Version 2.0 Användarhandbok för partners Uppdaterad: 20 maj, 2005 © 2005 Microsoft Corporation. Med ensamrätt. Innehållsförteckning Inledning ............................................................................................................................................3 Bakgrund: utvärderingsprocess och omfattning .................................................................................3 Konfiguration ......................................................................................................................................5 Partnerinstallation och registrering ...................................................................................................5 Arbeta med kundprofiler ......................................................................................................................7 Skapa ny kundprofil (FRP) ...............................................................................................................7 Hantera kundprofiler .......................................................................................................................9 Arbeta med kundutvärderingar .......................................................................................................... 11 Skapa kundutvärderingar ............................................................................................................... 11 Uppdatera utvärderingar ............................................................................................................... 12 Kopiera eller skapa nya utvärderingar (för samma företag) .............................................................. 13 Rapporter ..................................................................................................................................... 14 Bilagor ............................................................................................................................................. 16 Vanliga frågor ............................................................................................................................... 16 Tolka bilderna ............................................................................................................................... 19 © 2005 Microsoft Corporation. Med ensamrätt. Sida 2 av 21 Inledning Microsoft® Security Assessment Tool (MSAT) har utvecklats för att hjälpa dig att identifiera och hantera säkerhetsrisker i din datormiljö. Verktyget använder en holistisk metod vid värdering av säkerhetsstrategin genom att täcka områden som rör personal, processer och teknik. Slutsatserna kopplas ihop med rekommenderade åtgärder som minskar riskerna, bland annat länkar till ytterligare information om du behöver mer hjälp. Dessa resurser kan hjälpa dig att få ökad kännedom om de specifika verktyg och metoder som kan bidra till ökad säkerhet i miljön. Analysen består av 172 frågor som har delats upp i tre kategorier: Företagsinformation (ej identifierbar): 6 Företagsriskprofil: 53 Defense-in-Depth-analys: 113 Baserat på hur du besvarar vissa frågor i företagsriskprofilen och Defense-in Depth-analysen kanske andra frågor inte visas. Det är avsiktligt och en del av den metod som krävs för att ge dig den mest exakta utvärderingen. Bakgrund: utvärderingsprocess och omfattning Utvärderingen har utvecklats för att identifiera organisationens företagsrisk och de säkerhetsåtgärder som redan används för att minska risken. Frågorna fokuseras på vanliga angelägenheter i ditt marknadssegment och har utformats i syfte att ge en bra utvärdering av säkerhetsrisker för teknik, processer och den personal som arbetar i organisationen. Verktyget inleder med en rad frågor om företagets affärsmodell och bygger en företagsriskprofil (FRP) som utvärderar företagets affärsrisk enligt den bransch och affärsmodell du väljer. Därefter följer frågor som har som syfte att skapa en lista över vilka säkerhetsåtgärder företaget har vidtagit över tiden. Tillsammans utgör dessa säkerhetsmått olika försvarsnivåer, vilka ger ett större skydd mot säkerhetsrisker och särskilda sårbarheter i säkerheten. Varje lager bidrar till en kombinerad