Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Størrelse: px
Begynne med side:

Download "Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse"

Transkript

1 BRUK AV VERKTØY OG METODER I RISIKOSTYRING

2 Kort om meg Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse 5 år i mnemonic, hvor jeg blant annet har - Ansvarlig for implementeringen av egrc-verktøy hos 2 store kunder - Utleid som sikkerhetsansvarlig - Mye erfaring med gjennomføring av risikovurderinger i inn- og utland

3 Hva ønsker vi å oppnå? Ivareta organisasjonens interesser Forstå og identifisere organisasjonens mål, verdier, prosesser og risiko appetitt Identifisere risikoer som kan negativt påvirke organisasjonens forretningsmål og verdier - Snudd på hode vil dette også hjelpe til med å finne teknologier og tiltak som muliggjør organisasjonens mål Identifisere nåværende status, både hva gjelder trusler og svakheter Komme med anbefalinger som vil redusere risiko til et akseptabelt nivå

4 Ivareta organisasjonens interesser Sony Pictures «The Hack Of The Century» Bakgrunn - Mandag 24. november (2014) begynte ondsinnet kode å spre seg internt, og begynte å slettet informasjon på ulike systemer - Bevisene tyder på at angriperen(e), «Guardians of Peace», hadde hatt tilgang i over et år - Amerikanske myndigheter mener at Nord-Koreanske myndigheter hadde en sentral rolle knyttet til angrepet - Andre mener det ikke er bevist for dette, og Norse mener å kunne bevise at det var en innsidejobb, utført av tidligere ansatte

5 Ivareta organisasjonens interesser Sony Pictures «The Hack Of The Century» Konsekvenser - Påvirket alle forretningsområdene i Sony - Slettet informasjon på i overkant 3000 PCer og 830 servere - Uthenting av informasjon (100 TB) over en lengre tidsperiode, som igjen ble publisert over en 3 ukersperiode Film manuser, 5 filmer interne e-poster, lønningslister, og personnummer - Selskapets egne estimerte kostander: $41 millioner ++

6 Ivareta organisasjonens interesser Target Bakgrunn - Angriper kom seg inn via 3. part (leverandør av ventilasjonsanlegg) - Malware ble installert på betalingssystem som fanget opp kortdata - Fikk varsling om mulig pågående hendelse, men reagerte ikke (tidsnok) Konsekvenser - Kortinformasjon til 40 millioner kunder på avveie - Navn, nummer og adresse på 70 millioner kunder på avveie - Kostnader er estimert til å være $105 millioner ($252 millioner) - 46% tapt fortjeneste i Q4 (2013) sammenlignet med året før - CEO og CIO måtte gå og 7 personer i styret ble anbefalt byttet ut

7 Ivareta organisasjonens interesser Norske selskaper er selvfølgelig ikke skånet

8 Så hvor skal vi starte? Noen relevante rammeverk og metoder Establishing the context ISO/IEC ISO/IEC COSO ERM Risk assessment Risk identification Intel Threat Agent Library Critical Security Controls (Council on Cyber Security) Cyber Kill Chain Analysis Cyber Security Framework Communication and consultation Risk analysis Risk evaluation Monitoring and reveiw Risk treatment

9 Det viktigste er å velge det som er riktig for deg Eksterne og interne faktorer er med på å bestemme hvilke verktøy og metoder som bør brukes Eksterne faktorer - Den politiske situasjonen, regulatoriske krav, konkurransesituasjon, økonomi, teknologi - Nøkkeldrivere og trender som påvirker forretningsmålene Interne faktorer - Organisasjonens struktur, kultur, prosesser, informasjon og strategi - Teknologi, ressurser, kunnskap og modenhet

10 Det viktigste er å velge det som er riktig for deg Risikokriterier - Konsekvens og sannsynlighet Det er noen helt klare utfordringer med å vurdere sannsynligheten for at noe skjer Kunnskapsbasert sannsynlig (i motsetning til frekvensbasert) - Trefaktormodellen: Verdi/Konsekvens, sårbarhet og trussel Mulighetsanalyse ifm valg av trusler Fortsatt utfordringer knyttet til å vurdere trusselen, men hjelper med å bli bevist på farene - Tilsiktede vs. utilsiktede uønskede hendelser - Faktum er at vi sannsynligvis uansett bommer med estimatene Det viktigste er prosessen, og at man får frem ulike problemområder Og da er det viktig med metoder og verktøy som bistår i kartleggingen

