Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian
Litt historikk IT-sikkerhetsarbeidet ved UiS startet opp sammen med UNINETT og andre aktører i 2009. Formålet var å få en IT sikkerhetspolicy. Fokuset har vært på sikkerhetsarbeidet ved ITavdelingen for teknisk infrastruktur (nettverk) og datasikkerhet. UiS fikk samtidig brev fra Riksrevisjonen med spm om prosessen og hvor langt arbeidet hadde kommet. Derfor ble arbeidet gitt høyeste prioritet.
Litt historikk Kartlegging ble gjennomført som en en-dags workshop 20 juni 2009, ved UiS. Det ble gjennomført intervjuer av nøkkelpersoner fra ledelse, personal og IKT. Det ble også kartlagt status i forhold til institusjonens informasjonssikkerhetsnivå. Det ble utarbeidet et utkast til sikkerhetspolicy for UiS, og denne ble behandlet internt for lokal tilpasning. I en felles en-dags policyworkshop, og dokumentet ble sluttført 28.august 09.
Litt historikk Som mal for vårt arbeid ble ISO-standardene 27001 og 27002 benyttet. Rapport med anbefaling av konkrete tiltak ble klargjort under en workshop høsten 2009. UiS sin Sikkerhetspolicy ble godkjent av universitetets- styret den 28.02.2010.
Konkrete interne problemstillinger i 2009 IT-infrastruktur utfordringer er: - Ikke nok investeringsmidler i 2009 - Manglende redundans på kritiske systemer som switch/router, nettverkslinjer, serverer IT-sikkerhetspolicy utfordringer er: - For åpent nettverk - Ikke god nok datasikkerhet (Personvern) - Utilstrekkelig sikkerhetsdokumentasjon IT-rutiner utfordring er: -Ikke tilstrekkelige prosedyrer og kvalitetssikring
Interne utfordringer (forts.): Manglende helhetstenkning for IKT-prosjekter i hele organisasjonen. Manglende IKT-strategi og IKT-arkitektur. Mangler utviklingsmidler, bare nok til drift. Ekstraordinære og uforutsigbare prosjektmidler som er velkomne men er uheldige for kontinuiteten. Bedre forhold til lokale IT-ressurser ved fakulteter og institutter
Hvordan sikkerhetsarbeidet ble organisert internt Riksrevisjonen reviderte datasikkerhet i november 2010, og UiS fikk noen merknader. UiS opprettet et sikkerhetsforum med fokus på selve implementasjonsprosessen, hvor det var representanter fra hver fakultet, administrasjonen, It direktør, CSO og en jurist. I tillegg til rutiner for fakultetene ble det også laget overordnete rutiner for hele UiS. Det ble utnevnt SO er (sikkerhets officer). Alle lederne ved fakultetene fikk en perm med instrukser.
Hva har vi gjort så langt? Dokument/rapporter presentert til ledelsen Gjennomgang av sikkerhetsinformasjon ved UiS 3 Tekniske ROS vurderinger ved UiS-IT 2 Sårbarhetsanalyser av nettverket (Mnemonic) SWOT analyse Beredskapsanalyse BIA (Business Impact Analyse) Dokumenter behandlet og godkjent av universitetets styret: Sikkerhetspolicy IT Strategi for UiS
Er vi sikre nok? Svaret er NEI - man må jobbe kontinuerlig med sikkerhet. Uansett hvor mye man forbedrer fysisk sikkerhet, rutiner og prosedyrer, det blir aldri nok med opplæring om hvordan informasjonssikkerhet skal håndteres. Utfordringen er fortsatt mellom tastatur og skjerm. Trenger tett oppfølging og kontinuitet i arbeidet for å kunne endre organisasjonskulturen.
Målsetting på sikkerhet Følge opp ROS-analysene og fjerne alle høyrisikoelementer i løpet av 2012-2013.
Revisjonen er gjennomført, hva nå? Sikkerhetskultur skal bygges ved å tydeliggjøre ansvarsområder. Kommunikasjon og erfaringsoverføring og holdninger til sikkerhet, kan være med å avdekke sikkerhetskulturen. UiS ledelse skal regelmessig følge opp at tiltak på grunnlag av avvik fastlegges, planlegges og gjennomføres. Sikkerhetsrevisjoner skal gjennomføres jevnlig og minimum årlig. Ledelsen skal utarbeide og vedta en plan for sikkerhetsrevisjoner i virksomheten.
Takk for oppmerksomheten