Defense-in Depth-strategi. Denna summa kallas Defense-in-Depth-index (DiDI). FRP och DiDI jämförs sedan för att utvärdera riskfördelningen mellan de olika analysområdena (AoA): infrastruktur, programvara, drift och personal. Förutom att mäta hur säkerhetsrisker och försvar är fördelade, mäter verktyget också organisationens säkerhetsmognad. Säkerhetsmognad avser utveckling av hög säkerhet och hållbara metoder. I den lägre änden används endast ett fåtal säkerhetsförsvar och åtgärderna är reaktioner på händelser. I andra änden ger etablerade och beprövade processer företaget bättre framförhållning, så att företaget kan reagera på ett effektivt och enhetligt sätt när det behövs. Rekommendationer för riskhantering föreslås för miljön efter att den befintliga användningen av teknik, det aktuella säkerhetsläget och Defense-in-Depth-strategier har vägts in. Förslag utformas för att föra dig mot de erkänt bästa metoderna. Utvärderingen, inklusive frågor, mätningar och rekommendationer, är utformad för medelstora organisationer med mellan 50 och 500 datorer i miljön. Den är avsedd att i stora drag täcka in områden med potentiella risker i miljön, i stället för en djuplodande analys av en viss teknik eller process. © 2005 Microsoft Corporation. Med ensamrätt. Sida 3 av 21 Det innebär att verktyget inte kan mäta hur effektiva de säkerhetsåtgärder som har vidtagits är. Rapporten bör därför användas som en preliminär vägledning som visar vilka områden som kräver noggrann uppmärksamhet och kan inte ersätta en riktad utvärdering som utförs av utbildade utvärderingsgrupper från tredje part. © 2005 Microsoft Corporation. Med ensamrätt. Sida 4 av 21 Konfiguration Partnerinstallation och registrering Installera tillämpningen När du har godkänt licensavtalet anger du kampanjkoden PRT794468 (se figur 1) i textfältet. Funktionen är bara tillgänglig för Microsoft-certifierade partners. När installationen är klar visas registreringsformuläret för partners. Figur 1 Kampanjkodssidan krävs inte när kunder genomför en utvärdering. När installationen är klar stänger du installationsprogrammet genom att välja Avsluta. Redigera partnerinställningar För test- eller demonstrationsändamål ställer du in värdet för ID-nummer som kurt (se figur 2). Vid faktiska utvärderingar anger du ditt MSPP ID-nummer. © 2005 Microsoft Corporation. Med ensamrätt. Sida 5 av 21 Figur 2 Microsoft-partners måste fylla i avsnittet Partnerprofil för att kunna tillskrivas genomförande av MSAT. © 2005 Microsoft Corporation. Med ensamrätt. Sida 6 av 21 Arbeta med kundprofiler Genomförande av Microsoft Security Assessments kräver att kunder spåras med hjälp av FRP, eller företagsriskprofiler. Skapandet av en kundprofil gör det enklare för en partner att skilja mellan utvärderingsdata för flera kunder och påbörjar utvärderingsprocessen genom att fastställa företagets affärsrisk (se FRP i ordlistan på sidan 18). Skapa ny kundprofil (FRP) Efter installation och inställning av partnerprofiler kan du skapa en ny kundprofil genom att välja Start på inställningsskärmen för partnerprofiler eller välja Skapa ny profil i den vänstra navigeringsrutan i MSAT. Ange det unika kundnamnet på skärmen Skapa ny profil (se figur 3) och välj OK. Figur 3 Ange företagets namn på skärmen Skapa ny profil. Fyll i företagsriskprofilen för kunden (se figur 4). I normalfall kan inmatning av en företagsbeslutsfattare (BDM = Business Decision Maker), tjänsteman på C-nivå (CXO = C-level Officer) eller teknisk beslutsfattare (TDM = Technical Decision Maker) krävas för att fullfölja detta avsnitt. Lägg märke till att i företagsriskprofilens första fråga bör kundnamnet stämma överens med det du angav i textrutan Skapa ny profil/Nytt profilnamn när du skapade profilen. Du måste besvara alla frågorna i avsnitten Grundläggande information, Infrastruktursäkerhet, Tillämpningssäkerhet, Driftsäkerhet, Personsäkerhet och Miljö fullständigt innan du kan påbörja den djuplodande analysen. © 2005 Microsoft Corporation. Med ensamrätt. Sida 7 av 21 Figur 4 Ange företagsinformation i guiden för företagsriskprofiler. TIPS Om du väljer det gröna frågetecknet får du mer information och