11 Ivareta organisasjonens interesser hvordan? Gjennomføre en analyse (verdivurdering og BIA) for igjen å kunne identifisere risikoer som kan negativt påvirke organisasjonens forretningsmål Operasjonell risiko kan beskrives som «Main Cause -> Main Event» Risk Operational Risk Main Cause => Main Event «Main Cause» identifiseres ved å: - Avdekke trusselaktører - Lage hendelsesscenarioer - Avdekke eksisterende kontroller og svakheter Threats (Threat Agent + Incident Scenario) Targeted Attack 1 Generic Attack 1 Generic Attack 2 Key Controls Learn from others En slik fremgangsmåte vil hjelpe med å - finne tiltak som adresserer de faktiske problemområdene, og - således kunne redusere den reelle risikoen til organisasjonen Controls (People, Process, Technology) A B C D Husk å også måle effekten av eksisterende kontroller, og å jevnlig få et oppdatert bilde av nye sårbarheter, trusler og risikoer Metrics (Automated, Computed, Manual)

12 Metoder og verktøy La oss se (litt) nærmere på følgende: Intel Threat Agent Library Hypotese-drevet testing Critical Security Controls (CSC) Cyber Kill Chain Analysis Cyber Security Framework egrc-verktøy (konseptuelt)

13 Intel Threat Agent Library Rammeverk for å bistå i arbeidet med å kartlegge trusselaktører Godt utgangspunkt, men dekker ikke alle typer trusler har derfor utvidet denne - Ta utgangspunkt i gode metoder, og tilpass de til ditt behov

14 Intel Threat Agent Library

15 Hypotese-drevet testing En risikobasert tilnærming til intervjuer Hypotesene (hendelsesscenarioene) kan lages før datainnsamling gjennomføres Hypotesene brytes ned i mindre deler inntil vi har områder som vi ønsker besvart for å vurdere om scenarioet er gjennomførbart eller ikke Vår erfaring er at en slik scenariobasert tilnærming er mye mer effektivt enn sjekklister, og gir et mer korrekt bilde av situasjonen

16 Critical Security Controls (CSC) Initiativ fra US Office of the Secretary of Defense En rekke ulike organer fra USA og andre land analyserte angrep mot organisasjoner, og hvorfor de var vellykket Kom frem til 23 ulike «attack types» (incident scenarios), med tilhørende 20 kontrollområder.

17 Critical Security Controls (CSC) Strukturen pr kontrollområde - Control Area (Name) - Why the control is critical - How to implement the control - Procedures and tools - Effectiveness Metrics - Automation Metrics - Effectiveness Test - System Entity Relationship Diagram

18 Critical Security Controls (CSC) CSC 14: Maintenance, Monitoring, and Analysis of Audit Logs Deficiencies in security logging and analysis allow attackers to hide their [..] activities [..]. Even if the victims know that their systems have been compromised, without protected and complete logging records they are blind to the details of the attack and to subsequent actions taken by the attackers How to implement the control - Include at least two synchronized time sources [..] - Validate audit log settings for each hardware device and the software installed on it [..] - Ensure that all systems that store logs have adequate storage space [..] - Deploy a SIEM (Security Incident and Event Management) or log analytic tools for log aggregation and consolidation [..] - Ensure that the log collection system does not lose events during peak activity [..]

19 Critical Security Controls (CSC) De 23 hendelsesscenarioene kan ses på som «Generic Attacks», og er noe de aller fleste organisasjoner må forholde seg til og må ha tiltak for Er derfor et godt utgangspunkt, og vi bruker derfor dette som en baseline Fortsatt viktig å ikke gjennomføre dette som en sjekklistebasert øvelse Alle organisasjoner er unike og man må vurdere hvordan de best bør håndterer scenarioet ikke hvorvidt alle tiltakene er på plass eller ikke

20 Målrettede angrep I tillegg til å «Generic attacks» så må vi også vurdere «targeted attacks» - Scenarioer som er spesifikke for organisasjonen Med utgangspunkt i verdiene, risikoene, truslene og sårbarhetene - Finne ut hva som kan skje, og hvordan det kan forhindres, eller oppdages og håndteres på en rask og effektiv måte

