Mattilsynets erfaring med egenutvikling av e-læringskurs til bruk i sikkerhetsmåneden. Suzette Damman, 31. mai 2017

Transkript

1 Mattilsynets erfaring med egenutvikling av e-læringskurs til bruk i sikkerhetsmåneden Suzette Damman, 31. mai 2017

2 Agenda 1. Hvorfor valgte Mattilsynet å utvikle et eget kurs i 2016? 2. Hva er Mattilsynets erfaringer med egenutvikling av kurs? 3. Hva gjør Mattilsynet i 2017?

3 Hvorfor valgte Mattilsynet å utvikle et eget kurs i 2016?

4 Omorganisering i 2015 Ny sikkerhetsorganisasjon kom på plass i slutten av GDS ble lansert i juni 2016, som erstattet 2 tidligere dokumenter: Sikkerhetsarbeid i Mattilsynet Organisering av sikkerhetsarbeid Ønske om å formidle ny sikkerhetsorganisasjon og innholdet i GDS.

5 ROS-analyse IKT 2016 (1) Våren 2016 gjennomførte IKT en risikoanalyse for å kartlegge IKTrelaterte risikoer og trusler som Mattilsynet står ovenfor. Til sammen ble det meldt inn 105 risikoelementer. Etter vask (fjerning av dubletter, slå sammen lignende risikoer) sto vi igjen med 23 risikoelementer. Disse ble knyttet til sikringstiltak fra ISO 27002, og konsekvens og sannsynlighet ble satt i to omganger. Manglene bevisstgjøring og opplæring på informasjonssikkerhet blant ansatte.

6 ROS-analyse IKT 2016 Manglene bevisstgjøring og opplæring på informasjonssikkerhet blant ansatte. Tiltak: Utvikle eget kurs til nasjonal sikkerhetsmåned 2016 Revidere «Regler for bruk av IKT» Opplæringsplan for 2017

7 NorSIS (1) NorSIS lager e-læring til nasjonal sikkerhetsmåned i samarbeid med Junglemap. For 2016 ble det utviklet et kurs med 20 leksjoner, hvor 8 ble kjørt i sikkerhetsmåneden. Mattilsynet har plattformlisens hos Junglemap og dermed tilgang til hele kurset. Det betyr at Mattilsynet står fritt til å velge hvilke leksjoner vi vil bruke, samt at vi kan tilpasse disse etter behov. Mattilsynet vurderte innholdet av kurs i august/september 2016.

8 NorSIS (2) Mattilsynets vurdering: For overordnet (ikke er så overraskende med mottagere) Mer av det samme (phishing, virus, passord) 4 av 20 leksjoner ble vurdert som aktuelle, men krevde endringer. Konklusjon: vi utvikler selv!

9 Mattilsynets kurs i Nasjonal sikkerhetsmåned Loven er der for vår sikkerhet 3. Informasjonssikkerhet, hva er det? 4. Objektsikkerhet 5. Mer om informasjonssikkerhet 6. Personellsikkerhet 7. Taushetsbelagte opplysninger 8. Sikkerhetskultur

10 Et bilde fra hver leksjon

11 Et bilde fra hver leksjon

12 Et bilde fra hver leksjon

13 Et bilde fra hver leksjon

14 Et bilde fra hver leksjon

15 Et bilde fra hver leksjon

16 Et bilde fra hver leksjon

17 Et bilde fra hver leksjon

18 Hva er Mattilsynets erfaringer med egenutvikling av kurs?

19 Erfaringer - ulemper Utvikling av egne kurs krever kunnskap og ressurser. Det er vanskelig å tilfredsstille 1350 ansatte. Langvarige høringsrunder (IKT-ansatte, jurister, pedagoger, osv.)

20 Erfaringer - fordeler Eksisterende kurs kan tilpasses egen virksomhet (krever plattformlisens). Mulighet for utvikling av kurs som er rettet mot egen virksomhet. Gode rapporteringsmuligheter for oppfølging av ansatte. Ansatte stiller spørsmål, bevisstgjøring øker. Forespørsler om å holde innlegg på regionmøter, ledermøter osv. Sikkerhet har blitt et aktuelt tema i Mattilsynet.

21 Noen erfaringstall Nasjonal sikkerhetsmåned 2016 (ikke obligatorisk) Sendt til 1428 ansatte Ikke tatt hensyn til ulike typer ansatte Ikke tatt hensyn til ansatte som er langtidsfraværene De som starter en leksjon, fullfører ofte.

22 Noen erfaringstall Regler for bruk av IKT (obligatorisk, pågår) Sendt til 1368 ansatte Det er tatt hensyn til ulike typer ansatte Langtidsfraværene er i detaljrapporten overført til en «fiktiv seksjon» (vises ikke i oversikten under).

23 Hva gjør Mattilsynets i 2017?

24 Opplæringsplan 2017 Obligatorisk kurs i «Regler for bruk av IKT» pågår (NanoLearning) Opplæring av ledere pågår (Skype) Nasjonal sikkerhetsmåned oktober 2017 (NanoLearning) NorSIS sitt kurs blir vurdert. Behandling av taushetsbelagte opplysninger dato ikke satt Ny personvernforordning dato ikke satt Andre aktuelle tema: Ute i felt (inspektører) IKT-kontakter og informasjonssikkerhet Nyansatte Merking og skjerming

25 Regler for bruk av IKT Velkommen til kurs! Regel 1: Ditt brukernavn og passord er personlig Regel 2: Mattilsynets informasjon og lokaler skal beskyttes på en forsvarlig måte Regel 3: Taushetsbelagte opplysninger skal ikke spres Regel 4: Vær varsom med hvilke opplysninger du sender på e-post Regel 5: Informasjon som lagres i Mattilsynets systemer, er Mattilsynets eiendom Regel 6: Utstyr og programvare skal behandles ansvarlig Regel 7: Vær varsom når du kommuniserer med Mattilsynet fra utland/risikoland Regel 8: All aktivitet på Mattilsynets datasystemer blir logget Regel 9: Brudd på regler skal meldes som sikkerhetsavvik og kan få konsekvenser Kunnskapstest

26 Spørsmål?