Sikkerhetskultur og informasjonssikkerhet

Like dokumenter
Sikkerhetskultur og informasjonssikkerhet

Informasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem

Nytt fra sekretariatet

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Saksbehandler: Wenche Håvik Arkiv: 007 Arkivsaksnr.: 14/2730

Leverandøren en god venn i sikkerhetsnøden?

OVERORDNET HMS MÅLSETTING

God sikkerhetsatferd Hva er det og hvordan få det?

Etiske retningslinjer for Universitetet i Agder.

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Medarbeidersamtale. Veiledningshefte. Medarbeidersamtale. Mars 2004 Avdeling for økonomi og personal

Oslo kommune Utdanningsetaten

GRONG KOMMUNE - et aktivt og robust regionsenter med livskvalitet og mangfold

Lynkurs om bransjenormen

Risikovurdering av Public 360

Først vil jeg takke for invitasjonen til lanseringen av Rovdata.

Sikkerhetslov og kommuner

NASJONAL SIKKERHETSMYNDIGHET

Retningslinje for risikostyring for informasjonssikkerhet

Ny styringsmodell for informasjonssikkerhet og personvern

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Kunnskapsbehov. Torleif Husebø PTIL/PSA

Sikkerhetsutfordringer ved informasjonsbehandling

Marine introduserte arter i Norge. Anne Britt Storeng Direktoratet for naturforvaltning

Trusler, trender og tiltak 2009

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Læreplan i felles programfag i Vg1 service og samferdsel

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

Sikkerhetskultur Hva er det og hvordan få det?

Etikk, åpenhet og dialog hvordan skape tillit? «Saman om ein betre kommune», nettverk - omdømme

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Forebygging av sykefravær hva kan arbeidsgivere og HMS-arbeidet bidra med?

Fra elev til lærer med digital kompetanse. Seksjon for digital kompetanse Irene Beyer Log og Tonje Hilde Giæver Høst 2014

Oppfølging av informasjonssikkerheten i UH-sektoren

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Endringer i introduksjonsloven

Informasjonssikkerhet i UH-sektoren

Olje- og energiminister Einar Steensnæs Olje- og energidepartementet

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

MOT i fritid Beskrivelse av gjennomføring

Arkitekturprinsipper i spesialisthelsetjenesten. Versjon 1.0 Sist oppdatert: 27. nov 2014

SUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.

BÆRUM KOMMUNE. Bilag 1: Kundens kravspesifikasjon

Ansvarlig forvaltningsvirksomhet i Folketrygdfondet - Anstendige arbeidsforhold og faglige rettigheter

På lederutviklingsprogrammene som ofte gjennomføres på NTNU benyttes dette verktøyet. Du kan bruke dette til inspirasjon.

Godt arbeidsmiljø med enkle grep!

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Informasjonssikkerhet

Kurskatalog. Bluegarden Kurssenter

orske virksomheter i det digitale rom

Sikkerhetskultur i Bufetat med bruk av dilemmatrening, gadgets og mer!

Større ulykker - hva har vi lært om læring?

Bakgrunn. Experience er opprettet i. Alexanders minne, og Robin. står i føringen med brødrenes. filosofi og visjon som. The Dale Oen Experience er

Etiske retningslinjer for MOVAR.

Hvordan kan vi forebygge storulykker?

IT-sikkerhet en praktisk tilnærming. Gardemoen

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

MEDARBEIDERSAMTALEN INNLEDNING. GJENNOMFØRING Obligatorisk. Planlegging og forberedelse. Systematisk. Godkjent August 2010 Evaluert/revidert: 06/12,

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Olav Ulleren, administrerende direktør, KS. Hva anbefaler KS? Arbeidsgiverpolitikk. Rekruttering. Belønning

Sør-Aurdal kommune. Etiske retningslinjer

Hvordan møte kritikk?

Revisjon av informasjonssikkerhet

Sammen skal vi skape en bedre kommune! Fra å spire... vil vi SKAPE. Prosjektplan. Fra å Spire vil vi Skape

TRUSSELVURDERING 2008

IA-ledelse for å styrke lederkompetansen i IA-arbeidet

Velferdsteknologi i morgendagens omsorg. Une Tangen, rådgiver KS Forskning, innovasjon og digitalisering

Informasjonssikkerhet

LP-modellen som utviklingsarbeid i skolen

Informasjon og medvirkning

Instruks for administrerende direktør Helse Nord IKT HF. Vedtatt av styret xx.xx.2016