vägledning om hur du besvarar frågan (se figur 5). Om du väljer den orangefärgade stjärnan får du mer vägledning om branschstandarder och bästa metoder. © 2005 Microsoft Corporation. Med ensamrätt. Sida 8 av 21 Figur 5 I MSAT finns det verktygstips (gröna frågetecken) som ger mer information under utvärderingen. När företagsriskprofilen är klar får du en uppmaning om att fullfölja en ny utvärdering. Du kan antingen påbörja denna fas (läs Arbeta med kundutvärderingar på sidan 11) eller välja Avbryt i fönstret Skapa ny utvärdering som visas. Hantera kundprofiler Även om företagsriskprofiler inte är avsedda att uppdateras på regelbunden basis, kan företag då och då ändra affärsfokus, vilket kräver en uppdatering av företagsriskprofilen (FRP). Om du vill uppdatera ett företags riskprofil väljer du Hantera profiler i den vänstra navigeringsrutan. Markera tillämpligt företag bland de företag som visas och välj Redigera bland knapparna till höger på profilskärmen (se figur 6). © 2005 Microsoft Corporation. Med ensamrätt. Sida 9 av 21 Figur 6 Hantera flera kundprofiler med hjälp av MSAT. Sedan kan du redigera kundprofilen på samma skärmar som används för att ställa in en ny profil. Data sparas när du gör ändringar. © 2005 Microsoft Corporation. Med ensamrätt. Sida 10 av 21 Arbeta med kundutvärderingar Skapa kundutvärderingar När du har fyllt i en företagsriskprofil visas fönstret Skapa ny utvärdering där du kan skapa en ny utvärdering. Du kan skapa en ny utvärdering när du har fyllt i en företagsriskprofil eller vid vilken annan tidpunkt som helst. "Microsoft Security Assessment" visas som standardalternativ och enda alternativ i fältet Produkt. Ange det unika kundutvärderingsnamnet i fältet Utvärderingsnamn. I exemplet nedan har utvärderingen märkts med ett datum, en beskrivning och initialerna för den person som genomförde utvärderingen. Du kan namnge utvärderingen med alla alfanumeriska kombinationer av standardtyp, men du bör överväga att använda en standard som gör det möjligt att snabbt identifiera och spåra utvärderingen inom organisationen (se figur 7). Figur 7 Använd en anpassad kombination när du namnger kundutvärderingarna. När utvärderingen har lästs in börjar du fylla i avsnitten. Observera att, beroende på hur du besvarar vissa frågor under Defense-in-Depth-delen av utvärderingen kanske vissa svar inte är tillgängliga och visas gråtonade (se figur 8). Det är avsiktligt och en del av den metod som krävs för att ge dig den mest exakta utvärderingen. © 2005 Microsoft Corporation. Med ensamrätt. Sida 11 av 21 Figur 8 Alla frågor kommer inte att vara tillgängliga beroende på dina svar på tidigare frågor. Uppdatera utvärderingar Om du vill uppdatera en utvärdering måste du först befinna dig i avsnittet Hantera utvärderingar för ett markerat företag (eller profil). När du är i det avsnittet väljer du tillämplig utvärdering i kategorin Utvärderingsnamn och sedan Redigera bland knapparna till höger på profilskärmen (se figur 9). © 2005 Microsoft Corporation. Med ensamrätt. Sida 12 av 21 Figur 9 Använd skärmen Hantera utvärderingen om du vill redigera eller uppdatera kundutvärderingar. Kopiera eller skapa nya utvärderingar (för samma företag) Om du vill kopiera en ny utvärdering för samma företag i avsnittet Hantera utvärderingar för ett markerat företag (eller profil) väljer du tillämplig utvärdering i kategorin Utvärderingsnamn och väljer Kopiera bland knapparna till höger på profilskärmen. Om du vill skapa en ny utvärdering väljer du Ny bland knapparna till höger på profilskärmen. Sedan kan du redigera kundprofilen på samma skärmar som används för att ställa in en ny profil. Data sparas när du gör ändringar. Vyn Hantera utvärderingar ger dig möjlighet att skapa, redigera, byta namn på eller kopiera utvärderingar för en viss kund. Lägg märke till att i figur 9 ovan visas namnet på företagsprofilen i den andra rutan som visas i vänstra navigeringsrutan. © 2005 Microsoft Corporation. Med ensamrätt. Sida 13 av 21 Rapporter När du har fyllt i alla avsnitt kan du se tre rapporter: sammanfattningsrapport, fullständig rapport och jämförelserapport (se figur 10). Alternativet Jämförelserapport ger dig möjlighet att jämföra en kundutvärdering med en annan utvärdering för samma kund eller med andra företag inom en viss bransch och av en viss storlek. Figur 10 Tre rapporttyper är tillgängliga när utvärderingen är klar. Sammanfattningsrapport: sammanfattningsrapporten (visas i figur 10 ovan) ger en snabbvy över fördelningen mellan risk och försvar (se ordlistan på sidan 18). Fullständig rapport: den fullständiga rapporten ger en komplett vy över slutsatserna av Microsoft Security Assessment, inklusive en sammanfattning, utförlig utvärdering, vägledning och prioriterad åtgärdslista. Jämförelserapport: jämförelserapporten ger ett företag möjlighet att jämföra en utvärdering med en annan utvärdering för samma företag. Den innehåller även en branschjämförelse (se figur 11) med andra företag av olika storlek inom diverse branschgrupper. Partners och kunder måste överföra sina data (FRP och DiDI) till Microsoft via MSAT innan det går att visa, skriva ut eller spara någon av jämförelserapporterna. © 2005 Microsoft Corporation. Med ensamrätt. Sida 14 av 21 Figur 11 Jämförelserapporten i MSAT möjliggör en branschjämförelse. Alla rapporter och data går att skriva ut från utvärderingsverktyget, sparas lokalt som ett MHTMLdokument och formateras för presentation i Microsoft Word eller en liknande tillämpning. © 2005 Microsoft Corporation. Med ensamrätt. Sida 15 av 21 Bilagor Vanliga frågor 1. Vad är Microsoft Security Assessment? Microsoft Security Assessment har utvecklats för att hjälpa Microsoft-certifierade partners att få en bättre kunskap om kundernas säkerhetsluckor och risker. En Microsoft Security Assessment - med hjälp av Microsoft Security Assessment Tool (MSAT) - är en interaktiv session där ett frågeformulär ingår. Sessionerna backas upp av partners och kan pågå från en till två timmar. Utvärderingen ger kunden en bred översikt över företaget och IT-organisationen och resulterar i en tydligt definierad plan för att höja säkerheten genom prioriterade aktiviteter, lösningar och vägledning. MSAT är ett upprepningsbart och skalbart verktyg för förutsägelser som inriktas på kärnlösningar och -tjänster som drar nytta av partnerkunskaper och demonstrerar mervärde för kunderna. Partners som deltar förses med Microsoft Security Assessment Tool. Verktyget ger partnern möjlighet att analysera kundens företags- och IT-organisation. När det är klart levererar partnern en kostnadsfri rapport med slutsatser och rekommendationer som rör de företagsfrågor som diskuterades under sessionen. Dokumentet har tagits fram för att hjälpa kunden att förstå den grundläggande baslinjesäkerheten och prioritera de steg som krävs för att minska identifierade risker med hjälp av Microsoft-produkter och partnerlösningar. 2. Vilka är målen med Microsoft Security Assessment? MSAT fokuserar på att ge partners ett gemensamt ramverk inom vilket man diskuterar säkerhetsfrågor med kunder. Microsoft utvecklade MSAT för att hjälpa partners att få en holistisk förståelse för kundernas säkerhetsrisker och -luckor, utveckla en färdplan för höjd säkerhet och utveckla återkommande möjligheter att erbjuda relevanta Microsoft-produkter och partnerlösningar. 3. Vilka deltog i utvecklingen av verktyget? MSAT-utvecklingsteamet bestod av Microsoft, Symantec och Ziff Davis. 4. Är MSAT bara ytterligare ett försök att sälja enbart Microsoft-produkter? Nej. Målet med MSAT är att hjälpa kunder att inse den risk som verksamheten är utsatt för på grund av datorinfrastrukturen och de åtgärder de kan vidta för att minska risken. 5. Vilken typ av vägledning ger MSAT? MSAT-rapportering ger vägledning som baseras på bransch- och säkerhetsstandarder. Föreslagna säkerhetsresurser är Microsoft, Symantec, CERT, Cisco och liknande företag. 