21 Cyber Kill Chain Analysis Utarbeidet av Lockheed Martin Tanken er de fleste (avanserte) angrepsformene ikke er en enkelt hendelse, men en prosess bestående av flere steg (en kjede). Denne modellen har derfor som formål å finne tiltak som bryter kjeden, og således forhindrer eller oppdager angrepet Kan være relevant å bruke i enkelte settinger for å forstå angrepet men ikke i alle [1]

22 Cyber Security Framework Improving Critical Infrastructure Cybersecurity - Rammeverk laget av NIST basert på Executive Order Vi benytter det for å kommunisere status på kontroller og sårbarheter / svakheter - For å vise hvor man har god dekning, og hvor det er mangelfullt 5 ulike områder: Identify Protect Detect React Restore

23 Neste steg: Håndtere identifiserte risikoer Velge tiltakene som skal implementeres Gjennom fremgangsmåten vi har diskutert så har vi forhåpentligvis funnet tiltakene som adresserer de faktiske problemområdene, som igjen redusere den reelle risikoen Det kan derimot fortsatt være nødvendig å prioritere hvilke tiltak som skal implementeres - Kost/nytte vurdering kan være et alternativ - Vurdere tiltakene opp mot regulatoriske krav og kundekrav - Vurdere tiltak opp mot strategi og målbildet I tillegg til å velge tiltak, må vi også følge opp implementeringen (som kan gå over lang tid) - egrc-verktøy kan være til stor nytte ifm oppfølgingen av tiltak, i tillegg til øvrige steg i prosessen

24 egrc-verktøy Muliggjør risikostyring (og mye mer) i større skala Distribuere arbeidet med innrapportering samtidig som monitorering kan sentraliseres Enklere og mer effektiv oppfølging av tiltakene som er besluttet

25 egrc-verktøy en konseptuell skisse

26 Oppsummering Hvordan dette bør gjennomføres for hver enkelt organisasjon vil variere, men - Gjennomfør verdivurdering og Business Impact Analysis for å finne ut hva man skal beskytte - Identifiser dine trusselaktører og sårbarheter - Etabler hendelsesscenarioer for å bistå i prioriteringen av tiltak Vurder hvilke verktøy og metoder som kan hjelpe deg og din organisasjon - Ikke gjør det mer komplisert enn du må men samtidig påse at du benytter metoder som faktisk hjelper deg i å identifisere dine viktigste risikoene, truslene og sårbarhetene Og det holder selvfølgelig ikke bare å identifisere risikoer, de må også håndteres. - Finn metoder og verktøy som muliggjør registrering, distribuering og oppfølging av tiltaksplanen Risikostyring må gjøres i hele organisasjonen 1. linje og ledelsen må kunne rapportere hendelser og vurdere risiko i sitt daglige arbeid - Et egrc-verktøy kan være avgjørende for at du muliggjør risikostyring i organisasjonen

27 Oppsummering Hvordan dette bør gjennomføres for hver enkelt organisasjon vil variere, men - Gjennomfør verdivurdering og Business Impact Analysis for å finne ut hva man skal beskytte - Identifiser dine trusselaktører og sårbarheter - Etabler hendelsesscenarioer for å bistå i prioriteringen av tiltak Vurder hvilke verktøy og metoder som kan hjelpe deg og din organisasjon - Ikke gjør det mer komplisert enn du må men samtidig påse at du benytter metoder som faktisk hjelper deg i å identifisere dine viktigste risikoene, truslene og sårbarhetene Og det holder selvfølgelig ikke bare å identifisere risikoer, de må også håndteres. - Finn metoder og verktøy som muliggjør registrering, distribuering og oppfølging av tiltaksplanen Risikostyring må gjøres i hele organisasjonen 1. linje og ledelsen må kunne rapportere hendelser og vurdere risiko i sitt daglige arbeid - Et egrc-verktøy kan være avgjørende for at du muliggjør risikostyring i organisasjonen

28

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal FFI-forum 16. juni 2015 Oppdrag Vurdere to tilnærminger til risikovurdering som FB bruker Gi en oversikt

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon

Detaljer

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Nasjonal fagkonferanse i offentlig revisjon Gardermoen 29. oktober 2014 Innledning Innhold Hva er beholdt fra 92-rammeverket,