Vår digitale hverdag Et risikobilde i endring

Innhold 2 STATKRAFTS LEVEREGLER FOR LEVERANDØRER. Melding til våre leverandører... 3

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

DOK2analysemodellen 1

Vår referanse Arkivkode Sted Dato 12/ DRAMMEN OMSTRUKTURERING AV DAGSENTERTILBUDET VED HJEMMETJENESTEN STRØMSØ

NORSK KIROPRAKTORFORENING

Den lette veien til sikkerhet og enkelhet

LMU-forum. 21. September 2010 Erling H. Dietrichson, Kunnskapsdepartementet

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

TJENESTERAPPORT TIL KOMMUNESTYRET I HEMNE

Planstrategier. Opplæring i plandelen av Plan- og bygningsloven Nedre Glomma

NASJONAL SIKKERHETSMYNDIGHET

Arbeidstid. Medlemsundersøkelse mai Oppdragsgiver: Utdanningsforbundet

Ansvarlig lønnsomhet Difi 12. mai Camilla Skjelsbæk Gramstad

Kan lønn og personal bli en kritisk suksessfaktor i helsevesenet?

HØRINGSSVAR FRA HORDALAND POLITIDISTRIKT ENDRINGER I UTLENDINGSFORSKRIFTENS REGLER OM TIDLIG ARBEIDSSTART OG FAMILIEGJENFORENING MED EØS- BORGERE

Læreplan i felles programfag i Vg1 elektrofag

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

OSLO KULTURNATT 2015 PUBLIKUMSUNDERSØKELSE. Kjersti Tubaas

Erfaringer fra internrevisjonen i UDI. DFØ, 26. januar 2016

BEBY-sak 57-04: Forvaltningsrevisjonsprosjektet "Barnevern i barnehager". Delrapport I

Grete Hagebakken Høgskolen i Harstad. LUK-samling, Mo i Rana den 19/3 2012

Transkript:

Sikkerhetskultur og informasjonssikkerhet SUHS 2012 CSO-forum Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet, UNINETT

Om Øivind Seniorrådgiver ved UHsektorens sekretariat for informasjonssikkerhet hos UNINETT Har jobbet 20 år i Statoil med informasjonssikkerhet, sikkerhetskultur og risikovurderinger Sertifisert IT-revisor og innen risikostyring Medlem av ISACA Norges standard og forskningskomité 2

Agenda Trusselbilder Nye bruksmønstre Hva skal vi beskytte? Hvordan bygge en god sikkerhetskultur Hva kan UNINETT bidra med? 3

Trusselbilder fra PST Ifølge den nyeste trusselvurderingen utarbeidet av Politiets Sikkerhetstjeneste vil utenlandsk spionasjeaktivitet rettet mot norske interesser fortsette på et høyt nivå. 4

Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser.» 5

Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling.» 6

Trusselbilder fra NSM «Fremmede staters etterretningstjenester søker primært å innhente informasjon som kan fremme landets politiske og økonomiske interesser.» «Aktiviteten er hovedsakelig rettet mot forsvars- og sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer.» 7

Trusselbilder fra E-tjenesten Den norske militære etterretningstjenestes åpne trusselvurdering peker på elektronisk spionasje som den største trusselen mot norske interesser i fredstid. 8

Oppsummering av trusselbilder Sosial manipulering (Social engineering) Phishing-angrep Elektronisk spionasje Hactivism fra aktører som bla. Anonymous Sporadiske hackere med ikke-målrettede angrep, DDOS (Distributed Denial-of-Service) angrep osv. Elektronisk krigføring (Cyberwar) 9

Viktig! Det er ikke malware og datamaskiner som angriper IKT-systemene våre, det er mennesker. 10

11

Sikkerhetshendelser hos oss Vi har hatt hackerangrep på våre tungregneanlegg Titan i Oslo og Stallo i Tromsø Dårlige sikkerhetsrutiner og manglende sikkerhetsoppdateringer Stjeler brukernavn og passord for å logge seg på andre systemer for å finne informasjon og tjenester de kan utnytte Hackere fra Australia, Tyskland og Nederland ble dømt 12

Misbruk av SIPtelefonisystemer Hacking av SIPtelefonisystemer Stjeling av tellerskritt som medfører store økonomiske tap 13

Nye bruksmønstre og brukerforventninger Smarttelefoner og nettbrett Mobile arbeidsplasser Bring your own device Skytjenester (Cloud computing) Dropbox, Google transelate, Prosjektplassen, browser plug-ins Sosiale media Facebook, Linkedin, Twitter Mindre skille mellom jobb og fritid 14

Informasjonssikkerhet Vi ønsker å beskytte sensitiv og forretningskritisk informasjon basert på: 15 Konfidensialitet (Forskningsresultater) Integritet (Vitnemål) Tilgjengelighet (Samordna opptak)

Informasjonsklassifisering Det er en viktig oppgave å skaffe fullstendig oversikt over systemer og informasjonseiendeler. Virksomhetskritiske systemer og informasjonseiendeler må også identifiseres. Klassifiser informasjonen: Åpen Intern Sensitiv 16 Finn akseptabelt risikonivå.