6. Söker MSAT igenom min kunds system? Nej. MSAT är ett undersökningsbaserat säkerhetsfrågeformulär. MSAT utvärderar tekniken, men även personal och processer vilket kräver mänsklig medverkan. MSAT har inte möjlighet att samla in information om lokala system eller nätverk. © 2005 Microsoft Corporation. Med ensamrätt. Sida 16 av 21 7. Vilken information samlar verktyget in om min kund? MSAT samlar bara in allmän, ej identifierbar information: företagets storlek och bransch tillsammans med FRP- och DiDI-resultat. Dessa data används för att jämföra kunderna med alla andra deltagare eller med deltagare inom samma bransch. Data används även som referenspunkt för jämförelser av en kunds resultat under tidens gång. Data samlas emellertid inte in om du inte tillhandahåller de undersökningsbaserade svaren. Du kan använda verktyget för att avbilda kundens miljö eller förutsäga hur vissa förbättringar skulle påverka kundens totalresultat eller säkerhetsläge. 8. Vad vet Symantec och Ziff Davis om säkerhet? Symantec ansvarade för att ta fram verktygets frågor, svar och poängsättning. Ziff Davis programmerade verktyget och är värd för det på Securityguidance.com. Symantec är mycket mer än företaget bakom Norton AntiVirus. Symantec-personalen som arbetade med MSAT var tidigare anställda hos @stake och anslöt sig till Symantec genom ett förvärv. @stake som anses vara en av världens främsta konsultfirmor inom säkerhetsområdet förde med sig omfattande erfarenhet och kunskap om mellanmarknadsföretag till MSAT. 9. Varför kan jag lita på verktyget? Även om MSAT inte ersätter en utbildad konsult som känner till dina kunders verksamhet, har verktyget utvecklats för att leda företag på vägen mot säkerhetstänkande. Frågorna som utgör verktygets undersökningsdel och tillhörande svar kommer från allmänt godtagna bästa metoder inom säkerhet, både allmänna och specifika. Frågorna och rekommendationerna som verktyget erbjuder har baserats på standarder som ISO 17799 och NIST-800.x, såväl som på rekommendationer och vägledning från både Microsoft och externa säkerhetskällor. 10. Vad innebär det att ha en hög företagsriskprofil (FRP)? I normala fall fattar kunderna regelbundet olika beslut som rör tekniska och affärsmässiga frågor. Sådana beslut kan ibland medföra säkerhetsrisker som bör minskas. Riskprofilen (FRP) för verksamheten hjälper dig att identifiera dessa risker och ger en baslinje mot vilken du kan jämföra Defense-in-Depth-poängen. FRP är ett mått på hur stor risk som är förbunden med det sätt på vilket kunden bedriver verksamhet eller samspelar med andra verksamheter eller kunder. Den fokuseras primärt på tekniska risker och driftsrisker. Om en kund har en hög FRP visar det att man bedriver verksamhet i en riskintensiv miljö, har betydande konkurrens eller hotas av både direkta och indirekta attacker genom de system, verktyg eller processer som används. 11. Min kund har många skydd för att minska risken. Varför är FRP fortfarande hög? FRP påverkas inte av de metoder som används för att minska risken. Den bör betraktas som ett mått på den risk organisationen skulle utsätta sig för utan några skydd. Den bör användas för att identifiera nyckelområden där kunden kan löpa högre risk baserat på den typ av verksamhet som bedrivs. 12. Vad kommer Microsoft att göra med utvärderingsinformationen om data överförs? När utvärderingen är slutförd kommer du att kunna se diagrammet över fördelning mellan risk och försvar där FRP-resultatet jämförs med DiD-indexresultatet. Om du vill se den fullständiga rapporten måste data överföras till den säkra MSAT-webbservern. Överföringen sker på ett helt anonymt sätt. Förutom att kunna se hela rapporten får du även tillgång till jämförelsefunktionen. © 2005 Microsoft Corporation. Med ensamrätt. Sida 17 av 21 Jämförelsefunktionen ger dig möjlighet att jämföra två kunders utvärderingar, vilket hjälper kunderna att spåra framsteg under tidens gång. Du kan också jämföra kundens resultat med andra som har deltagit i programmet. 13. Måste en partner hjälpa till när kunderna använder MSAT? Nej. En partner behöver inte medverka vid användning av MSAT. Verktyget är tillgängligt för alla som vill använda det. Det kan dock vara önskvärt att ta hjälp av en säkerhetspartner för att genomföra utvärderingen eller granska resultaten av utvärderingen. De partners som är knutna till Microsoft Security Assessment Program har fått särskild utbildning om användning av MSAT och avsikten med Defense-in-Depth och minskade risker. Dessa partners har även tillgång till andra program och information direkt från Microsoft som kan vara till stor nytta för säkerhetsarbetet i ditt företag. 