna argumenteras vara kärnan i informationssäkerhetsarbetet.
OM CIS-åtgärden
Inom ramen för åtgärden, eller förmågan, finns det totalt 9 skyddsåtgärder:
- Upprätthåll en inventering på all känslig information som hanteras inom och utanför organisationen.
- Ta bort känslig information eller system som sällan eller aldrig används.
- Övervaka och blockera otillåten nätverkstrafik.
- Tillåt endast åtkomst till godkända tjänster för lagring i molnet eller godkända e-postleverantörer.
- Övervaka och upptäck otillåten användning av kryptering.
- Kryptera alla hårddiskar och mobila enheter.
- Administrera och hantera USB-enheter.
- Administrera och konfigurera löstagbara mediers läs/skriv-rättigheter.
- Kryptera lagrade data på USB-enheter.
Åtgärdens målsättning
Införandet av dessa åtgärder syftar till att skydda all information som behandlas inom och utanför organisationen. En… ganska ambitiös målsättning som kanske egentligen är hela poängen med informationssäkerhetsområdet. Men det handlar om dataskydd och allt vad det innebär. Det ska skyddas.
Införandet
Steg 1 - Avgör mognad
Det här området omfattar så många spridda skurar av åtgärder att det blir svårt att skriva något vettigt om att avgöra mognad.
| Mognadsnivå | Kriteria |
|---|---|
| Ingen förmåga | Vi har skrivit en informationssäkerhetspolicy, men det var en konsult som gjorde det åt oss. Någon nämnde något om papperstigrar… vi förstod inte riktigt vad hen menade. |
| Grundläggande förmåga | Våra datorer är krypterade med tvingande PIN-on-boot, inga delade datorer. Vi har flera IT-system och applikation och informationen är långt ifrån inventerad. Vi har “koll” på de system som vi anser mest känsliga för organisationen, men åtgärdsmässigt har vi en hel del kvar att införa. |
| God förmåga | Nya verksamhetsbehov analyseras genomgående om vilken information/data som kommer vara nödvändigt att behandla. Lämpliga skyddsåtgärder införs som svar på de risker vi ser med den tillkommande behandlingen. Vi skulle säga att vi har relativt god kontroll på den information som behandlas i organisationen och de åtgärder som finns kopplade till denna behandling. |
| Mycket god | Det går inte behandla ny information i organisationen utan att vi vet om det. Fritextfält… skulle inte tro det. |
Steg 2 - Påbörja införande
De flesta står inför utmaningen att ta tag i något som redan finns och är konstruerat. Det är sällan vi får möjlighet att bygga upp något nytt från grunden. Så hur gör vi det bästa av situationen?
- Se till att kryptera hårddiskar på datorer. Vi tappar bort datorer hela tiden, och med kryptering kan vi med relativt enkla medel vara trygga i att ingen information går förlorad. Det kanske skulle vara vettigt att upprätta en “borttappad dator”-rutin som ni följer vid varje förlust.
- Om ni inte redan har det, upprätta ett inventarie där ni registrerar nya system som tillkommer och några kommentarer om vilken information som, i stora drag, behandlas där.
- Om möjligt skulle jag föreslå att ni använder en typ av svart-/vitlistning på vilka fillagringstjänster ni tillåter, förslagsvis genom att ni använder någon form av surfproxy genom vilken ni kan begränsa åtkomsten. Detta förhindrar och försvårar i viss utsträckning för användare att medvetet eller omedvetet skicka iväg information till platser där ni inte gjort ett medvetet ställningstagande kring informationsbehandlingen.
- Kombinera, om möjligt, med åtgärder för att begränsa möjligheten att skriva och läsa USB-stickor. Men observera att det många gånger finns ett reellt verksamhetsbehov bakom användningen av USB-stickor. Ta inte bort en möjlighet utan att ersätta eller lämna förslag på alternativ som ni anser är lämpliga.
Det är egentligen väldigt sällan som jag ställer mig bakom CIS-förmågornas förslag på åtgärder då jag tycker att dessa många gånger är antingen väldigt omfattande eller komplicerade. Det finns en viss nivå av trivialisering i åtgärderna.
Steg 3 - Mäta effektivitet
… behöver jag säga det? Mäta nyttan är svårt.
- Hur många datorer tappar ni bort idag? Efter användning av tvingande diskkryptering med pin-on-boot kan ni åtminstone börja känna er något mer trygga med förlorade datorers innehåll.
- Hur många fildelningssajter (Dropbox, Google Drive, OneDrive etc.) används idag, okontrollerat? Skaffa er en uppfattning om dagens användning för att kunna avgöra effekten när ni inför åtgärder och börjar begränsa åtkomsten.
Förhoppningsvis har detta givit er lite inspiration för hur ni kan resonera kring mätningar av “skydd av information”.
Sammanfattning
Skydd av data är ett onekligen omfattande område, det är ju trots allt detta som är kärnan i informationssäkerhetsarbetet (ja, eller visst, då handlar det om information…). CIS förslag på åtgärder är tämligen spretiga vilket också skulle kunna vara en indikation på att området “skydd av data” är brett. Många åtgärder vi inför, även om det så är regler i brandväggen, handlar om att skydda data och information från obehörig behandling.