Gruppe D. Stian Grande Haugen Håvard Hasli Britt Sofi Fahlberg Vidar Ajaxon Grønland. v/høgskolen i Gjøvik. Master i informasjonssikkerhet

Størrelse: px
Begynne med side:

Download "Gruppe D. Stian Grande Haugen Håvard Hasli Britt Sofi Fahlberg Vidar Ajaxon Grønland. v/høgskolen i Gjøvik. Master i informasjonssikkerhet"

Transkript

1 Gruppe D Stian Grande Haugen Håvard Hasli Britt Sofi Fahlberg Vidar Ajaxon Grønland Master i informasjonssikkerhet v/høgskolen i Gjøvik

2 Prosjektoppgave i Sikkerhetsledelse Gruppe D 1 Innholdsfortegnelse 1 INNHOLDSFORTEGNELSE OPPGAVE (1) OPPGAVE (2A) REFERANSETABELL AKSEPTABEL RISIKO Brudd på konfidensialitet Brudd på integritet Brudd på tilgjengelighet OPPGAVE (2B) (1) BUTIKKDATASYSTEMET (2) E-HANDELSSYSTEMET (3) ORDRE, FAKTURA, LAGER (4) INNKJØPSSYSTEMET (5) REGNSKAPSSYSTEMET (6) LØNNSSYSTEMET FYSISK SIKKERHET GENERELL ANBEFALING TIL LEDELSEN OPPGAVE(3) OVERORDNET IT-SIKKERHETSPOLICY FOR SPORTSGROSSISTEN AS FORMÅL, OMFANG OG DEFINISJONER Stadfesting av mål for Informasjonssikkerhet ved Sportsgrossisten AS Definisjoner ANSVAR OG OPPDATERING SIKRING AV INFORMASJON Tilgangskontroll Programvare Bruk av PC-utstyr Antivirus og sikkerhetsoppdateringer Backup rutiner Leverandørforhold Rapportering PERSONELLSIKKERHET SIKKERHETSOPPLÆRING KONTINUITETSPLANLEGGING SIKKERHETSPOLICYENS EFFEKTIVITET OVERENSSTEMMELSE MED EKSTERNE BESTEMMELSER OG KRAV OPPGAVE (4A) OPPGAVE (4B) ETTERLEVELSE AV SIKKERHETSPOLICY/INTERNASJONALE KRAV FRA EIER VEDLEGG (OVERORDNET RISIKOVURDERING, BUTIKKSYSTEM) VEDLEGG (PRESENTASJON AV FULLFØRT PROSJEKT) Side 2 av 29

3 Prosjektoppgave i Sikkerhetsledelse Gruppe D 2 Oppgave (1) I Sportsgrossisten AS er informasjonssystemet meget viktig, da hele bedriften baserer seg på at informasjonssystemene er i drift, og fungerer korrekt. Slik situasjonen er i dag, har ikke Sportsgrossisten AS noen oversikt over hvilke sterke og svake sider systemet har. Prosessen med å kartlegge disse bør starte med en overordnet risikoanalyse. Bedriften har i dag ingen dokumentasjon på de forskjellige sikkerhetsforanstaltningene som er iverksatt, og det er forskjellige prosedyrer ved de ulike filialene Revisor har påpekt vesentlige svakheter ved IT-systemet og manglende sikkerhetsprosedyrer. Mangelen av disse kan føre til brudd på integritet, konfidensialitet og tilgjengelighet på systemene. I dagens bedrifter er det ikke bare varebeholdningen som er av verdi, men også informasjon er veldig verdifull. For Sportsgrossisten AS er det meste av informasjonen lagret elektronisk, derfor kan feil på IT-systemet som overgår det som ledelsen har satt aksept for, bli meget kritisk. Det finnes også ting som tyder på at det er sikkerhetshendelser internt i bedriften, tilsiktede eller utilsiktede, som kan avdekkes og forbedres. I 2004 var 20% av omsettingen fra direkte salg over Internett (e-handels løsning). Omsetting kr Dager i året 365 Omsetting pr dag kr Fordeling av omsetting pr. dag: E handel 20% kr Sportsforettninger 50% kr Kjeder 30% kr Til sammen kr Fortjeneste på alle produkter i e-handels butikken er 50% Fortjenesten e-handel kr pr dag Figur 1.1 Fortjeneste e-handel pr dag Hele bedriften baserer seg på at kunder, private og bedrifter, bestiller varer fra Sportsgrossisten AS, og dette kan ikke gjøres hvis OFL systemet har brudd på tilgjengeligheten. For VIP butikkene, som etterbestiller varer automatisk ved behov, vil en slik hendelse medføre store tap og store uforutsette hendelser. Som figuren viser, vil en dag uten kun e-handels system føre til at bedriften mister kroner i brutto fortjeneste. Hvis e-handelssystemet er nede i 24 timer, mister bedriften inntekter fra eksisterende kunder samt at de mister potensielle nye kunder som skulle ha handlet, men pga at websiden er nede, velger de noen andre tilbydere. Sportsgrossisten AS mister altså omdømme OG fortjeneste. Sportsgrossisten AS drifter også butikksystemene til VIP-kundene, samt at systemet er distribuert i tre land. Dette gjør nettverket relativt komplisert, og mangelen på dokumentasjon, kan gjøre tap av nøkkelpersoner til et vesentlig problem. Side 3 av 29

4 Prosjektoppgave i Sikkerhetsledelse Gruppe D Bedriftskristisk informasjon, og opplysninger som går inn under personopplysningsloven må beskyttes spesielt. Denne informasjonen vil kunne påføre bedriften potensielt store økonomiske tap, og hvis det blir kjent kan det ødelegge bedriftens omdømme. NSO har i Mørketallsundersøkelsen fra 2001påvist store mørketall og antallet angrep er stigende i følge en rapport fra CERT. Det er viktig å huske på at sikkerhetsarbeid er 20% teknologi og 80% holdinger. Derfor er holdningsskapende arbeid meget viktig, og bevisstgjøring hos de ansatte er alfa omega. Sportsgrossisten AS er, som nevnt tidligere, meget avhenging av IT-systemene. Og alt peker mot at de vil måtte motstå problemer, tilsiktede eller utilsiktede. For å kartlegge hva som er svakheter må en sikkerhetsgjennomgang blir gjort snarest. Konklusjon De eksemplene som er gjennomgått er eksempler på enkelte tilfeller, og de er valgt fordi de skaper et enkelt bilde av hvorfor informasjonssikkerheten er viktig for Sportsgrossisten AS. Sportsgrossisten AS er avhengig av at konfidensialitet, tilgjenglighet og integritet opprettholdes, og vil i stor grad påvirkes av en svikt. Og som det er vist, vil dette videre få økonomiske konsekvenser. Det bør gjennomføres en overordnet risikovurdering, og mest sannsynlig en fullstendig risikovurdering av hver av systemene. Dette bør gjøres for å avdekke eventuelle svakheter og for å få et bilde av hvordan situasjonen er i dag, samt finne ut hva som er ønsket situasjon og videre kunne begynne arbeidet med tilnærme seg dette. Det er viktig å understreke at det er ledelsen som har hovedansvaret for å sikre virksomhetenes verdier. Side 4 av 29

5 Prosjektoppgave i Sikkerhetsledelse Gruppe D 3 Oppgave (2a) Referansetabell Skadens art Eksempel Måleverdi Skalering av skadevirkning (type konsekvens) A B C D E Må for enhver pris Svært alvorlig skade Betydelig skade Liten skade Ubetydelig skade ikke forekomme Økonomiske Tapt salg, rentekostnader, Totalt økonomisk tap > 10 millioner 1-10 millioner 0,4-1 millioner < og finansielle tap misligheter, rettssaker og Tap hos kunder > 10 millioner 1-10 millioner 0,4-1 millioner < andre uforutsette kostnader. Redusert ytelse Mangelfull måloppnåelse, Avvik fra målsetting >10% 5 til 10 % 2 til 5 % 1 til 2 % < 1 % tap av produktivitet (på årsbasis) Uproduktive timer blant > arbeidstimer til til til 500 < 100 arbeidstimer ansatte arbeidstimer Arbeidstimer arbeidstimer Tapt arbeidstid pr. ansatt > 2 uker 1 til 2 uker 2 til 5 dager 1 til 2 dager < 2 timer Tap av styring Nøkkeltall Data er feil eller ikke >1 måned forsinkelse, 1 til 4 uker Noen dagers Noen timers Ubetydelig og kontroll oppdaterte kan ikke stole på forsinkelse, mange forsinkelse, en del forsinkelse, noen få forsinkelse, ingen registreringer registreringer er feil registreringer er feil registreringer er feil registreringer er feil Skadet omdømme, Negativ omtale, brudd på Ødelagt omdømme hos >25% 10-25% 2-10% <2% Ingen renommé og tillit lover og forskrifter, kunder betyr i tap rettstvist Omfanget av negative Omfattende negativ Negativ omtale på Uønsket omtale, Omtales kun internt. Ingen omtale. omtale i pressen omtale på riksplan. riksplan. primært lokalt. Hendelsen glemmes Hendelsen glemmes Hendelsen glemmes Hendelsen glemmes Forblir en hendelse. ikke. etter en tid etter en tid. fort. Iverksetting av sanksjoner Alvorlige sanksjoner Mindre sanksjoner Påtale fra Ingen inngripen fra Ingen virkning og regulatoriske tiltak pålegges. Oppgaver pålegges Tilsynsmyndighet myndigheter fratas eller nektes. Omfanget av rettstvist Langvarig rettssak Mindre rettssak. Fare for rettssak. Liten virkning. Ingen virkning Straffbar handling av Domstolene overprøver Myndighet opphever Gjeldende register tjenestemann vedtaket Vedtaket opphever vedtaket Svekket vekst Nye tjenesteområder må Mislykkede initiativ Strategiske initiativ Strategiske initiativ Strategisk initiativ Liten virkning Ingen virkning utsettes, usikkerhet vesentlig forsinkelser går tapt utsatt i måneder utsatt i uker oppstår Tap av markedsandeler >7% 3% 1% 0,25% Ingen virkning Andre skader Nedetid og feil i IT systemet Ansattes tiltro til Tiltro borte, sier opp Tiltro så og si borte Tiltro lav Liten virkning Ingen virkning Tabell 3.1 Skalering av skadevirkning bedriften Verdier er estimert fra et antatt driftsresultat på 10 % (60mill kr). Dagsomsetning er 600 mill/300 dager = 2 mill pr. dag. Side 5 av 29

6 Prosjektoppgave i Sikkerhetsledelse Gruppe D 3.1 Akseptabel risiko Vi har valgt å sette 10 millioner kr (i resultat) som maks kroner bedriften kan tape i løpet av et år. Bedriften vil ikke gå konkurs, men for å få benyttet hele skadevirkningsskalaen valgte vi å sette maks tap til denne summen. Nedenfor kommer det et forslag til akseptabel risiko med tanke på konfidensialitet, integritet og tilgjengelighet. Det er opptil ledelsen å bestemme hvilke risikoer de er villige til å ta, men de må være bevisste på hva de godtar. Vi ser for oss at ledelsen skriver under på hva de anser som akseptabelt, slik at vi ikke blir stilt ansvarlige for eventuelle sikkerhetsbrudd ledelsen mente vi ikke trengte å gjøre noe med Brudd på konfidensialitet Hvor mange hendelser aksepteres pr. år med skadevirkning: B; svært alvorlig skade MAX 0,2 C; betydelig skade MAX 1 D; liten skade MAX Brudd på integritet Hvor mange hendelser aksepteres pr. år med skadevirkning: B; svært alvorlig skade MAX 0,2 C; betydelig skade MAX 1 D; liten skade MAX Brudd på tilgjengelighet Akseptabel avbruddstid (tilgjengelighet): 1 uke ved svært alvorlig skade, (skadevirkning B) Slike hendelser må ikke inntreffe oftere enn hvert 5. år Max antall korte avbrudd 2 avbrudd pr. år med varighet en halv dag (ca 2 mill kr i omsetningssvikt) 8 avbrudd pr. år med varighet en halv time (ca 1,1 mill kr i omsetningssvikt) Side 6 av 29

7 Prosjektoppgave i Sikkerhetsledelse Gruppe D 4 Oppgave (2b) Systemene kommer i rangert rekkefølge etter hvilket system vi mener er mest kritisk. Generell anbefaling til ledelsen kommer til slutt i denne oppgaven, og er ment som tillegg til anbefaling og forslag til løsning i hvert av systemene. 4.1 (1) Butikkdatasystemet S K A D E V I R K N I N G (Høy) (Lav) T3 T2 I K T1 K = Konfidensialitet I = Integritet T1 = Tilgjengelighet 1-3 dager T2 = Tilgjengelighet 1uke T3 = Tilgjengelighet 2uker (Lav) (Høy) S Å R B A R H E T Ser av figuren at både sårbarhet og skadevirkning er høy på alle punkter. Spesielt integriteten, som ligger på det øverste nivået. Dette fordrer at integriteten MÅ bedres i systemet, da det er stor sannsynlighet for at et integritetsbrudd inntreffer og da med en høy skadevirkning. Det er meget viktig at butikkdatasystemet er stabilt, fordi alle butikkene er avhengige av systemet for å kunne bedrive kjøp og salg. Siden det er butikkene som står for den største delen av omsetningen anser vi dette systemet for mest kritisk. Ser av figuren at sannsynligheten for at systemet er nede i lengre perioder er relativt liten, men skadevirkningen er meget stor. Konklusjon: Høy risiko Anbefaling: Gjennomføre en fullstendig risikoanalyse for å finne tiltak som kan sikre bedre integritet, konfidensialitet og tilgjengelighet. Bør ha et reservesystem i fall hovedserveren går ned, i tillegg til en alternativ kommunikasjonskanal til internett. Forslag til løsning: Ha en reserveserver som f.eks. kan deles med andre firmaer, slik at kostnaden blir mindre. Sjansen for at flere firmaers servere går ned samtidig er liten, men om det skjer bør det være mulig å kjøre flere firmaers system samtidig på reserveserveren. Det må da i så fall være tildelte områder på serveren for hver av bedriftene. Dette for å forhindre brudd på integritet og konfidensialitet. En alternativ kommunikasjonskanal mellom butikk og server kan være telefonnettet. Dette vil gå på bekostning av hastighet, men man vil da ha mulighet til å opprettholde driften. Viktig med god opplæring og rutiner for å forhindre feil i systemet. Benytte VPN til overføring av data over internett. Vil da få kryptering, og trafikk analysering (nettsniffing) blir vanskelig. Estimert tap i omsetning ved sviktende tilgjengelighet: T1 (1-3dager): ca 2 mill. direkte tap + kostnader i perioden (lønn, rep osv) T2 (1uke): 5 mill. direkte tap + kostnader i perioden T3 (2uker): 10 mill. direkte tap + kostnader i perioden Estimert tap er her sett som følge av at butikkene ikke får solgt varer, og dermed ikke bestiller nye. Side 7 av 29

8 Prosjektoppgave i Sikkerhetsledelse Gruppe D 4.2 (2) E-handelssystemet S K A D E V I R K N I N G (Høy) (Lav) T3 T2 I K T1 K = Konfidensialitet I = Integritet T1 = Tilgjengelighet 1-3 dager T2 = Tilgjengelighet 1uke T3 = Tilgjengelighet 2uker (Lav) (Høy) S Å R B A R H E T Ser av figuren at systemet er veldig sårbart mht integritet, konfidensialitet og tilgjengelighet T1. Skadevirkningen av høy nedetid er også altfor høy, men sannsynligheten for at det inntreffer er moderat. En av grunnene til at integritet er så viktig i et sånt system kan være at for eksempel feil prising på nett kan øke salget betraktelig uten at vi tjener penger på det. Ved gjentagende feil i prising eller lagerbeholdning vil vi med høy sannsynlighet tape kunder. Det stilles også høye krav til oppetid i et sånt system da kundene forventer å kunne handle til alle døgnets tider. Er systemet nede i lengre perioder vil kundene se seg om etter alternative nettbutikker. En annen ting som kommer inn i bildet her er den stadig økende trusselen mht angrep over internett. En fullstendig gjennomgang av sikkerheten i e-handelssystemet er nødvendig for å forebygge angrep og sikre en stabil drift. Konklusjon: Høy risiko. Anbefaling: Gjennomføre en fullstendig risikoanalyse for å finne tiltak som kan sikre bedre integritet, konfidensialitet og tilgjengelighet. Bør ha en duplikatløsning på serversiden. (Vi forutsetter at e- handelsløsningen går på egen server). Forslag til løsning: Kjøre speiling på to servere som jobber parallelt. Dette vil sikre at minst en server til en hver tid fungerer. Vil også få fordelen med at systemet vil tåle den økende kundemassen, da systemet nå kan behandle ca dobbelt så mange kunder. Sørge for kryptert forbindelse ved sending av betalingsinformasjon. Estimert tap i omsetning ved sviktende tilgjengelighet: T1 (1-3dager): ca 0,5 mill. direkte tap + kostnader i perioden T2 (1uke): 1,5 mill. direkte tap + kostnader i perioden T3 (2uker): 3 mill. direkte tap + kostnader i perioden Estimert tap er her sett som følge av at kunder finner alternative e-butikker å handle fra. Side 8 av 29

9 Prosjektoppgave i Sikkerhetsledelse Gruppe D 4.3 (3) Ordre, faktura, lager S K A D E V I R K N I N G (Høy) (Lav) T3 T2 I K T1 K = Konfidensialitet I = Integritet T1 = Tilgjengelighet 1-3 dager T2 = Tilgjengelighet 1uke T3 = Tilgjengelighet 2uker (Lav) (Høy) S Å R B A R H E T Ser av figuren at systemet er relativt sårbart mht integritet og konfidensialitet. Skadevirkningen av konfidensialitet og integritet er kritisk høye. Siden dette systemet er linket opp mot butikkdatasystemet er vi også her avhengig av stabilt høy oppetid. Må også her utføre en grundigere analyse for å finne metoder for å forbedre konfidensialiteten og integriteten i systemet. Konklusjon: Høy risiko. Anbefaling: Gjennomføre en fullstendig risikoanalyse for å finne tiltak som kan sikre bedre integritet, konfidensialitet og tilgjengelighet over tid. Forslag til løsning: Samme som butikkdataløsningen. Estimert tap i omsetning ved sviktende tilgjengelighet: T1 (1-3dager): 0-1 mill. direkte tap + kostnader i perioden T2 (1uke): 0,5-1,5 mill. direkte tap + kostnader i perioden T3 (2uker): 1-2 mill. direkte tap + kostnader i perioden Estimert tap er her sett utifra tap av ordre, hvor butikkene bestiller varer fra en annen grossist. Side 9 av 29

10 Prosjektoppgave i Sikkerhetsledelse Gruppe D 4.4 (4) Innkjøpssystemet S K A D E V I R K N I N G (Høy) (Lav) T3 K I,T2 T1 K = Konfidensialitet I = Integritet T1 = Tilgjengelighet 1-3 dager T2 = Tilgjengelighet 1uke T3 = Tilgjengelighet 2uker (Lav) (Høy)- S Å R B A R H E T Innkjøpssystemet har middels sannsynlighet for at det vil skje integritetsfeil og tilgjengelighetsbrudd i en uke. Det er stor sannsynlighet for at systemet er utilgjengelig i korte perioder, hvilket ikke har så stor skadevikning men fortsatt er en uønsket situasjon. Konfidensialitetsbrudd og utilgjengelighet i lengre perioder, ligger i det øverste sjiktet på skadevirkningsskalaen, men det er relativt liten sannsynlighet for at de hendelsene inntreffer. Disse hendelsene må for enhver pris ikke forekomme, så det bør settes i gang tiltak for å forbedre dette. Konklusjon: Middels risiko Forslag til løsning og anbefaling blir på de resterende systemene veldig likt det som allerede er nevnt og vil oppsummeres i den generelle anbefalingen til slutt i oppgaven. Side 10 av 29

11 Prosjektoppgave i Sikkerhetsledelse Gruppe D 4.5 (5) Regnskapssystemet S K A D E V I R K N I N G (Høy) (Lav) T3 I K T2 T1 K = Konfidensialitet I = Integritet T1 = Tilgjengelighet 1-3 dager T2 = Tilgjengelighet 1uke T3 = Tilgjengelighet 2uker (Lav) (Høy) S Å R B A R H E T Regnskapssystemet er et helt nytt system, og regnskapsavdelingen mener å ha god styring på sin økonomi og likviditet. Vi regner med at tilgjengeligheten er bra siden dette systemet er så å si nytt. Ser heller ingen stor krise ved kortere tilgjengelighetsbrudd. Det som bør forbedres er integriteten og konfidensialiteten da brudd på disse kan få relativt store konsekvenser for bedriften. Integriteten er viktig mht f.eks skatter og avgifter. Ved feil i regnskapet kan bedriften uberettiget bli ilagt bøter for ting som ikke er gjort med hensikt. Et annet problem er tilsiktede endringer i regnskapet for egen vinnings skyld. Konklusjon: Middels risiko 4.6 (6) Lønnssystemet S K A D E V I R K N I N G (Høy) (Lav) K,I T3 T2 T1 K = Konfidensialitet I = Integritet T1 = Tilgjengelighet 1-3 dager T2 = Tilgjengelighet 1uke T3 = Tilgjengelighet 2uker (Lav) (Høy) S Å R B A R H E T Systemet har liten innvirkning på bedriftens omsetning ved lang nedetid. Konfidensialitet og integritet ligger også innenfor det kritiske området. Ved lengre enn 2 ukers nedetid vil antagelig de ansatte bli irriterte over ikke å få lønn, men sannsynligheten for at systemet ikke er i orden etter en så lang periode er minimal. Det vil alltids kunne gå an å gi de ansatte lønn ved bruk av for eksempel manuelle rutiner. Konklusjon: Lav risiko. Side 11 av 29

12 Prosjektoppgave i Sikkerhetsledelse Gruppe D 4.7 Fysisk sikkerhet Vi velger å ta med litt om fysisk sikkerhet fordi det her kan gjøres tiltak som til en relativt liten kostnad kan bedre sikkerheten betraktelig. Oppgaveteksten sier ingen ting om hvordan bla. serverrommet er sikret. Vi velger derfor å ta med litt om hvordan et serverrom bør sikres. En bra måte å gjøre dette på er å dele bygget inn i soner. For hver sone kreves det en ny klarering. F.eks kan sone 1 være uteareal + resepsjon, hvor alle har tilgang uten behov for adgangskontroll. Sone 2 kan være kontorlokaler, som krever et adgangskort uten pin. Sone 3 kan være områder med kritisk data/elektronisk utstyr som f.eks servere. Dette området kan aksesseres kun ved bruk av adgangskort med PIN kode. Det kan diskuteres hvor mange soner det bør deles inn i, men vi anser det som tilstrekkelig å dele det inn i tre. Fig 4.1 Soneinndeling Vi forutsetter at bedriften har et adgangskontrollsystem allerede, ellers vil det bli en betydelig kostnad å gjennomføre den soneinndelingen som er nevnt over. Hvis det ikke er noe system allerede, vil et absolutt minimum for adgang til serverrom være en kortleser som er knyttet opp mot et loggingssystem. Dette for å kunne holde styr på hvem som har vært i rommet og når han var der. Da vil man få et slags ikke-benektings system, hvor den som var i rommet når en utilsiktet/tilsiktet hendelse fant sted ikke kan nekte for at han var tilstede. Dette forutsetter selvsagt at det er holdbare rutiner for utstedelse av adgangskort og rutiner for endring/lagring av passord og pinkoder. Det skal ikke kunne gå an å stjele adgangskortet og få tilgang til pinkoden uten å måtte legge en stor innsats bak. Plasseringen av rommet er også noe en bør ta hensyn til. Det bør ikke plasseres slik at det er lett å aksessere fra utsiden, som for eksempel å ha rommet i første etasje ut mot et usikret område. Det sikreste stedet er i kjelleren eller høyere opp i bygget. Det bør også helst plasseres midt i bygget, da en som vil aksessere det blir nødt til å passere diverse rom før han kommer til serverrommet. Dette vil gjøre at det blir lettere å oppdage en inntrenger, pluss at dette vil forsinke inntrengeren betraktelig. Brann er også en del av fysisk sikkerhet som bør tas hensyn til ved valg av plassering av serverrommet. Rommet bør ikke ligge i nærheten av branntrusler som for eksempel fyrrom og lignende. Det bør installeres automatisk slokkerutstyr i rommet for å begrense eventuelle branntilløp. Det finnes spesielle systemer som Side 12 av 29

13 Prosjektoppgave i Sikkerhetsledelse Gruppe D egner seg godt for datarom. Vann bør ikke benyttes, da elektronikk kan ta stor skade av det. Vann bør brukes som siste utvei, da for å forhindre at alt brenner opp. Sikring mot vannskader som følge av for eksempel flom bør også tas hensyn til. Kjøling er noe av det aller viktigste, fordi en serverpark uten kjøling ikke vil fungere i mange minuttene/timene før feilprosenten på hardwarekomponentene øker. Gode rutiner og overvåking her er svært viktig. For å få bukt med noen av disse truslene finnes det i dag et hav av forskjellige sensorer som vil kunne detektere det aller meste. Eksempler på dette er bevegelsessensor, en røyk/varme detektor, fuktighetssensorer osv. 4.8 Generell anbefaling til ledelsen Risikoanalyse: (Kostnad ca kr ) For alle systemene med høy risiko bør det gjennomføres en fullstendig risikoanalyse. Dette fordi feil/problemer i disse systemene kan få store konsekvenser for bedriften. Jfr. figurene ovenfor. Vi anbefaler å starte arbeidet i den rekkefølgen systemene er oppført ovenfor fordi de er rangert etter hvor kritiske vi mener de er for overlevelsen til bedriften. Holdninger: (Kostnad ca kr ) Det kanskje beste tiltaket å begynne med er holdningsskapende arbeid blant de ansatte i tillegg til opplæring og oppfølging av ansatte som synes det er vanskelig med ny teknologi. Dette er også et tiltak som er relativt billig å utføre, men som kan kreve en del tid. Men å få de ansatte til å tenke sikkerhet og få de til å føle seg som en viktig del av bedriften er alfa omega. En stor fordel om man klarer å involvere ansatte i hver avdeling i arbeidet med sikkerhet, slik at de føler de har vært med selv å bedre sikkerheten. Kanskje få de ansatte til å implementere løsninger selv under oppsyn av sikkerhetsavdelingen. Testing: (Kostnad ca kr ) Videre vil det være en fordel å få i gang rutiner og prosedyrer for testing av oppdateringer osv på systemet utenfor vanlig arbeidstid. Hvis dette gjøres på en forsvarlig måte bør det ikke ha konsekvenser for den daglige driften. Det eneste som da kan bli utsatt er e-handelsløsningen, men vi anser det som lite kritisk om e-handelsløsningen er ute av drift i korte perioder på nattestid. Anbefaler å kjøre duplikatløsninger hvor da det blir testet mot den ene serveren mens den andre går som normalt. Dette vil kun resultere i litt dårligere kapasitet, noe som ikke vil merkes ut mot kunden, så lenge trafikken ikke er enorm. En annen fordel er at en server kan gå ned uten at hele systemet blir lammet. Dette anser vi som en god løsning i tillegg til gode backuprutiner. Har da også bedre forutsetninger for å kunne håndtere en stadig økende kundemasse. Sikkerhetspolicy: (Kostnad første år ca kr ) Anbefaler på det sterkeste å utarbeide en fullstendig sikkerhetspolicy med tilhørende sikkerhetshåndbok. Elementene i sikkerhetshåndboka skal følges til en hver tid, og det må lages rutiner for oppfølging og opplæring av de ansatte. Hvis ikke regler og rutiner blir fulgt bør dette få konsekvenser for den enkelte. Sikkerhetspolicyen skal underskrives ved ansettelse. Backup (sikkerhetskopi): (Kostnad ca kr ,-) Backuprutinene ser ut til å være bra, men vi velger allikevel å si hvordan vi vil ha det i tilfelle misforståelser. Anbefaler å ta backup av alle endringer og nye transaksjoner hver ukedag, og fullstendig backup hver helg. Backupen bør lagres i annet bygg i for eksempel i en safe. Viktig å teste om backupene faktisk fungerer i praksis. Side 13 av 29

14 Prosjektoppgave i Sikkerhetsledelse Gruppe D Virtual Private Network, VPN: (Kostnad ca kr ,-) Benytte VPN for kommunikasjon over internett med andre deler av systemet. Benyttes kun fra gateway til gateway for å slippe unødig prosessering på det interne nettverket. Dette medfører konfidensialitet på alle overføringer, og endring/manipulering av pakker underveis blir vanskelig. Overvåkning av systemet: (Kostnad ca kr ,-) Bør investeres i et overvåkningssystem som sjekker om kritiske tjenester og maskiner er i orden. Dette systemet vil da varsle den som har hovedansvaret for systemet vha f..eks mobiltelefon. Dette sikrer at man kan begynne med reparasjon med en gang. Finnes også gratis programmer som kan benyttes, men de krever ofte litt arbeid å få konfigurert og har liten mulighet for support. Utarbeidelse av katastrofeplan: (Kostnad ca ,-) Det bør utarbeides en katastrofeplan slik at det er klare roller og rutiner for hvordan en katastrofe skal håndterers. Bør ha jevnlig testing av katastrofeplanen. Denne planen skal omfatte alle naturkatastrofer/ekstreme hendeleser som kan ramme virksomheten. Estimerte kostnader for å forbedre sikkerheten i bedriften Risikoanalyse ,- Holdninger/opplæring av ansatte ,- Testing ,- Sikkerhetspolicy, første år ,- Katastrofeplan ,- Nytt utstyr ,- Diverse ,- Sum kostnader ,- Tabell 4.1 Kostnadsestimat Side 14 av 29

15 Prosjektoppgave i Sikkerhetsledelse Gruppe D 5 Oppgave(3) Overordnet IT-sikkerhetspolicy for Sportsgrossisten AS Identifikasjon Status*: Åpen Opprettet av, dato: Sikkerhetssjefen, Godkjent av, dato: (Ledelsen, ) Versjon: 1.0 Endret: Alternativ: Åpen, Begrenset, Konfidensiell 5.1 Formål, omfang og definisjoner Stadfesting av mål for Informasjonssikkerhet ved Sportsgrossisten AS For Sportsgrossisten AS er informasjon og informasjonsteknologiske ressurser av avgjørende viktighet for å drive sin virksomhet og tilfredsstille de mål og krav de ansatte og kunder til enhver tid stiller. Formålet med denne overordnede policyen er å sikre at IT-ressursene ved Sportsgrossisten AS i tilstrekkelig grad sikres hva angår konfidensialitet, integritet og tilgjengelighet i tillegg til sikkerhetshåndboken. Dette søkes oppnådd ved å stadfeste hvilket ansvar som hviler på hver enkelt bruker, Sportsgrossisten ASs enheter og bedriften sådan for å opprettholde sikkerheten og når sikkerhetsbrudd oppstår. Den overordnede policyen inngår som en naturlig del av sikkerhetshåndboken, og vil på ingen måte erstatte denne, men heller fremheve de mest aktuelle retningslinjene. Målsettingen er å stadfeste organiseringen av sikkerhetsarbeidet, presentere retningslinjer og bestemmelser som er nødvendige for en effektiv organisering og gjennomføring av sikkerhetsarbeidet. Bestemmelsene skal i tillegg gi sikkerhetsledelsen den myndighet og det mandat den trenger for å opptre med autoritet og klargjøre de prosedyrer og rutiner som gjelder i ulike situasjoner av sikkerhetsmessig betydning Definisjoner Informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles av systemet og systemet i seg selv. Integritet Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter Konfidensialitet Sikkerhet for at kun autoriserte personer får tilgang til følsom eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen. Side 15 av 29

16 Prosjektoppgave i Sikkerhetsledelse Gruppe D Tilgjengelighet Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet slik at aktuell informasjon er tilgjengelig ved behov. Sikkerhetshåndbok Inneholder retningslinjer for sikkerhetsarbeidet på minst tre nivå: Mål og policy for arbeidet, dokumenterte prinsipper, ansvarsforhold og detaljerte instrukser samt prosedyrer og regler. 5.2 Ansvar og oppdatering Det er sikkerhetsansvarlig sitt ansvar å sørge for at denne sikkerhetspolicy med tilhørende retningslinjer blir benyttet og fulgt opp. Denne policy gjennomgås og oppdateres årlig. Logg over slik gjennomgang og endring skal føres av sikkerhetsansvarlig samt underskrives av ledelsen. 5.3 Sikring av Informasjon Klare regler og retningslinjer for utgivelse av informasjon til eksterne aktører er definert i sikkerhetshåndboken og skal til enhver tid følges. Konfidensiell informasjon skal merkes av informasjonseier. Ved kasting av konfidensiell informasjon på papir og lagringsmedia skal man følge makuleringsrutiner som er definert i sikkerhetshåndboken. All intern konfidensiell e-post skal sikres på tilfredsstillende måte. Bedriftskritisk informasjon som sendes til eksterne aktører må enten sendes i kryptert e-post eller sendes som vanlig rekommandert post. Konfidensiell informasjon skal ikke utgis over telefon. IT-ansattes direkte telefonnummer og e-postadresse skal ikke være offentlig tilgjengelig Tilgangskontroll Brukere må identifisere og autentisere seg før felles ressurser benyttes. Ved oppsigelser skal brukerprofil slettes fra alle aktuelle system, og det skal gjennom prosedyrer fastsatt i sikkerhetshåndboken, fjernes all mulighet for å ta med seg sensitiv kunde og bedriftsinformasjon ut av bedriften. All mulighet for senere innlogging på bedriftens system skal også sikres gjennom samme prosedyre. Rutiner for nettverkstilgang skal kontrolleres av IT-avdelingen. Tilgang til serverrom og andre driftssentrale enheter skal kontrolleres og sikres gjennom adgangskontroll og prosedyrer som fremkommer i detalj i sikkerhetshåndboken og i Ansatte kan få tilgang til systemet utenfra via VPN-løsning (Virtuelt Privat Nettverk), så lenge det foreligger dokumentert behov for slik. Vedkommende må underskrive en sikkerhetserklæring før han/hun får tildelt nødvendige sertifikater og utstyr for å få tilgang. Kun IT-avdelingen skal ha administratortilgang til IT-systemene. Brukerrettigheter skal dokumenteres, logges og være oppdatert til enhver tid. Feil i tilgangsrettigheter skal rapporteres til sikkerhetsansvarlig, se Programvare Ansatte skal ikke installere programvare. All ønskelige ny programvare og oppdateringer skal testes, godkjennes og installeres av IT-avdelingen Bruk av PC-utstyr Ingen skal forlate sin arbeidsstasjon uten å låse enheten på en forskriftsmessig måte, se sikkerhetshåndbok. Bærbare PC-er som tas med ut fra arbeidsplassen skal ikke inneholde ukrypterte sensitive opplysninger ang. bedrift, kunder etc. som kan skade bedriftens krav til integritet, konfidensialitet og evt. misbrukes dersom PC-en blir stjålet. Side 16 av 29

17 Prosjektoppgave i Sikkerhetsledelse Gruppe D Antivirus og sikkerhetsoppdateringer Alle PC-er som er knyttet til bedriftens nettverk skal ha oppdatert antivirusprogramvare for generell beskyttelse mot skade fra virus/ormer. Firmaets e-post skal kun brukes i jobbsammenheng og ikke nyttes til private formål. Nærmere regler for bruk av e-post hos Sportsgrossisten AS fremkommer i sikkerhetshåndboken IT-avdelingen har ansvaret for at datasystemet er oppdatert med patcher og oppgraderinger etter hvert som de blir tilgjengelige Backup rutiner Alle systemer skal ha pålitelige backupmekanismer. IT-avdeling er ansvarlig for å kontinuerlig teste og ivareta disse mekanismene. Herunder gjelder; Gjenopprettelse av nettverk/systemer/filer, nødstrømsløsninger og oppbevaring av backupmedia. I tillegg skal det foreligge beredskapsrutiner ved krisesituasjoner, som skal være implementert og gjort kjent blant alle involverte. Videre detaljer i sikkerhetshåndboken Leverandørforhold All nye software skal testes i et kontrollert miljø av IT-avdelingen før de installeres på bedriftens datanettverk. IT-avdelingen har ansvaret for at oppdateringene blir installert. Prosedyrene for installering er spesifisert i sikkerhetshåndboken Rapportering Oppdages det overtredelser av Sportsgrossisten AS AS sine regler og retningslinjer, skal vedkommende ta dette opp med nærmeste overordnede evt. til sikkerhetssjefen direkte 5.4 Personellsikkerhet Krav til personellsikkerhet ivaretas gjennom den generelle aktsomhetsplikt som forutsettes ved bl.a. tilsetting og innleie av personell. 5.5 Sikkerhetsopplæring Opplæringsprogrammet skal informere ansatte om hva som anses som ressurser og hva som anses som trusler i forbindelse med bedriftens datasystem. Alle ansatte må gjennom opplæringsprogrammet ved ansettelse. Det skal holdes sikkerhetsseminar en gang i året for å friske opp sikkerhetskunnskapene for alle ansatte. Dette seminaret er sikkerhetsledelsen ansvarlig for å holde. De sikkerhetsansvarlige i bedriften skal ha hatt en utdannelse rettet mot informasjonssikkerhet. De ansatte skal lese og signere en avtale på at de vil overholde sikkerhetspolicyen og de kontrollene og prosedyrene som er implementert. Nyansatte må signere denne avtalen før de får utlevert nøkler og ID kort. I tillegg skal alle nyansatte ha et 30 minutters møte med sikkerhetslederen hvor de får vite hvorfor sikkerhetspolicyen er så viktig for firmaet, hvordan den overholdes, hvilken rolle hver ansatt har for å overholde sikkerheten, hvilke sanksjoner som utføres ved overtredelse, hvor informasjon kan finnes, hvor de kan finne oppdateringer og hvem de skal kontakte dersom de har spørsmål vedrørende sikkerhetspolicyen. De ansatte skal påminnes elementer fra IT-sikkerhetspolicyen månedlig gjennom nyhetsbrev. 5.6 Kontinuitetsplanlegging Basert på en vurdering av relevante risikoer for driftsavbrudd skal sikkerhetsansvarlig påse at det utarbeides planer og iverksettes tiltak som kan redusere avbrudd ved sikkerhetssvikt til et akseptabelt nivå. Det skal utføres realistiske kontroller av disse for å verifisere effektiviteten av de tiltakene som er iverksatt. Driftsenhetene i samråd med sikkerhetsansvarlig har ansvaret for å sikre at systemet og informasjon i systemet kan gjenopprettes. Videre må det bli den enkelte brukers ansvar å foreta en Side 17 av 29

18 Prosjektoppgave i Sikkerhetsledelse Gruppe D hensiktsmessig kontinuitetsplanlegging, herunder å sikre at vital informasjon ikke går tapt ved utilsiktede hendelser. 5.7 Sikkerhetspolicyens effektivitet Sikkerhetspolicyen skal analyseres en gang i året for å undersøke hvor effektiv den er mht bedriftens mål. Man skal her se på risikoanalysene som ble utført ved utviklingen av policyen, og se hvor bra policyen har hindret, rettet og oppdaget trusler mot firmaets IT-sikkerhet. Eventuell forslag til revisjon skal drøftes og videre sanksjoneres hos ledelsen, og alle ansatte skal gjøres oppmerksom på endring i policy. 5.8 Overensstemmelse med eksterne bestemmelser og krav Sportsgrossisten AS skal ha klare regler og krav til sikring av personvern, jmf Personopplysningsloven Sportsgrossisten AS skal også sikre at alle lover og paragrafer til enhver tid følges, samt at de til enhver tid opprettholder de retningslinjer som fremkommer for sikring av kvalitetssystem i ISO/IEC 17799:2000 Side 18 av 29

19 Prosjektoppgave i Sikkerhetsledelse Gruppe D 6 Oppgave (4a) Forutsetninger for e-faktura: Dette er et samarbeid mellom Sportsgrossisten AS, deres bank og bedriftenes banker. Det er slik at når en bedriftskunde betaler en regning, og deres bank støtter e-faktura så blir den betalende spurt om å bruke e-faktura istedenfor normal faktura. Da må kunden akseptere brukervilkår for e- faktura, og etter at disse er akseptert går kunden fra neste regning over til e-faktura. Den vil da automatisk komme opp når andre regninger betales elektronisk. Regnskapssjefen har vist at det har skjedd noe som ikke burde har skjedd, et eller annet sted i kjeden fra kunden har fått varene og faktura lages til kunden betaler fakturaen. For å avdekke dette problemet må man se på prosessen for dette. Man må også se på evt. forandringer i prosessen, i tidsrommet når antall purringer økte. Når dette tidsrommet er, følger av hvor lang betalingsfrist de aktuelle fakturaene har. Det er også en del av prosessen for å løse dette problemet å finne ut hvem som eier den aktuelle kontoen, og i hvilken bank. Dette er noe en bedrift ikke kan få ved å kontakte banken. Det er mulig på egenhånd å finne ut av hvilken bank det er snakk om, da dette identifiseres ved de 4 første sifre i kontonummeret. Det er selvfølgelig problematisk hvis bankkontonummeret er i Sveits, der ikke engang offentlige myndigheter får greie på hvem som eier kontonummeret. Det er ikke mulig å betale inn på en konto i sveits direkte fra nettbank, det er dog mulig å ha en automatisk overførsel av alle innkommende til banken i Sveits. Prosessen 1. Kunden bestiller via OFL-systemet eller automatisk gjennom Butikkdataløsningen, og dette går automatisk. Ansatte i ordreavdelingen/salgsavdelingen har tilgang på ordrene. 2. Ordren genererer automatisk en plukkliste, som de ansatte på lagret utfører og deretter ferdigmelder. 3. Den ferdigmeldte plukklisten genererer en faktura, og tar hensyn til eventuelle restordre. Kunden får faktura for de varene som leveres, og en ny faktura ved levering av restordren. De kundene som bruker e-faktura får denne levert til nettbanken. 3b Ved restorde genereres det en ny plukkliste når den eller de manglende varene kommer på lager igjen. 4. Fakturaen har forfall 21 dager etter utskrivelse, det varierer også etter kundene. En uke etter forfall (tar hensyn til evt. trege betalingsmidler), uten betalingsutsettelse, genereres det en purring. 5. Deretter settes purreprosessen i gang. Side 19 av 29

20 Prosjektoppgave i Sikkerhetsledelse Gruppe D En forenklet figur over hvordan prosessen for generering av faktura og e-faktura foregår: Se e-faktura Butikkdataløsning / manuell ordre Plasserer en ordre LAGER Både datasystemer OG fysisk OFL Ordre Generer plukkliste Ferdigmelding av plukkliste Restordre.... E- fakturmal E-faktura Ordredata + e-faktura mal BANKEN Både datasystemer OG fysisk E - faktura Nettbanken Figur 6.1 Prosessoversikt Dette er en meget forenklet versjon av scenarioet, da ingen internprosesser i for eksempel OFL er tatt med. Ved gjennomgang av denne prosessen, ser man at feilen må ligge i generering av e-fakturaene. Derfor må prosessen for generering av e-faktura gås i sømmene. Det første som må gjøres er å se på malen for genereringen av e-fakturaen. Siden kontonummeret er det samme hver gang, vil feilen ligge her. Ved hjelp av loggen til genereringssystemet vil man kunne lese ut alle e-fakturaer som er generert og når endringer er blitt gjort og av hvem. Det kommer til å bli en møysommelig prosess, men tidsrommet for når loggen må gjennomgås kan begrenses ved at man finner ut dato for siste korrekte innbetalte e-faktura. Det er en mulighet for at det er en stjålet bruker-id som er blitt brukt og/eller at handlingen er utført av noen som ikke lengre jobber i firmaet. BrukerID en kan komme fra hvor som helst i firmaet, og blitt gitt tilgang til å gjøre forandringer på e-fakturasystemet i OFL. Et annet eksempel malen kan ha blitt endret på er vha bakdører som en uærlig sjel i utviklingsavdelingen kan ha lagt inn. Side 20 av 29

21 Prosjektoppgave i Sikkerhetsledelse Gruppe D Det er kjent at i forbindelse med enkelte endringer i OFL-systemet, har personer på IT-avdelingen hatt tilgang til hjelpeprogrammer for å kunne rydde opp på registrene, disse aktivitetene er ikke blitt logget. Det har også vært manglende roller for oppretting og sletting av brukeridentiteter.. Dette medfører visse problemer, da det mest sannsynlig er i dette tidsrommet som endringen på e-faktura malen er blitt gjort. Likevel bør loggen gjennomgåes, da det ikke er sikkert at endringen ble gjort da. Hvis det er en ukjent bruker-id som har stått for skaden på e-fakturamalen, vil man i andre logger kunne se hvem som har opprettet brukeren. Hvis det viser seg at endringer ikke er sporbar, da må politiet kontaktes. Mange i ledelsen vil da bli redde for negativ publisitet og alt dette medfører. Det er derfor det er viktig å spille med åpne kort, slik at man ved en eventuell medieinteresse kan si med en gang hva som har skjedd og dermed unngå spekulasjoner og «krise»-overskrifter. Sportsgrossisten AS viser også ved et eventuelt medieoppslag at de tar ansvar, og vil finne ut hva som har skjedd og hvordan dette kunne skje. Åpenhet og ansvarlighet skaper tillit, dessuten går da Sportsgrossisten AS foran med et godt eksempel for å få gjort noe med mørketallene som eksisterer i følge NSO (Næringslivets sikkerhetsorganisasjon). Med politiet inne i bildet, tar ØKOKRIM over saken, og de vil kunne kreve å få tilgang til det fullstendige systemet. De har også autoritet til å spore opp hvem som har opprettet kontoen, og dermed på den måten få tatt den skyldige. En teori om hvem som har sett muligheten for å tjene noen ekstra kroner, men ikke tenkt på konsekvensene, er en av de som har sluttet i firmaet. Det kan være at personen/personene har gjort dette for egen vinning, men en mulighet er at de er misfornøyde ansatte som gjør dette for å hevne seg. Det er viktig å unngå å mistenkeliggjøre personer internt, da man er uskyldig inntil det motsatte er bevist også i en intern utredning. Denne forferdelige hendelsen medfører endringer i mange rutiner. Blant annet skal det ikke være mulig å endre på OFL-systemet uten at dette logges. Den personen som har tilgang til å forandre malen, skal ikke verre den samme personen som har tilgang til å slette/forandre/lese logger. Det bør også være et varslingssystem som sier ifra når det blir gjort forandringer på særs viktige deler av systemet. For å oppsummere så er loggene de kontrollene som eksisterer. Disse er blitt omgått, slik at systemet i visse tidsrom har vært uten sporbarhet og kontroller. Dette er ikke bra. Det som også mangler er revisjon. Dette er en prosess som går hele tiden, da man ved forandring ikke kan lene seg tilbake i stolen og si: nå er vi ferdige med dette. Nei, da må man evaluere, konkludere og teste. For å kunne fange opp eventuelle feil, må man jobbe aktivt. Ellers merker man det ikke før det er for sent, noe som var det som skjedde. Side 21 av 29

22 Prosjektoppgave i Sikkerhetsledelse Gruppe D 7 Oppgave (4b) Etterlevelse av sikkerhetspolicy/internasjonale krav fra eier Når det nå har blitt opprettet en sikkerhetspolicy for firmaet vil det være naturlig at det settes i verk tiltak for å sikre oppfølging av denne og andre gjeldende regler for firmaet. Det bør derfor opprettes en løpende kontroll av de områdene som policy omfatter. Ansvaret for disse kontrollene legges til lederen for hver avdeling, som vi ser for oss fordelt på denne måten. Regnskapssjefen Finansielle områder Logistikksjef OFL Systemansvarlig Datasystemer Disse rapporterer sine undersøkelser til sikkerhetssjefen som samarbeider med IT-sjefen. Kontrollene bør utføres kontinuerlig gjennom hele året og sikkerhetssjefen bør ha ansvar for at kontrollskjemaene er oppdatert og revidert. Siden det har vist seg at hendelser kan forekomme i fakturasystemet bør sikkerhetssjefen få myndighet til å uanmeldte kunne utføre stikkprøver for ev. å avdekke slik virksomhet. Forslag til forbedrede tiltak i bedriften bør også settes opp i system slik at disse kan implementeres/følges opp av de ansvarlige. For tiden vil dette omfatte svakhetene revisoren/vi har avdekket. De ansatte i bedriften bør med jevne mellomrom minnes på de viktigste sikkerhetstiltakene og oppmuntres til å komme med forslag til forbedringer. Dette for at de skal føle seg som en del av helheten, jobbe for sikkerheten og ikke mot. Det skal foreligge planer for gjennomgang av sikkerhetspolicy. Det skal foreligge planer for igangsetting av nye tiltak. Det skal foreligge en katastrofeplan og planer for testing av denne. Side 22 av 29

23 Prosjektoppgave i Sikkerhetsledelse Gruppe D 8 Vedlegg (overordnet risikovurdering, butikksystem) OVERORDNET RISIKOVURDERING Brudd på konfidensialitet Forretningsområde/tjeneste/objekt: Butikkdatasystem Skadevirkning A = Må for en hver pris ikke forekomme B = Svært alvorlig skade C = Betydelig skade D = Liten skade E = Ubetydelig skade Sårbarhet A = Sannsynlig B = Stor mulighet C = Mulig D = Lite trolig E = Utenkelig Konsekvenser Dersom informasjon utilsiktet eller bevisst avsløres til uvedkommende K.1 Konkurransemessige forhold/ulemper Hvor skadelig kan det være hvis informasjon blir avslørt til uvedkommende (konkurrent) Skadevirkning Sårbarhet Kommentarer eller forklaringer c c Konkurrenter kan få info om kunder, og prøve å stjele de. Lekasje av sensitiv bedriftsinformasjon (teknisk) kan svekke bedriftens (tek./konk.)fortrinn, som igjen kan få økokonsekvenser Kontrollbehov K.2 Lederbeslutninger Kan det bli fattet feil beslutninger som følge av at informasjon er kommet uvedkommende i hende? K.3 Direkte tap, inklusiv misligheter Kan avsløring av informasjon resultere i direkte, målbare tap? c c Sannsynligheten for at det skjer kommer an på erfaringen til ledelsen og deres evne til å takle situasjonen korrekt. Hvilken type info som er i gale hender, og til hvem, er selvfølgelig avgjørende for håndteringsstrategien og beslutningtakingen. b b Børsmeglere, tap i aksjekurs, tap av kunder kunder og svekket omdømme. Regler og rutiner for hvordan kriser skal håndteres Side 23 av 29

24 Prosjektoppgave i Sikkerhetsledelse Gruppe D K.4 Allmenn/offentlig tillit/omdømme Hvis informasjon avsløres hvilken skade kan oppstå mht. offentlig og/eller kundenes tillit og renommé (f.eks. ved fall i aksjekursene eller lignende). K.5 Tilleggskostnader Hvilke tilleggskostnader kan avsløring av informasjon kunne medføre. K.6 Medarbeidernes moral og holdninger Kan det ha en skadelig effekt på medarbeidernes moral og motivasjon dersom informasjon kommer uvedkommende i hende? K.7 Juridiske forpliktelser Kan avsløring av informasjon medfører brudd på lover, forskrifter eller kontraktfestede betingelser? c c c c Kostnader med å forbedre konfidensialiteten og gjenoppretting av skade c c Mister tillit til bedriften, og kan skape interne tvister og mistro/anklagelsesproblematikk. c c Ja, hvis det lagres informasjon som kommer inn under POL Totalvurdering Beregnet totalvurdering av skadevirkning og sårbarhet dersom informasjon kommer uvedkommende i hende? B B Side 24 av 29

25 Prosjektoppgave i Sikkerhetsledelse Gruppe D OVERORDNET RISIKOVURDERING Brudd på integritet Forretningsområde/tjeneste/objekt: Butikkdatasystem Skadevirkning A = Må for en hver pris ikke forekomme B = Svært alvordlig skade C = Betydelig skade D = Liten skade E = Ubetydelig skade Sårbarhet A = Sannsynlig B = Stor mulighet C = Mulig D = Lite trolig E = Utenkelig Konsekvenser Skadevirkning Sårbarhet Kommentarer eller forklaringer Kontrollbehov Dersom informasjon er feil eller bevisst manipulert (for å forøve eller skjule svindel og bedrageri) I.1 Konkurransemessige forhold/ulemper Hvor skadelig kan det være hvis informasjon er feil eller bevisst manipulert? I.2 Lederbeslutninger Kan det bli fattet feil beslutninger som følge av at informasjon er feil eller at det har skjedd uautoriserte endringer? b b Feil prising c d Feilbestillinger, feilaktig informasjon ang f.eks kampanjetilbud osv I.3 Direkte tap, inklusiv misligheter Kan ordre eller kontrakter mistes som følge av at informasjon er feil eller at det har skjedd uautoriserte endringer (inkl. bedragersk virksomhet)? b c Kunder kan gå lei av alle feilene og bytte leverandør. Kontrakter kan mistes som en konsekvens av dårlig omdømme og tillit. Side 25 av 29

26 Prosjektoppgave i Sikkerhetsledelse Gruppe D I.4 Allmenn/offentlig tillit/omdømme Hvilken skade kan oppstå mht. offentlig og/eller kundenes tillit og renommé som følge av at informasjon er feil eller at det har skjedd uautoriserte endringer ( f.eks. ved fall i aksjekursene eller lignende). I.5 Tilleggskostnader Hvilke tilleggskostnader kan oppstå som følge av at informasjon er feil eller at det har skjedd uautoriserte endringer (f.eks. interne undersøkelser og oppretting av tapte eller korrupte data)? I.6 Medarbeidernes moral og holdninger Kan det ha en skadelig effekt på medarbeidernes moral og motivasjon dersom man ikke kan stole på informasjon? I.7 Juridiske forpliktelser Kan det medføre brudd på lover, forskrifter eller kontraktfestede betingelser dersom informasjon er feil eller utsatt for uautoriserte endringer? Totalvurdering Beregnet totalvurdering av skadevirkning og sårbarhet dersom informasjon er feil eller utsatt for uautoriserte endringer? b b Tap av kunder b c Kostnader mhp retting av feil i systemet, og utvikling av tiltak for å sikre integriteten. I tillegg kan man få erstatningskrav, dersom det er operert med feil pris, summer osv. c c Kan være tungt å jobbe med et system når man ikke vet om informasjonen er riktig. Dobbeltarbeid, ved feiloppretting osv. svekker moral/holdningene. b d Ja, hvis det lagres informasjon som kommer inn under POL A B Side 26 av 29

27 Prosjektoppgave i Sikkerhetsledelse Gruppe D OVERORDNET RISIKOVURDERING Brudd på tilgjengelighet Forretningsområde/tjeneste/objekt: Butikkdatasystem Skadevirkning A = Må for en hver pris ikke forekomme B = Svært alvordlig skade C = Betydelig skade D = Liten skade E = Ubetydelig skade Sårbarhet A = Sannsynlig B = Stor mulighet C = Mulig D = Lite trolig E = Utenkelig Konsekvenser Skadevirkning Sårbarhet Kommentarer eller forklaringer Dersom informasjon eller en tjeneste ikke er tilgjengelig (ute av drift) dager uke uker dager uke uker T.1 Konkurransemessige forhold/ulemper Hvor skadelig vil det være hvis informasjon ikke er tilgjengelig? c b a b c c Svekket omdømme, misfornøyde kunder, kundeflukt Kontrollbehov T.2 Leder beslutninger Kan beslutninger bli alvorlig skadelidende som følge av at informasjon ikke er tilgjengelig? T.3 Direkte tap, inklusiv misligheter Kan brudd på tilgjengelighet resultere i direkte, målbare tap? T.4 Allmenn/offentlig tillit/omdømme Hvilken skade kan oppstå mht. offentlig og/eller kundenes tillit og renommé dersom informasjon ikke er tilgjengelig? d c c c d e Tilgang til riktig data kan være av helt avgjørende grad. Feil/ingen tilgang kan få store økonomiske konsekvenser. c b a b c c Ja, tap av kunder og dermed omsetning c b a b c d Ved gjentatte brudd mister kundene troen på butikken. Side 27 av 29

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

1. Systemsikkerhet. 1.1. Innledning. Innhold

1. Systemsikkerhet. 1.1. Innledning. Innhold Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Hvordan velge en leverandør for cloud backup

Hvordan velge en leverandør for cloud backup Hvordan velge en leverandør for cloud backup WHITEPAPER Hvorfor bør du beskytte dine data? Før eller senere via skade, uhell eller feil er det statistisk sannsynlig at du vil miste verdifull data. Flere

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Hver dag jobber vi for å holde HiOA

Hver dag jobber vi for å holde HiOA Hver dag jobber vi for å holde HiOA Sikkerhet er å beskytte verdier vit hva du skal gjøre når noe skjer Page 1 of 16 Mennesker omfatter alle som er tilknyttet HiOA eller oppholder seg på HiOAs område Informasjon

Detaljer

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret. 2.6 Fysisk sikring Formål Prosedyren skal sikre uautorisert adgang til objekter og utstyr benyttet til behandling av informasjon, særlig behandling av sensitive personopplysninger, eller at de ikke er

Detaljer

Policy for etikk og forretningsatferd

Policy for etikk og forretningsatferd Åpen 1/ 6 Policy for etikk og forretningsatferd 1. Formål Dette dokumentet definerer Skandiabanken ASA ( Banken ), sine etiske retningslinjer. De etiske retningslinjene er utformet på et overordnet nivå

Detaljer

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING Ved å sette opp og lage en Preoday App og E-handelsløsning for ditt utsalgssted eller restaurant godtar du disse vilkårene. Hvis du ikke godtar vilkårene,

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Hva er EthicsPoint? EthicsPoint er et omfattende og konfidensielt rapporteringsverktøy

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

OBC FileCloud vs. Dropbox

OBC FileCloud vs. Dropbox OBC FileCloud vs. Dropbox Whitepaper Innledning: utfordringer Ansatte tyr stadig oftere til usikrede, forbrukerrettede fildelingstjenester i nettskyen for å få tilgang til arbeidsdokumenter fra flere utstyrsenheter

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglementet skal fremme god samhandling, god orden, gode arbeidsvaner og bidra til et stabilt og sikkert driftsmiljø slik at det legges

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Oppgave 1. i) Kvalitetsmål for regnskapet:

Oppgave 1. i) Kvalitetsmål for regnskapet: Oppgave 1 Intern kontroll er en prosess, icenesatt og gjennomført av styret, ledelse og ansatte for å håndtere og identifisere risikoer som truer oppnåelsen av målsettingene innen: mål og kostnadseffektiv

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

E-post hosting betingelser

E-post hosting betingelser E-post hosting betingelser AVTALE MELLOM KUNDE OG SMART IT & SECURE SYSTEMS Smart IT & Secure Systems tilbyr kunden tilgang til en epost-tjeneste i henhold til brukerbetingelsene nedenfor. Har dere en

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Net Design Media forplikter seg til å gjøre produktet tilgjengelig for deg innen avtalt tid etter bestilling.

Net Design Media forplikter seg til å gjøre produktet tilgjengelig for deg innen avtalt tid etter bestilling. 1. Generelt Disse avtalevilkår gjelder mellom Net Design Media og vedkommende som er registrert som kunde (kontaktperson) for levering av tjenester levert av Net Design Media. Som kjøper av våre tjenester

Detaljer

Revisjon av IKT-området i en mindre bank

Revisjon av IKT-området i en mindre bank Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens

Detaljer

Juridiske problemstillinger ved avskaffelsen av papirskjema

Juridiske problemstillinger ved avskaffelsen av papirskjema Juridiske problemstillinger ved avskaffelsen av papirskjema Dette dokumentet beskriver de juridiske problemstillingene ved overgang til elektronisk avgitt egenerklæring, og avskaffelse av erklæring ved

Detaljer

Kompetansemål fra Kunnskapsløftet

Kompetansemål fra Kunnskapsløftet Datasikkerhet 2ISFA Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på

Detaljer

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT Berlevåg kommune Overordnet ROS analyse Risiko og sårbarhetsanalyse for Beredskapsavdelingen Innhold INNLEDNING... 3 KATEGORISERING AV SANNSYNLIGHET OG KONSEKVENS... 3 STYRENDE DOKUMENTER... 3 VURDERING

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Det er forventet at du forandrer størrelsen på bilder før du laster dem opp, og ikke endrer størrelsen på dem på siden. Dette har 3 fordeler:

Det er forventet at du forandrer størrelsen på bilder før du laster dem opp, og ikke endrer størrelsen på dem på siden. Dette har 3 fordeler: BETINGELSER OG VILKÅR Lagewebside.no er underlagt disse betingelser og vilkår. Ved å bruke nettsiden og deres funksjonaliteter sier du deg enig i de følgende vilkårene, fra første gang du oppretter en

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

«Dataverdens Trygg Trafikk»

«Dataverdens Trygg Trafikk» Det moderne bankran NOKAS metoden har blitt gammeldags Christian Meyer Seniorrådgiver Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Mørketallsundersøkelsen 2008

Mørketallsundersøkelsen 2008 Mørketallsundersøkelsen 2008 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2008 24-25 September 1 Mørketallsundersøkelsen Dette er den 6. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Rundskriv. Forbedret sikkerthet

Rundskriv. Forbedret sikkerthet Rundskriv Nummer : 09/07 Emne : Viktig melding til alle brukere av www.sildelaget.no Til : Alle brukere av Ekstranett på www.sildelaget.no Sted : Bergen Dato : 22.05.2007 Forbedret sikkerthet Hva gjør

Detaljer

Vedlegg 2 Oppfølging Handlingsplan for å hindre misligheter i foretaket, jf styresak 067/2014

Vedlegg 2 Oppfølging Handlingsplan for å hindre misligheter i foretaket, jf styresak 067/2014 Analyse av rammeverk for å forebygge, avdekke og håndtere misligheter: Rammeverk For å sikre deling av intern og ekstern kommunikasjon dersom misligheter skulle oppstå i organisasjonen er det behov for

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014 Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk.

Detaljer

Finansiell revisjon revisjonsmandatet og misligheter

Finansiell revisjon revisjonsmandatet og misligheter Finansiell revisjon revisjonsmandatet og misligheter Studiesamling 2014 for fylkeskommunale kontrollutvalg på Vestlandet Cicel T. Aarrestad Revisjonsdirektør og statsautorisert revisor www.rogaland-revisjon.no

Detaljer

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 2013 Bergvall Marine OPPGAVE 3 Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 Innhold Oppgave 1.... 2 Oppgave 2.... 7 Oppgave 3.... 9 Oppgave 4.... 10 Kilder:...

Detaljer

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen Nasjonal fagkonferanse i offentlig revisjon 2014 Agenda Bakgrunn Internkontroll ISSAI Risikobildet Vurderinger mht revisjonshandlinger

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten.

«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten. Tjenestenivåprogram for Ariba Commerce Cloud-tjenester Tilgjengelighetsgaranti for tjenester Sikkerhet Diverse 1. Tilgjengelighetsgaranti for tjenester a. Bruk. Tilgjengelighetsgarantien for tjenester

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Datasikkerhetserklæring Kelly Services AS

Datasikkerhetserklæring Kelly Services AS SPESIALISTER REKRUTTERER SPESIALISTER Datasikkerhetserklæring Kelly Services AS Innhold Vårt engasjement ovenfor personvern Hvilke personlige opplysninger samler vi inn? Hvem deler vi personopplysninger

Detaljer

Webhuset AS VPS Avtalevilkår

Webhuset AS VPS Avtalevilkår Webhuset AS VPS Avtalevilkår VPS (virtuell server) er et produkt fra Webhuset AS. I dette dokumentet kan VPS omtales som produktet eller tjenesten og Webhuset AS omtales som leverandøren, Webhuset eller

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Delrapport fra personvernundersøkelsen november 2013 Februar 2014 Innhold Hva er du bekymret for?...

Detaljer

CLIQ Remote. Beredskap

CLIQ Remote. Beredskap CLIQ Remote Beredskap Når tiden er en avgjørende faktor Når man har ansvar for innsatsen ved ulykker, branner og naturkatastrofer, er det helt avgjørende at man kommer raskt inn på eiendommen det gjelder.

Detaljer

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Delrapport 1 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner...

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Testing av intern IT-sikkerhet

Testing av intern IT-sikkerhet Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til

Detaljer

SjekkIT Informasjonssikkerhet

SjekkIT Informasjonssikkerhet SjekkIT Informasjonssikkerhet Mennesker, som enkeltpersoner eller i grupper, har stor betydning for informasjonssikkerhet. Holdninger og organisasjonskultur er noe av grunnlaget for hvordan man forholder

Detaljer

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1 Risiko Risikopunkt

Detaljer

STYRKEN I ENKELHET. Business Suite

STYRKEN I ENKELHET. Business Suite STYRKEN I ENKELHET Business Suite TRUSSELEN ER REEL Nettbaserte trusler mot virksomheten din er reele uansett hva du driver med. Hvis du har data eller penger, er du et mål. Antall sikkerhetshendelser

Detaljer