Syftet med att övervaka (även kallat ”monitorera”) och mäta är att få reda på om ert systematiska informationssäkerhetsarbete, riskhanteringsarbete samt alla beslutade säkerhetsåtgärder är:
ändamålsenligt utformade
har avsedd verkan
existerar
fungerar tillfredsställande.
Genom löpande övervakning och regelbunden mätning kan ni få bättre kunskap om ert informationssäkerhetsläge. Dessutom får ni möjlighet att upptäcka brister där säkerhetsåtgärder kan behöva korrigeras. Informationen från övervakning och mätning ligger också till grund för att genomföra granskningar, och som underlag för ledningens genomgång.
Skillnaden mellan övervakning och mätning
Skillnaden mellan övervakning och mätning är följande:
Övervakning anger status för ett system, en process eller en aktivitet. Övervakning sker ofta kontinuerligt genom till exempel att loggar i ett it-system övervakas och avvikelser automatiskt rapporteras
Mätning anger ett värde. Till exempel kan man mäta nyckeltal för att se förändringar mellan två mätningar. Mätning sker ofta i planerade intervaller.
Ni bör separera ansvaret för mätning och övervakning från själva analysen och utvärderingen, eftersom det krävs olika typer av kompetens vid genomförandet.
Övervakning – olika nivåer och typer
Övervakning av informationssäkerheten kan ske på flera olika nivåer, och kan dessutom ske med olika tidsperspektiv. Övervakningen kan även vara en del av er incidenthantering och händelser som noteras i någon form av logg bör hanteras enligt uppsatta rutiner.
Några exempel på övervakningsnivåer:
Operativ nivå: En typ av övervakning som ofta är automatiserad, och i huvudsak bygger på loggning av händelser i era it-system Resultatet av loggningen kan visas på skärmar som i sin tur granskas av personal, ibland dygnet runt. Vid avvikelser genereras ofta larm som någon, inom en viss tid, behöver kvittera och hantera.
Taktisk nivå: Övervakning av att era beslutade säkerhetsåtgärder existerar, och att de fungerar tillfredsställande. Varje enskild beslutad säkerhetsåtgärd innehåller inslag av sådant som ni kan övervaka. Genom manuell eller automatiserad övervakning kan ni se ifall en åtgärd existerar och fungerar tillfredsställande i olika delar av er organisation.
Strategisk nivå: Utöver säkerhetsåtgärderna behöver man övervaka olika delar av det systematiska informationssäkerhetsarbetet. Här handlar det om att övervaka, eller regelbundet manuellt, säkerställa att de övergripande, styrande mekanismerna finns och att de fungerar.
Olika typer av övervakning
Några exempel på olika typer av övervakning:
Driftövervakning: Används för att övervaka it-system, främst gällande tillgänglighet och funktion. Driftövervakningen ska till exempel larma ifall en hårddisk går sönder, om temperaturen i en server stiger onormalt eller när en viss webbplats slutar fungera.
Loggning: Kan innebära att en fil (oftast en textfil) lagrar uppgifter om en viss händelse, registrerar tidpunkt och agerande resurser. Loggning kan man nästan alltid skräddarsy och anpassa efter sina egna behov. Loggning gör det möjligt att övervaka aktiviteter i operativsystem, databashanterare, applikationsservrar och applikationer. Denna typ av loggning kan även inkludera era användares aktiviteter i de olika systemen.
Manuell överövervakning: Avser all övervakning som utförs av personer. Det kan förekomma som ytterligare en nivå av skydd vid övervakning på operativ nivå. Vi menar här främst övervakning på taktisk och strategisk nivå. Övervakningen ska se till att alla säkerhetsåtgärder finns på plats, och att det systematiska informationssäkerhetsarbetet ger avsedd verkan. Man kan även kontrollera att underlag och beslut för en viss typ av behörighet är korrekta, eller att man hanterar nya risker mot en specifik verksamhet eller informationstillgång (till exempel genom en riskanalys).
Mognadsmätning och benchmarking
När det gäller mätning behöver ni vara noga med att ta reda på vad ni vill mäta, eftersom det är ineffektivt, missvisande och kostsamt att mäta för mycket eller att mäta fel saker. Innan ni påbörjar en mätning behöver ni säkerställa att det finns resurser, så att ni kan ta hand om resultatet från mätningen.
För att nå fram till gångbara resultat behöver ni därför definiera:
Vad som ska mätas.
Vem som ska mäta.
Vilken metod ni ska använda.
Hur resultatet av mätningen ska användas
Ni kan till exempel använda mätning för att
utvärdera det systematiska informationssäkerhetsarbetet
visa på status för en viss säkerhetsåtgärd vid en viss tidpunkt
visa förändring över tid genom upprepade mätningar.
Mognadsmätning och benchmarking är två olika metoder för att mäta informationssäkerhetsläget inom organisationen genom att mäta mot fastställda kriterier i en modell och för att kunna jämföra sig med andra organisationers mätningar.
Mognadsmätning – för att redovisa informationssäkerhetens utveckling
Mognadsmätning är en metod för att på ett strukturerat sätt, och över tid, redovisa organisationens utveckling inom informationssäkerhetsområdet. Mätningen ska kunna upprepas, för att på så sätt skapa jämförbara resultat som kan visa på förbättring och ökad mognad i både processer och medvetenhet gällande informationssäkerhet.
Man genomför en mognadsmätning med hjälp av mognadsmodeller, på engelska kallat ”maturity model”. Det finns flera modeller att utgå ifrån för att mäta mognad, till exempel inom ramverken COSO och COBIT. Oavsett vilken modell ni väljer att använda, så är det avgörande att ni väljer ut rättvisande indikatorer som ger möjlighet till graderade svar. Det gör det möjligt för er att redovisa en förflyttning på mognadsskalan.
När ni ska genomföra en mognadsmätning är det viktigt att ni beslutar om mätningen ska avse själva styrningen av informationssäkerhetsarbetet, eller resultatet av styrningen. Det vill säga den faktiska informationssäkerheten. Ett tredje alternativ är förstås att kombinera de båda och mäta både styrningen och resultatet av styrningen.
MSB:s mognadsdialog kan när den upprepas också användas för att visa hur en organisation förflyttar sig gällande de områden som diskuteras.
Benchmarking – för att identifiera egna förmågor, styrkor och svagheter
Benchmarking är ett strukturerat sätt för att kunna identifiera egna förmågor, de egna styrkorna och svagheterna, inom informationssäkerhetsområdet. Detta kan sedan jämföras med andra organisationer, eller mot en allmänt vedertagen praxis.
Benchmarking ger en ögonblicksbild av läget, som det ser ut just här och nu. Det finns flera kommersiella aktörer som gör årliga sammanställningar, vilket i sig är en form av benchmarking, av organisationers informationssäkerhetsläge baserat på organisationernas egna självskattningar.
När du genomför Cybersäkerhetskollen har du möjlighet att jämföra delar av resultatet med andra organisationers resultat.
Referens till standarder i 27000-serien
Standarderna i 27000-serien ställer krav som relaterar till övervakning och mätning. Vid val av säkerhetsåtgärder bör indikatorer anges för om målet med dessa uppfylls, vid mätning och uppföljning kan ni sedan använda dessa indikatorer. När kravställning görs behöver denna följas upp, se exempelvis avsnitten 9.1, 9.2, 9.3, A.5.1, A.5.20-23, A.5.35-36, samt A.8.8.
Vägledningen publicerades. Vägledningarna ”Utvärdera informationssäkerhet” samt ”Övervaka och mäta” ersätter tillsammans tidigare vägledning ”Utvärdera och följa upp”.