Detaljer

Hvordan vurdere/revidere overordnet styring og kontroll

Hvordan vurdere/revidere overordnet styring og kontroll www.pwc.no Hvordan vurdere/revidere overordnet styring og kontroll Jonas Gaudernack DFØ - Desember 2014 Dekomponering av problemstillingen -> grunnleggende spørsmål 1. Hvorfor vurdere styring og kontroll

Detaljer

Trusler og mottiltak Mike Andersen Dell SecureWorks

Trusler og mottiltak Mike Andersen Dell SecureWorks Trusler og mottiltak Mike Andersen Dell SecureWorks 1 Aktører Scriptkiddies Vandalisme og medieoppslag, kun for morro Lav kapasitet Hactivister Oppmerksomhet om politisk budskap Lav kapasitet Kriminelle

Detaljer

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene

Detaljer

Informasjonssikkerhet En tilnærming

Informasjonssikkerhet En tilnærming 10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet

Detaljer

Standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Innovasjonsvennlig anskaffelse

Innovasjonsvennlig anskaffelse UNIVERSITETET I BERGEN Universitetet i Bergen Innovasjonsvennlig anskaffelse Fredrikstad, 20 april 2016 Kjetil Skog 1 Universitetet i Bergen 2 Universitetet i Bergen Driftsinntekter på 4 milliarder kr

Detaljer

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Teleforum 2015 Trondheim, 8. januar 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Hvordan kan vi møte andres forventninger til

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

RS402 Revisjon i foretak som benytter serviceorganisasjon

RS402 Revisjon i foretak som benytter serviceorganisasjon Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet

Detaljer

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 1 SAMMENDRAG INNLEDNING: GLOBAL THREAT INTELLIGENCE REPORT 2015 De siste årene har sikkerhetsbransjen med rette fokusert mye på Advanced Persistent Threats

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Kan cyber-risiko forsikres?

Kan cyber-risiko forsikres? Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn Informasjonssikkerhet

Detaljer

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05 ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1 Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning

Detaljer

Fakultet for informasjonsteknologi, Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN I. TDT42378 Programvaresikkerhet

Fakultet for informasjonsteknologi, Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN I. TDT42378 Programvaresikkerhet Side 1 av 5 NTNU Norges teknisk-naturvitenskapelige universitet BOKMÅL Fakultet for informasjonsteknologi, matematikk og elektroteknikk Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN

Detaljer

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget IKT-sårbarhet i norsk kraftforsyning Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget Innhold Verdikjeden og akkumulerte digitale sårbarheter Sårbarhet i driftskontrollsystemer Sårbarhet i smarte

Detaljer

Oppgraderinger i SAP. Planlegge, organisere og gjennomføre en oppgradering til ECC 5.0/ECC 6.0. Sveinung Gehrken

Oppgraderinger i SAP. Planlegge, organisere og gjennomføre en oppgradering til ECC 5.0/ECC 6.0. Sveinung Gehrken Oppgraderinger i SAP Planlegge, organisere og gjennomføre en oppgradering til ECC 5.0/ECC 6.0. Sveinung Gehrken Gehrken Systems Agenda Vurdere 1 2 oppgradering 4 Erfaringer og hjelpemidler Planlegge oppgradering

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

TOPP BEREDSKAP I 17 DAGER ER DU KLAR?

TOPP BEREDSKAP I 17 DAGER ER DU KLAR? TOPP BEREDSKAP I 17 DAGER ER DU KLAR? SIKKERHETSDAGENE 2013, 23. OKTOBER ARRANGEMENTSSYKLUS Søkerfase Etablering Strategisk planlegging Operasjonell planlegging «Operational Readiness» Olympiske leker

Detaljer

Veien til ISO 20000 sertifisering

Veien til ISO 20000 sertifisering Mål: 41 40 39 38 37 36 Veien til ISO 20000 sertifisering Forretningsidé Forbedringer 29 Definere kunder/pros. i verktøy 30 30 31 Mister ansatte Branding 32 Satsningsområde 33 Syneligjøre KPI er 34 ITIL

Detaljer

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS Når beste praksis rammeverk bidrar til bedre governance Ingar Brauti, RC Fornebu Consulting AS :. er når man har en tilpasset egen bruk Et riktig modenhetsnivå! IT Governance Institute's definisjon er:

Detaljer

DESTILLERE INNSIKT. STEINAR MUGGERUD Sales Development Schibsted Media Group. steinar.muggerud@schibsted.no. +47 920 43 103 @smuggerud

DESTILLERE INNSIKT. STEINAR MUGGERUD Sales Development Schibsted Media Group. steinar.muggerud@schibsted.no. +47 920 43 103 @smuggerud DESTILLERE INNSIKT STEINAR MUGGERUD Sales Development Schibsted Media Group steinar.muggerud@schibsted.no +47 920 43 103 @smuggerud Oversikt og innsikt Forstå og snakke til kunden Kundelojalitet 2 ONLINE

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Det digitale trusselbildet Sårbarheter og tiltak

Det digitale trusselbildet Sårbarheter og tiltak H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer

Detaljer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning

Detaljer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

EDB Business Partner. Sikkerhetskontroller / -revisjoner EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

Social Media Insight

Social Media Insight Social Media Insight Do you know what they say about you and your company out there? Slik fikk Integrasco fra Grimstad Vodafone og Sony Ericsson som kunder. Innovasjon og internasjonalisering, Agdering

Detaljer

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby NIRF Hvitvaskingsregelverket og internrevisorer Advokat Roar Østby Oslo 4. mars 2014 Agenda Endringer i regelverket ( 4. direktiv) «Kjenn-din-kunde» (lovens krav) 2 Noen tall Antall MT-rapporter til EFE

Detaljer

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra

Detaljer

SSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND

SSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND SSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND Copyright 2015 Blue Coat Systems Inc. All Rights Reserved. 1 ADVANCED THREAT DEFENSE LIVSSYKLUS Security Analytics Advanced Web/Mail Gateway Security

Detaljer

AVSLUTTENDE EKSAMEN I/FINAL EXAM. TDT4237 Programvaresikkerhet/Software Security. Mandag/Monday 15.12.2008. Kl. 09.00 13.00

AVSLUTTENDE EKSAMEN I/FINAL EXAM. TDT4237 Programvaresikkerhet/Software Security. Mandag/Monday 15.12.2008. Kl. 09.00 13.00 Side 1 av 7 NTNU Norges teknisk-naturvitenskapelige universitet BOKMÅL//NYNORSK/ENGLISH Fakultet for informasjonsteknologi, matematikk og elektroteknikk Institutt for datateknikk og informasjonsvitenskap

Detaljer

Litt om meg selv. Helhetlig risikostyring en utfordring. Willy Røed. PhD i risikoanalyse. Konsulent risikoanalyse Forskning og utvikling Brannsikring

Litt om meg selv. Helhetlig risikostyring en utfordring. Willy Røed. PhD i risikoanalyse. Konsulent risikoanalyse Forskning og utvikling Brannsikring Helhetlig styring en utfordring Willy Røed wr@proactima.com Litt om meg selv PhD i analyse 10 år erfaring Konsulent analyse Forskning og utvikling Brannsikring www.universitetsforlaget.no Willy Røed Willy

Detaljer

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis Ida Hogganvik, PhD student SINTEF/UiO Innhold Hva er scenariobasert risikodokumentasjon? I hvilke sammenhenger brukes det?

Detaljer

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010 www.pwc.no Oppfølging av Internkontroll Innhold - oppfølging av internkontroll 1. Internkontroll hva er det? 2. Fremgangsmåte for oppfølging av internkontroll Teori Utvalgte regulatoriske krav Roller 3.

Detaljer

Sikkerhetskultur. Fra måling til forbedring. Jens Chr. Rolfsen 301012

Sikkerhetskultur. Fra måling til forbedring. Jens Chr. Rolfsen 301012 Fra måling til forbedring Jens Chr. Rolfsen Innhold Perspektiver på sikkerhet Rammeverk for vurdering av sikkerhetskultur Et praktisk eksempel Kultur og endringsevne 2 Perspektiver på sikkerhet Sikkerhet

Detaljer

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett SpareBank 1 Finanshus Forvaltning 805 mrd. Bank, forsikring, eiendomsmegling, inkasso, etc. ca 6500 ansatte

Detaljer

DET DIGITALE TRUSSEL- OG RISIKOBILDET

DET DIGITALE TRUSSEL- OG RISIKOBILDET DET DIGITALE TRUSSEL- OG RISIKOBILDET SIKKERHETSKONFERANSEN DIGIN Kristiansand, 22. september 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Illustrasjon: colourbox.com Trussel-

Detaljer

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Seniorrådgiver Knut Lindelien, Standard Norge Bakgrunn Stort informasjonsbehov mye informasjon

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

Er norske virksomheter digitale sinker? Hva betyr det? Og hvorfor er de det?

