Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler

Transkript

1 Geir Troøien og Rohan Fininger Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler NIFS, 7. september 2016

2 Informasjonssikkerhet i Økt fokus føringer tilsyn hendelser Krav til opplæring minst mulig ressursbruk for brukeren fokus på bevisstgjøring spesifikk for ulike brukergrupper bevisst brukergjennomføring (unngå "fem klikk og vekk med'n") utrulling til mange ( brukere) måling av gjennomføringsgrad per brukersted (175 skoler) brukerevaluering

3 Nanolearning fra Junglemap 1. I år skal ingen av oss bite på! 2. E-post med ukjent lenke 3. E-post med vedlegg 4. Selv en intern e-post kan være falsk 5. Hvem er hackerne? 6. Hørt om løsepengevirus? 7. De viktigste passordene 8. Logg på i to trinn 9. Sikkerhet på mobilen 10. Skytjenester 11. Hva skjer når vi bytter jobb? 12. Kan du bruke din egen dings hos oss? 13. Lar du deg lure på Facebook? 14. Personvern 15. Konfidensialitet 16. Sikkerhet på reisen 17. Er dokumentene dine sikre? 18. Du får en telefon fra «Microsoft» 19. Søk hjelp og rapporter avvik 20. Er infosikkerhet på agendaen?

4 Den største trusselen mot informasjonssikkerhet er brukerfeil! Enkel utvikling med ulike elementer som kan settes sammen fritt: motivasjon bevisstgjøring definisjoner eksempler oppgaver hjelp evalueringer kommentarer målinger

5 Egenutviklet elæringspakke Del 1 - Informasjonssikkerhet - introduksjon Del 2 - Håndtering av personopplysninger Del 3 Risikovurdering som ryggmargsrefleks Del 4 - Tiltak Del 5 - Hvordan få hjelp

6 Motivasjon Rett informasjon til rett person til rett tid! Velkommen til mikrolæringskurs om informasjonssikkerhet i Osloskolen. Du vil få fem leksjoner tilsendt via e-post, og hver leksjon vil ta minutter å gjennomføre. For å få større fokus på informasjonssikkerhet i skal alle ansatte gjennomføre et e- læringskurs. Du bør ha et bevisst forhold til informasjonssikkerhet og vite hvilke rutiner som gjelder. Intranettsiden for informasjonssikkerhet finner du her.

7 Bevisstgjøring Bevisst forhold til håndtering av personopplysninger Som ansatt i Osloskolen skal du vurdere risiko forbundet med håndtering av personopplysninger rapportere avvik ta kontakt med rektor hvis du trenger hjelp vite hvilket ansvar du har når det gjelder informasjonssikkerhet i din rolle etterleve kravene til informasjonssikkerhet i Osloskolens styringssystem

8 Definisjon Avvik Et avvik knyttet til informasjonssikkerhet er en hendelse der personopplysninger er utilstrekkelig sikret i forhold til konfidensialitet, integritet eller tilgjengelighet. Avvik på informasjonssikkerhet knyttet til konfidensialitet innebærer at uvedkommende får tilgang til opplysninger integritet innebærer uautorisert eller utilsiktet endring av opplysninger tilgjengelighet innebærer at opplysninger er utilgjengelig når bruker har behov for opplysningene

9 Eksempel Lærer mottar e-post med helseopplysninger fra foresatt Informasjonsverdier e-post helseopplysninger om eleven Håndtering av informasjonsverdier Hva skal du gjøre med selve e-posten? Hva skal du gjøre med innholdet i e- posten? Videre håndtering Lærer skal skrive ut e-posten og lagre denne hensiktsmessig ut fra innholdets informasjonsverdi. Sensitive personopplysninger skal lagres i sikker sone eller i elevmappe. E-posten skal anonymiseres før eventuell videresending eller svar. Den orginale e-posten skal slettes!

10 Oppgave Når skal du foreta risikovurdering knyttet til (Velg riktig svar) informasjonssikkerhet? 1. Risikovurdering bør gjennomføres ved starten av hvert skoleår. 2. Risikovurdering bør gjennomføres ved slutten av hvert skoleår. 3. Risikovurdering bør gjennomføres når du har tid og anledning. 4. Risikovurdering bør gjennomføres ved enhver behandling av personopplysninger.

11 Hjelp Team for informasjonssikkerhet Dag Hovdhaugen er sikkerhetsleder i Osloskolen. Ta gjerne kontakt med oss i informasjonssikkerhetsteamet hvis du har innspill eller spørsmål. Epost: infosikkerhet@ude.oslo.kommune.no De fem opplæringsmodulene er lagt ut her. Dette er et knippe andre relevante lenker Sikkerhetsvennlig hilsen Rohan Fininger og Geir Troøien

12 Evaluering I hvilken grad mener du at opplæringen i informasjonssikkerhet har vært nyttig for deg? 1 - "I svært liten grad" 2 - "I liten grad" 3 - "I noen grad" 4 - "I stor grad" 5 - "I svært stor grad" Svaralternativ Antall Andel % % % % % Gjennomsnitt 3,6 5

13 Måling Statistikk og oppfølging Modul Sendt Startet Fullført Tid brukt Del 1 - Informasjonssikkerhet - introduksjon :17 Del 2 - Håndtering av personopplysninger :48 Del 3 - Risikovurdering :31 Del 4 - Tiltak :17 Del 5 - Hvordan få hjelp :47 Totalt :17