14. Vad finns i uppdateringen? MSAT.EXE är den uppdatering som är knuten till utvärderingsverktyget. Mer detaljer förväntas... Ordlista I ordlistan förklaras olika standardtermer och koncept för säkerhet som är med i denna rapport. Även termer som inte finns med i rapporten kan finnas med. Term Förklaring Antivirus (AV) Programvaru- och maskinvarubaserade tekniker som skyddar datormiljön från skadliga program. Brandvägg Maskinvara eller programvara som skyddar värdar från obehörig åtkomst via nätverket. DiDI (Defense-in-Depth Index) Ett mått på de säkerhetsmekanismer som används av personal, processer och teknik för att de identifierade riskerna för en viss verksamhet ska kunna minskas. DMZ (Demilitariserad Zon) En del av nätverket som är avgränsat från det interna nätverket av en brandvägg och som är anslutet till Internet via en annan brandvägg. Drift De regler, processer, procedurer och tillvägagångssätt som rör organisationens skydd och underhåll. Flerfaktorsautentisering Autentisering som kräver en kombination av minst två av följande: något du vet, något du har eller något du är. Kreditkortet från banken är ett exempel på en tvåfaktorsautentisering: den kräver något du har (kortet) och något du vet (PIN-koden). Att kräva att någon skriver flera lösenord för autentisering är endast en enfaktorsautentisering, eftersom det endast handlar om något personen vet. Ju fler faktorer, desto säkrare autentisering. Ett system som därför kräver ett ID-kort (något du har), en PIN-kod (något du känner till) och ett fingeravtryck (något du är) är säkrare än ett system som endast kräver ett användarnamn/lösenord (en faktor) eller ett ID-kort och en PIN-kod. © 2005 Microsoft Corporation. Med ensamrätt. Sida 18 av 21 Term Förklaring Fördelning av risk och försvar: Fördelningen av risk och försvar är en indikator på skillnaden mellan företagsriskprofilens (FRP) och Defense-in-Depth-indexets (DiDI) resultat. Den används för att belysa de huvudsakliga områdena med skillnader mellan risker och vidtagna försvarsåtgärder. Generellt sett bör DiDIresultatet överensstämma med resultatet från företagsriskprofilen inom samma kategori. En obalans antingen inom en kategori eller tvärs över kategorier - i någon riktning - kan peka på ett behov av att justera resurser för informationssäkerhet för att på ett bättre sätt hantera den risk din verksamhet står inför. Säkerhetsmognad Säkerhetsmognad innefattar kontroller (både fysiska och tekniska), ITpersonalens tekniska kunskap, regler, processer och hållbara metoder. Säkerhetsmognad kan endast mätas via organisationens möjlighet att på ett effektivt sätt använda de tillgängliga verktygen för att skapa en hållbar säkerhetsnivå för många discipliner. En baslinje för säkerhetsmognad bör upprättas och användas för att viktiga områden i organisationens säkerhetsprogram ska identifieras. Alla organisationer måste inte sträva efter att nå den optimala nivån, men alla bör ta reda på var de står och var de borde stå, när det gäller vilka risker organisationen kan utsättas för. Företagsriskprofil (FRP) Ett mått på hur stor risken är för att en organisation ska drabbas av intrång. Detta mått baseras på verksamhetsmiljön och branschen som den konkurrerar i. Offentlig nyckelinfrastruktur En integrerad teknikuppsättning som krävs för att ge PK-kryptering och digitala signaturer. En kombination av offentlig och privat nyckelkryptering (PKI = Public Key ger nyckelhantering, dataintegritet och datasekretess. Infrastructure) Personal Medlemmarna i organisationen och de regler, processer, procedurer och tillvägagångssätt som handlar om att skydda dem och organisationen. Process En dokumenterad serie åtgärder som utgör en funktion. Tillämpning Ett eller flera program som förser slutanvändaren med olika funktioner. Kräver ett operativsystem. Exempel på programvara är ordbehandlingsprogram, kalkylblad och databasprogram. Tolka bilderna Företagsriskprofil jämfört med DiDI Resultatet för FRP sträcker sig från 0 till 100, där ett högre resultat innebär en större potentiell verksamhetsrisk