Er norske virksomheter digitale sinker? Hva betyr det? Og hvorfor er de det? Er norske virksomheter digitale sinker? Hva betyr det? Og hvorfor er de det? Ragnvald Sannes Førstelektor, Institutt for Strategi Handelshøyskolen BI E-post: ragnvald.sannes@bi.no 14.10.2015 1 Hva vi gjør

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com

Risikostyring og informasjonssikkerhet i en åpen verden www.steria.com Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: 992 82 936 LinkedIn: http://www.linkedin.com/pub/ivar-aasgaard/0/255/639

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Fremtiden er (enda mer) mobil

Fremtiden er (enda mer) mobil www.steria.no è Fremtiden er (enda mer) mobil Steria Technology trends 2011 è Top 10 strategic technology trends for 2011: Cloud computing is real hot according to Gartner, but CIO s in Norway and Scandinavia

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

Prosjektstyring, metodikk og løsningsutforming for SAP prosjekter. Sveinung Gehrken Fram

Prosjektstyring, metodikk og løsningsutforming for SAP prosjekter. Sveinung Gehrken Fram Prosjektstyring, metodikk og løsningsutforming for SAP prosjekter Sveinung Gehrken Fram Til diskusjon Hva kjennetegner vellykkede SAP prosjekter? Hvilken metodikk skal man velge? Noen tanker om løsningsvalg

Detaljer

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt

www.steria.no 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt 08.09.2011 1 Konfidensiell - Navn på presentasjon.ppt En praktisk tilnærming til tjenestekatalog Svein Erik Schnell, Senior Consultant Steria AS Tine Hedelund Nielsen, Consultant Steria AS Steria Agenda

Detaljer

IKT-Sikkerhet og pålitelighet innenfor smartgrids har vi kommet et steg videre på å forstå og håndtere risiko?

IKT-Sikkerhet og pålitelighet innenfor smartgrids har vi kommet et steg videre på å forstå og håndtere risiko? ENERGY IKT-Sikkerhet og pålitelighet innenfor smartgrids har vi kommet et steg videre på å forstå og håndtere risiko? The Norwegian Smartgrid Centre Erling Hessvik 16. april 2015 1 DNV GL 16. april 2015

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

www.steria.no Steria as a Service En norsk skytjeneste Steria

www.steria.no Steria as a Service En norsk skytjeneste Steria www.steria.no Steria as a Service En norsk skytjeneste Steria Steria as a Service - Agenda Kort presentasjon av Steria Sterias utfordringer i drift Sterias målsetninger for drift Prosjektet IT Factory

Detaljer

VEIEN TIL 2050. Adm.dir. Idar Kreutzer Finans Norge

VEIEN TIL 2050. Adm.dir. Idar Kreutzer Finans Norge VEIEN TIL 2050 Adm.dir. Idar Kreutzer Finans Norge Et globalt marked i endring Verdens ressursutnyttelse er ikke bærekraftig Kilde: World Business Council for Sustainable Development, Vision 2050 Vision

Detaljer

HMS og IKT-sikkerhet i integrerte operasjoner

HMS og IKT-sikkerhet i integrerte operasjoner HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien

Detaljer

Kanskje en slide som presenterer grunderen?

Kanskje en slide som presenterer grunderen? Visjon: Den eksklusive partner for informasjonsutveksling i logistikkjeden til norsk sokkel. I løpet av 5 år skal vi være med våre kunder internasjonalt 26.04.2010 1 Kanskje en slide som presenterer grunderen?