Sensitiv informasjon Forskningsresultater (eks.: olje og gassutvinning, nano-, bio- og mobilteknologi) Personopplysninger, f.eks. spesialtilrettelegging pga. sykdom Eksamensoppgaver før eksamen 17

Virksomhetskritiske informasjon og systemer Forskningsrelaterte data 18 Samordna opptak Epost Hvem oppholder seg i bygg/laboratorier i tilfelle brann/ulykke

Informasjonssikkerhet og IT-sikkerhet i arkitekturen 19

Informasjonssikkerhet i prosjektgjennomføring Ide Analyse Realisering Utrulling Drift og B1 B2 B3 B4 B5 videreutvikling Avvikling Bestem roller og ansvar for informasjonshåndtering. Utfør informasjonsrisikovurdering. Lage en informasjonsklassifisering. Bestemme hvordan du utveksle sensitiv informasjon internt og med eksterne parter. Opprett lagringsområder for data. Gi tilgang til IT-løsninger og bygninger. Etabler en sikkerhetskultur og formuler konkrete krav til prosjektet Klassifiser og håndter informasjon og følg informasjonssikkerhetsråd og beste praksis. Forstå hvordan man skal utveksle sensitiv informasjon internt og eksternt. Følg organisasjonens reiseråd. Arkiver informasjon. Utfør informasjonsrisikovurdering ved hvert beslutningspunkt (Spesielt viktig ved B2 og B3). Arkiver gjenværende arkivverdige dokumenter, inkludert e-post, og papirkopier. Rydde og slette lagringsområder for data. Fjern tilganger til bygninger og IT-løsninger. Hvis 3. part har fått tilgang til prosjektinformasjon, må det vurderes om tredje part skal bli bedt om å fjerne slikt informasjon. 20 «Security by design»

Sikkerhetstilstanden i Norge Sikkerhetstilstanden blir fortsatt svekket i Norge. Risikoforståelsen knyttet til spionasje, sabotasje og terror er fortsatt for lav. Viktige tiltak som risikovurderinger, kompetanseheving, rapportering og sikkerhetsrevisjoner blir ikke gjennomført. 21 (Fra NSMs Rapport om sikkerhetstilstanden 2011)

Slapp sikkerhetskultur og dårlige kunnskaper Kompetansen hos ledere og sikkerhetspersonell har vært nedadgående de senere årene. Mange med konkrete sikkerhetsoppgaver mangler kompetanse om hvordan oppgaver tilknyttet forebyggende sikkerhet skal eller kan løses. Dette fører ofte til sikkerhetsbrudd som begås i god tro. Dette har som regel sammenheng med mangel på planmessig opplæring i virksomheten. 22 (Fra NSMs Rapport om sikkerhetstilstanden 2011)

Riksrevisjonen har følgende anmerkninger i forhold til UH-sektoren: Manglende risikostyring Manglende implementering av sikkerhetspolicy Manglende identifisering og klassifisering av personopplysninger Manglende kunnskap vedrørende behandling av personopplysninger Avvikende praksis i forhold til rutiner vedr. tilgangskontroll og manglende avvikshåndtering Manglende etablering av internkontrollsystem iht. personopplysningsloven Manglende tiltak i forhold til sikkerhetskultur 23

22. juli-kommisjonens anbefaling «Kommisjonens viktigste anbefaling er at ledere på alle nivåer i forvaltningen systematisk arbeider med å styrke sine egne og organisasjonenes grunnleggende holdninger og kultur.» 24

Problemet løst! 25

Sikkerhetskultur Sikkerhetskulturbegrepet oppsto på bakgrunn av flere alvorlige ulykker på 80-tallet: 26 Tsjernobyl Challenger Piper Alfa

Tre norske togulykker 22. februar 1975: 27 mennesker omkom da et nordgående og et sørgående persontog kolliderte ved Tretten stasjon i Gudbrandsdalen. Saken ble avsluttet etter at man avdekket at en av togførerne hadde kjørt mot rødt lys. 27 4. januar 2000: 19 mennesker omkom da to tog kolliderte ved Åsta på Rørosbanen. Togfører kjørte også her mot rødt lys, men etterforskningen avdekket systemsvikt i flere ledd. Infosjef: «Kjent feil i signalsystemet utgjorde ingen fare» Systemsvikt ble også avdekket etter ulykken på Sjursøya i 2010.