för det aktuella analysområdet (AoA). Det är viktigt att notera att resultatet noll inte är möjligt här. Att bedriva verksamhet medför i sig själv en viss risk. Det är också viktigt att © 2005 Microsoft Corporation. Med ensamrätt. Sida 19 av 21 förstå att det finns vissa aspekter på att bedriva verksamhet för vilka det inte finns några lindrande strategier. DiDI sträcker sig också från 0 till 100. Ett högt resultat anger en miljö där ett större antal åtgärder har vidtagits för att få till stånd Defense-in-Depth-strategier inom ett visst analysområde. DiDI-resultatet återspeglar inte den övergripande säkerheten eller ens de resurser som lagts ned på säkerhet. I stället är det en återspegling av den övergripande strategi som används för att försvara miljön. Intuitivt kan det verka som om en låg poäng för riskprofil och en hög DiDI-poäng är ett bra resultat, men så är inte alltid fallet. Omfattningen av den här självutvärderingen tar inte hänsyn till alla faktorer. Stora skillnader mellan poäng för riskprofil och DiDI för ett visst analysområde antyder att ytterligare studier av analysområdet är lämpligt. Vid analys av resultaten är det viktigt att ta hänsyn till de individuella resultaten, både företagsriskprofil och DiDI, i förhållande till varandra. En stabil miljö representeras troligen av relativt enhetliga resultat för alla områden. Skillnader mellan DiDI-resultat är en stark indikation på att den övergripande säkerhetsstrategin är fokuserad på en enstaka riskminskningsteknik. Om säkerhetsstrategin inte balanserar aspekter som personal, processer och teknik, löper miljön troligen större risk att utsättas för attacker. Säkerhetsmognad Säkerhetsmognad för varje analysområde sträcker sig från 0 till 100, där ett högre resultat innebär att organisationen har en högre säkerhetsmognad. Säkerhetsmognad är dock ett holistiskt koncept och i resultatet sammanför poängen från alla områden för att en övergripande placering ska kunna fastställas (baslinje, standard och optimerad). Denna övergripande poäng sträcker sig från 0 till 400. Det är viktigt att notera att ett nollresultat eller ett resultat på 100 i alla områden är högst osannolikt. De flesta organisationer använder någon form av skydd, som antagligen är på minst baslinjenivå. Få organisationer har så stora risknivåer att de måste investera stora summor i säkerhetsstrategier och säkerhetsprogram. Säkerhetsmognad innefattar kontroller (både fysiska och tekniska), IT-personalens tekniska kunskap, regler, processer och hållbara metoder. Säkerhetsmognad kan endast mätas via organisationens möjlighet att på ett effektivt sätt använda de tillgängliga verktygen för att skapa en hållbar säkerhetsnivå för många discipliner. En baslinje för säkerhetsmognad bör upprättas och användas för att viktiga områden i organisationens säkerhetsprogram ska identifieras. Alla organisationer måste inte sträva efter att nå den optimala nivån, men alla bör ta reda på var de står och var de borde stå i förhållande till företagsrisken. Stapeldiagrammet visar den ackumulerade mognadspoängen baserat på fyra områden: infrastruktur, tillämpningar, drift och personal. Poängsumman från dessa områden visar om resultatet är Baslinje, Standard eller Optimerad. För att en organisation ska få högsta poäng måste den ha en balanserad inställning till säkerhetsprogram, som omfattar säkerhet på flera plan och god framförhållning när det gäller säkerhetsåtgärder. Genom att jämföra den relativa storleken på de fyra analyserade områdena, kan du se om företagets säkerhetskontroller är mer mogna i ett område än ett annat och i så fall planera för minskade risker. © 2005 Microsoft Corporation. Med ensamrätt. Sida 20 av 21 Versionsfakta Gäller: Version 36 och senare 1. Kodning Programvaran använder Unicode (UTF-8) för merparten av filerna. Du bör ange automatiskt val av kodning i webbläsaren för att kunna se vissa delar av programmet på rätt sätt (Verktyg | Ordlista, Hjälp | Hjälp och Hjälp | Metoder). I webbläsaren Internet Explorer kan du ange automatiskt val av kodning genom att välja Visa | Kodning | Auto-Select. © 2005 Microsoft Corporation. Med ensamrätt. Sida 21 av 21