Detaljer

Multiconsults kjernevirksomhet er rådgivning og prosjektering

Multiconsults kjernevirksomhet er rådgivning og prosjektering Benchmarking Gode eksempler på effektiv benchmarking som virkemiddel i forbedringsprosesser Cases fra offentlig og privat virksomhet Bjørn Fredrik Kristiansen bfk@multiconsult.no Multiconsults kjernevirksomhet

Detaljer

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014

FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 FoU-sektoren: Sikkerhet i forholdt til ondsinnede villede handlinger November 2014 Sissel H. Jore Sissel H. Jore -Hvem er jeg? Master og PhD Samfunnssikkerhet og risikostyring, UIS. Avhandlingens tittel:

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller:

Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller: Ingress Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller: Verdikjeden, prosjektbasert virksomhet og nettverksbasert virksomhet. Felles for alle tre er at de setter rammen

Detaljer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Aggregering av risikoanalyser med hensyn til etterlevelse

Aggregering av risikoanalyser med hensyn til etterlevelse Aggregering av risikoanalyser med hensyn til etterlevelse Atle Refsdal Atle.Refsdal@sintef.no 1 Oversikt Problemstilling Eksempler og kravtyper Målsetting og utfordringer Skisse til metode 2 Problemstilling

Detaljer

Nye ISO 14001:2015. Utvalgte temaer SPESIELLE FAGLIGE ENDRINGER

Nye ISO 14001:2015. Utvalgte temaer SPESIELLE FAGLIGE ENDRINGER Nye ISO 14001:2015 Utvalgte temaer SPESIELLE FAGLIGE ENDRINGER Virksomhetsledelsens rolle 1 Ledelse og lederskap Skille mellom organisatorisk enhet og prosess Top management Øverste ledelse Leadership

Detaljer

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC Rikets tilstand Tore Orderløkken Administrerende Direktør Tore.orderlokken@norsis.no Norsk senter for informasjonssikring Christian Flørenes Senioranalytiker TSOC Christian.florenes@telenor.com Telenor

Detaljer

Kunde og BI leverandør hånd i hånd - eller..? Anders Hernæs / ah@ravnorge.no Lars- Roar Masdal / lrm@ravnorge.no

Kunde og BI leverandør hånd i hånd - eller..? Anders Hernæs / ah@ravnorge.no Lars- Roar Masdal / lrm@ravnorge.no Kunde og BI leverandør hånd i hånd - eller..? Anders Hernæs / ah@ravnorge.no Lars- Roar Masdal / lrm@ravnorge.no risiko > agenda > verdi ravnorge.no 2009 Vår visjon Være anerkjent som de ledende rådgiverne

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

Public roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no

Public roadmap for information management, governance and exchange. 2015-09-15 SINTEF david.norheim@brreg.no Public roadmap for information management, governance and exchange 2015-09-15 SINTEF david.norheim@brreg.no Skate Skate (governance and coordination of services in egovernment) is a strategic cooperation

Detaljer

Oslo Uddeholm Stockholm

Oslo Uddeholm Stockholm Nærmere Oslo enn Stockholm! Oslo Uddeholm Stockholm 2 Presisjonsbedriftens Tiår Jonas Kjellstrand Strategisk Rådgiver, SAS Institute Copyright 2010 SAS Institute Inc. All rights reserved. Dagens agenda

Detaljer

DEN DIGITALE ARBEIDS- PLASSEN ANNO 2015

DEN DIGITALE ARBEIDS- PLASSEN ANNO 2015 VELKOMMEN DEN DIGITALE ARBEIDS- PLASSEN ANNO 2015 DIGITALE ARBEIDSPLASSER CASE: DEN NORSKE KIRKENS INTRANETT PAUSE 10 MIN INNGÅ AVTALE MED IT-ADVOKATBYRÅ HVA TENKTE VI PÅ!!? CASE: ADVOKATFIRMAET FØYENS

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

NMKL kurs Prøvetaking Veterinærinstituttet 2.-3. desember 2015. Akkreditering av prøvetaking

NMKL kurs Prøvetaking Veterinærinstituttet 2.-3. desember 2015. Akkreditering av prøvetaking NMKL kurs Prøvetaking Veterinærinstituttet 2.-3. desember 2015 Akkreditering av prøvetaking Anne Grændsen agr@akkreditert.no Prøvetaking Standarder for samsvarsvurdering ISO/IEC 17025 Prøving & kalibrering

Detaljer

Er evnen like stor som viljen i Norge?