Hvem av disse har størst fokus på sikkerhet? 28

Definisjon på sikkerhetskultur Sikkerhetskultur er summen av medarbeidernes kunnskap, holdninger og adferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsadferd. 29 (NSM)

«Vi har ikke implementert sikkerhetskultur ennå» (Vanlig uttalelse) 30 «Vi mangler ikke sikkerhetskultur, den er bare veldig dårlig.» (Roar Thon, NSM)

Gode sikkerhetsregler Sikkerhetsfolk tenker ofte 100%-løsninger som blir vanskelige å overholde og dermed ikke følges. 31 Det som trengs er gode sikkerhetsregler og løsninger som fungerer i det daglige arbeid.

20% teknologi 80% holdninger Informasjonssikkerhet er ikke kun et teknologiproblem. Den beste sikringsverktøyet sitter mellom ørene til folk. 32 Det må bare implementeres!

Etablerte virkelighetsoppfatninger Informasjonssikkerhet er ITs ansvar. 33 Også kalt ØSS Øystein Sunde Syndromet: Vi har folk til slikt IS handler kun om å holde informasjon hemmelig.

Riktige virkelighetsoppfatninger Informasjonssikkerhet angår det jeg har ansvar for. Informasjonssikkerhet er god forvaltningsskikk. Informasjon, folk og penger er de viktigste innsatsfaktorene for å nå våre mål. 34

Sikkerhetskultur i kunnskapsvirksomheter Rutiner og lydighet eller akademisk frihet? 35 Kirkefader Augustin: Fasthet i det sentrale Frihet i det perifere Kjærlighet i alt

Hvordan bygge en god sikkerhetskultur Jobben med å bygge en god sikkerhetskultur er ikke en engangsaktivitet. Arbeidet må ha et langsiktig perspektiv for å oppnå de ønskede resultater. Det er viktig med støtte og forankring fra ledere i organisasjonen. Kulturen er påvirket av ledelsens sikkerhetsbevissthet og hvilke signaler som gis. Det må settes av ressurser i form av tid og midler Budskap og kanaler må tilpasses målgruppene. 36

Hvordan bygge en god sikkerhetskultur Kunnskapsoverføring i forhold til trusler, risiko, ansvar, forventninger m.m. Gode gjennomførbare sikkerhetsregler. Informasjon og diskusjon om hendelser fra egen virksomhet sikrer god motivasjon. Og så må man repetere budskapet jevnlig og evaluere årlig. 37

Sikkerhetskulturprogrammer Sikkerhetskulturprogrammer er et viktig verktøy for alle organisasjoner, uavhengig av størrelse. Sikkerhetsansvarlige må skape klare, håndhevbare sikkerhetspolicyer og være et eksempel for å fremme en god sikkerhetskultur. Opplæring og ansvarliggjøring av medarbeidere vil være sentralt i slike programmer. 38

Byggesteiner for god adferd Kultur Verdier Holdninger Normer Vaner Adferd Struktur Styringssystemer Regler Prosesser Ledelse Teknologi 39 Samhandling Kommunikasjon Informasjon

Arbeidsprosess Analyse 40 Evaluering Utvikling av tiltak Implementering

Suksessfaktorer Ledelsesstøtte Alle må med Ressurser Tilpasset organisasjonens behov, sikkerhetssystemer og kultur Kommunikasjon av resultater Høy grad av åpenhet og tillit i organisasjonen Åpenhet og lydhørhet i ledelsen 41

Sekretariat for informasjonssikring Opprettet på oppdrag av KD Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid 42

Hva kan UNINETT bidra med? Sekretariat for informasjonssikkerhet i UH-sektoren Etablere og drive et forum for CSO-er Årlig sikkerhetsforum-konferanse 43 Eget spor for sikkerhetsansvarlige på SUHS-konferansen Rådgivning som hjelp til utforming av policyer, strategier, risikovurderinger, kontinuitet- og beredskapsplaner og andre tiltak. Eget nettsted på uninett.no med blog og materiell Presentasjonsmateriell, brosjyrer, håndbøker, veiledninger m.m. Deltakelse i internasjonale fora som NORDUnet og Terena

Takk for meg 44 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet +47 97104968 oivindh@uninett.no https://twitter.com/oivindhoiem

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding