Raskere digitalisering med god sikkerhet. Evry

Transkript

1 Raskere digitalisering med god sikkerhet Evry

2 Zoya Shah Seniorrådgiver Avdeling for digital transformasjon Seksjon for informasjonssikkerhet

3 Hvem er Difi

4

5 Stortinget Regjeringen Kommunal- og moderniseringsdepartementet Nærings- og fiskeridepartementet Arenaer Digital strategi og samordning Digitale fellesløsninger Virkemidler Digital transformasjon Tilsynet for universell utforming av ikt Sentrale samarbeidspartnere Ledelse Offentlige anskaffelser Fellesløsninger Utredning og analyse Vi får omstilling til å skje i offentlig sektor

6 Difis rolle innen informasjonssikkerhet Statsforvaltningen Fagorgan for informasjonssikkerhet i statsforvaltning Arbeide for en styrket og mer helhetlig tilnærming Bidra til at alle statlige virksomheter har systematisk styring og kontroll på informasjonssikkerhetsomårdet Stat og kommune Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet.

7 Hvordan digitaliseres Norge?

8

9 Ny digitaliseringsminister

10 Nasjonal strategi for digital sikkerhet

11

12 Hvorfor er sikkerhet viktig

13

14

15

16 Video

17 Difi rapport 2018:4 Rapporten viser til 11 konrekte anbefalinger på områdene: - Etatsstyring - Øvelse - Risiko - Sikkerhetskultur - Kompetanse

18 Hvorfor er informasjonssikkerhet viktig?

19 Hva er informasjon? Elektroniske dokumenter Elektronisk kommunikasjon Data i IKT-systemer Data i SCADA-systemer Papirdokumenter Bilder både elektroniske og på papir Det man sier ved kaffemaskinen i telefonen på bussen.

20

21

22 Informasjonsbehandling

23 Hva er informasjonssikkerhet?

24 Hva er informasjonssikkerhet? Sikre: konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver

25 Hva er informasjonssikkerhet? Konfidensialitet Informasjon blir ikke kjent for uvedkommende

26 «Dette var skikkelig ekkelt å høre. Ganske sjokkerende. [NN] kommune hadde min tillit, sier Irene Olsen».

27 Hva er informasjonssikkerhet? «Det betyr at hvem som helst kan koble seg til, skru på skanneren og skanne det dokumentet som tilfeldigvis måtte ligge i printeren.»

28 Hva er informasjonssikkerhet? «Opplysninger om metadonbruk, intimvaskt og medisinering av navngitte personer lå og slang på bakken.»

29 Hva er informasjonssikkerhet? «En turnuslege på et helsesenter omtalte en av sine pasienter ved legevakten ved navn overfor to sykepleiere under samtale på vaktrommet. Lovbruddet er egnet til å svekke tilliten til helsepersonellet og helseog omsorgstjenesten.»

30 Hva er informasjonssikkerhet? Integritet Informasjon blir ikke endret utilsiktet eller av uvedkommende

31 Hva er informasjonssikkerhet? «[De brøt] seg inn i skolens databaser og forbedret både egne og andre elevers karakterer».

32 Hva er informasjonssikkerhet? Tilgjengelighet Informasjon er tilgjengelig ved behov

33 Hva er informasjonssikkerhet? «Det har vært en travel påske for ITavdelingen etter at det ble oppdaget et virusangrep mot våre servere. For å si litt om omfanget; bare på en av våre serverer var 1,4 millioner av 1,5 millioner filer ødelagt. Vi har rundt 100 servere, så da er det lett å tenke seg hvilke skader som har blitt gjort.».

34 Informasjonssystem IKT Mennesker Prosesser Teknologi

35 Innbyggere Virksomheter Samfunn Virksomhetens mål og resultater Oppgaver og tjenester Informasjonssystem Tredjeparter IT-komponent

36 Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi

37 Alternativer for å håndtere risiko Akseptere Unngå Dele Overføre Modifisere Redusere

38 «Styringstiltak» Vurdering av risiko Håndtering av risiko «Sikkerhetsstiltak»

39

40 Så nå kan dere begynne å digitalisere

41

42 Styring og kontroll Kilde: tilsiktede handlinger Konsekvenser for Nasjonale sikkerhetsinteresser (NSI) eforv 15 Offentlig Pol + Pvf Sektorregelverk S-loven Privat Informasjonstype: personopplysninger Konsekvenser for fysiske personers rettigheter og friheter Informasjonstype: sektorspesifikk

43

44 Internkontroll i praksis - informasjonssikkerhet

45 Hva kan Difi?

46 Veileder Internkontroll Veileder Internkontroll Veileder i systematisk internkontroll på informasjonssikkerhetsområdet Basert på ISO/IEC 27001:2013

47 Dilemmatrening Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet Hvordan bygge opp et helhetlig opplæringsprogram Hvordan utvikle sikkerhetskulturen

48 Hva er et dilemma? Inneholder avveining mellom K, I og T Løsningene har fordeler og ulemper Ingen fasit Åpne for diskusjon

49 Fleksibelt Virksomheten Målgruppen Tidsbruk Gir eierskap til problemstillingene Ufarliggjøring Overførbar kunnskap Engasjerer Refleksjon kan føre til adferdsendring

50 Nettverk for informasjonssikkerhet - NIFS Om nettverket Meld deg inn Deltagere fra stat og kommune Erfaringsdeling Foredrag Faglig diskusjon 5 møter i året

51

52 Meld deg på nyhetsbrev! Nyhetsbrev fra Difi informasjonssikkerhet Meld deg på Hold deg oppdatert om Difis tilbud Aktuelle tema

53

54 Lykke til internkontroll-infosikkerhet.difi.no infosikkerhet.difi.no