Er evnen like stor som viljen i Norge? multiconsult.no Verdiskapende FM Er evnen like stor som viljen i Norge? Margrethe Foss, Multiconsult Margrethe.foss@multiconsult.no Mob: 40645053 multiconsult.no Verdiskapende FM Er evnen like stor som

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

mnemonic frokostseminar

mnemonic frokostseminar SIKRING AV SKYTJENESTER mnemonic frokostseminar 07.06.2016 trond@mnemonic.no Me % whoami trond % cat /etc/passwd grep trond trond:x:2147:10000:trond Tolnæs:/home/trond:/usr/bin/bash % ls -ltd /home/trond/.[^.]*

Detaljer

Risk Modelling, Integration of Organisational, Human and Technical factors

Risk Modelling, Integration of Organisational, Human and Technical factors Risk Modelling, Integration of Organisational, Human and Technical factors Fra BORA til Risiko_OMT Innledning og leveranser ESRA seminar 8.2.2011 Aktiv bruk av risikoanalyser BORA seminar 3.5.2006 avslutning

Detaljer

Hva er risikostyring?

Hva er risikostyring? Hva er risikostyring? EBL workshop - DNV innlegg Tore Magler Wiggen, Senior Consultant / Lawyer, Cleaner Energy, DNV Energy. 22.10.2008 Agenda Risiko definisjon og begreper Risikovurdering risikoanalyse

Detaljer

FM kompetanseutvikling i Statoil

FM kompetanseutvikling i Statoil FM kompetanseutvikling i Statoil Erick Beltran Business developer Statoil FM Kompetanse for bedre eiendomsforvaltning Trondheim, 6 Januar 2010 Classification: Internal (Restricted Distribution) 2010-06-06

Detaljer

Programseminar 10-11 mars 2004

Programseminar 10-11 mars 2004 operasjonell risikoanalyse HMS Petroleum Beslutningsstøtteverktøy (NFR) Hovedprosjekt gjennom delprosjektet "Barrierer og " Jan Erik Vinnem, /HiS (jev@preventor.no) Programseminar 10-11 mars 2004 10.03.2004

Detaljer

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.

Detaljer

Organizational Project Management Maturity Model (OPM3)

Organizational Project Management Maturity Model (OPM3) Organizational Project Management Maturity Model (OPM3) Håvard O. Skaldebø, PMP, CCE, (haa-skal@online.no) Styreleder, PMI Norway Oslo Chapter (www.pmi-no.org) Prosjekt 2005, 12.oktober 2005, Hotel Rainbow,

Detaljer

Fra ROS analyse til beredskap

Fra ROS analyse til beredskap Fra ROS analyse til beredskap perspektiv fra offshoreindustrien ESRA seminar, 21.mai 2014 PREPARED. Eldbjørg Holmaas NTH - 94 Ind. øk. Arb.miljø og sikkerhet OD (nå Ptil) 1 år - Elektro og sikringssystemer.

Detaljer

Hvordan komme i kontakt med de store

Hvordan komme i kontakt med de store Hvordan komme i kontakt med de store Willy Holdahl, direktør Personal og Organisasjonsutvikling Kongstanken, 15 oktober 2010 The information contained in this document is Volvo Aero Connecticut Proprietary

Detaljer

Cyber-forsikring til hvilken pris?

Cyber-forsikring til hvilken pris? Cyber-forsikring til hvilken pris? Hva betyr cyber-sikkerhet og cyber-risiko i kroner og øre? Bjørnar Solhaug Seminar om kost-nytte-analyse i en risikoevaluering SINTEF, 18. februar, 2015 1 Cyberspace

Detaljer

IT Service Management

IT Service Management IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service

Detaljer

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige

Detaljer

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune Risk Management Trusselvurderinger og sikkerhet for personell i skoler EMSS 26.11.2015 Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune Lov om arbeidsmiljø, arbeidstid og stillingsvern

Detaljer

Beskyttelsesteknologier

Beskyttelsesteknologier Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011 Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2 *Disclaimer:

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

U37 Tid for omstilling

U37 Tid for omstilling U37 Tid for omstilling Geir Arne Veglo, Stavanger, 25. februar 2016 Agenda I II III IV V VI VII Hvem er jeg? Et marked i endring Hva må virksomhetene gjøre? Business Model Canvas Forretningsstrategi Individstrategi

Detaljer