KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?



Like dokumenter
Internkontroll og informasjonssikkerhet lover og standarder

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISOs styringssystemstandarder et verktøy for forenkling

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Ledelsens gjennomgåelse Anne Grændsen Norsk akkreditering / Grændsen consulting

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Retningslinje for risikostyring for informasjonssikkerhet

Hvordan sikre seg at man gjør det man skal?

Kan du legge personopplysninger i skyen?

Akkumulert risikovurdering oktober 2015

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Skyløsninger. Sikkerhet og leveransemodell

Innebygd personvern og personvern som standard. 27. februar 2019

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Internkontroll for arkiv den nye arkivplanen?

Hva kjennetegner god Risikostyring?

INTERNKONTROLL V.3. Sikkerhetssymposiet Esten Hoel, SVP Quality & Security

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Endringer i ISO-standarder

Gjelder fra: Godkjent av: Fylkesrådet

Styring av risiko og samfunnsansvar i Asker kommune

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

IT-forum våren ITIL et rammeverk for god IT-drift

Nettskyen, kontroll med data og ledelsens ansvar

Styringssystem basert på ISO 27001

Revisjon av IT-sikkerhetshåndboka

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Mål, målinger og oppfølging hvilke faktorer er viktige for å lykkes? Ragnar Løken, RL Bedriftsrådgivning

Risikoanalysemetodikk

Standarder for risikostyring av informasjonssikkerhet

Egenevalueringsskjema

Erfaringer med innføring av styringssystemer

En monopolvirksomhets sikkerhetsferd mot den offentlige skyen

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Aggregering av risiko - behov og utfordringer i risikostyringen

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

fokus på operasjonell versus strategisk risiko

Følger sikkerhet med i digitaliseringen?

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

Avito Bridging the gap

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Hva er et styringssystem?

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Bedre personvern i skole og barnehage

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Kommende Trender Innenfor Test

Risiko og sårbarhetsanalyser

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Cloud computing. Bruk av skytjenester krever en klar strategi

SIKRING i et helhetsperspektiv

Skytjenester i skolen

Smart Grids og personvern

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Skytjenester (Cloud computing)

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

Personvern og informasjonssikkerhet ved anskaffelser

Sikkerhetskultur. Helge Holtebekk Oslo T-banedrift AS

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

SIKRING i et helhetsperspektiv

Hvordan lykkes med Offshoring av IT- tjenester

Et skolebygg å være stolt av!

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Gode råd til sikkerhetsansvarlige

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Foretakets navn : Dato: Underskrift :

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hva er risikostyring?

Stian Estil IT TRENDER 2011

Risikostyring og informasjonssikkerhet i en åpen verden


Kan det lages et felles internkontrollsystem i kommunen? Åre Tor Ivar Stamnes, Kvalitetssjef

Personopplysninger og opplæring i kriminalomsorgen

Capgemini Bergen. og vi snakker om... Simply. Business Cloud. Rolf Wangsholm regiondirektør

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Transkript:

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning 2014: 25 milliarder kr Sopra Steria i Skandinavia: 1.300 medarbeidere Web: soprasteria.no Ivar Aasgaard Consulting Senior Manager Jobber med informasjonssikkerhet og risikostyring Siv. ing. NTH 1983 Sertifisert CISSP-ISSAP, ISO 27001 PA, TOGAF v9 Certified, CISM Mailadresse: ivaa@soprasteria.com 2 1

HVORDAN HA KONTROLL? Tenk gjennom hva virksomheten må gjøre for å oppnå akseptabel risiko Utarbeide prosesser/prosedyrer for hvordan jobbe med infosikkerhet inkl. roller og ansvar Hey! Du har laget et mini styringssystem! (Må ikke oppfylle ISO 27001!) Gjør denne informasjonen enkelt tilgjengelig for alle som trenger det Og markedsfør, gi opplæring, vis ledelsens forpliktelse, still forventninger Innfør intern kontroll av etterlevelse av prosedyrene For å fortsette å ha kontroll: Organiser for kontinuerlig forbedring Måling av effektivitet av tiltak; revisjoner; ledelsens gjennomgang 3 Kjappe, billige skytjenester men har du kontroll? EKSEMPEL PÅ INFORMASJON I STYRINGSSYSTEM/-VERKTØY Eksemplet var fra Forbedringsprosessen i «Check» (ref. Plan Do Check Act) Styringssystemet / prosessene var modellert i verktøyet Qualiware 4 2

ANSKAFFELSE AV SKYTJENESTE (SAAS, PUBLIC CLOUD) Hvor forretningskritisk er «applikasjonen» du vil flytte ut? Hvilke lover og forskrifter er bruken underlagt? Kartlegg og klassifiser informasjonen som vil behandles/lagres Gjennomfør risikoanalyse og risikovurdering (sjekk mot kriterier) Oppfyller skytjeneste/-leverandør kravene i ditt styringssystem/isms? Utarbeid forslag til risikobehandling og få disse godkjent Utarbeid plan for gjennomføring med ansvarlige og milepeler Etabler oppfølging av fremdrift og rapportering til ledelsen 5 RISIKOVURDERING BASICS Risikoprodukt: Risiko for hendelse = sannsynlighet x konsekvens Anslått tap / kostnad, f.eks. pr år Sannsynlighet for at en hendelse inntreffer = trussel x sårbarhet Risikobehandling - fire vanlige former Redusere Unngå Overføre Akseptere Meget høy Sannsynlighet Meget lav Ubetydelig Konsekvens Virksomhetskritisk Det er hendelser med store konsekvenser men lav sannsynlighet som er mest krevende 6 3

NOEN MENINGER Forretningen bør eie forretningsrisiko, inkl. relatert IT-risiko Risikovurderinger bør gjøres i samarbeid mellom forretning og IT. Ulike teknikker kan benyttes; workshops, intervjuer, skjemaer, etc. Sikkerhetsrådgiver og IT-medarbeider må være positive til å løse det forretningen ønsker men må klare å bevisstgjøre forretningsansvarlig om risikoer Forretningen må forstå risikoene men ikke forvent at forretningsansvarlige skal ha identisk oppfattelse av risiko eller identisk prioritering som en sikkerhetsrådgiver eller IT-medarbeider Møtereferater, bekreftelser på mail etc. er lurt for å dokumentere hva man var enig om (sporbarhet) 7 NOEN HENDELSER 8 4

CODE SPACES MARERITT 9 FOTO KNUDSEN 1 10 5

FOTO KNUDSEN 2 11 EXCHANGE ONLINE 12 6

AMAZON WEB SERVICES 13 TIPS OG TRICKS (1) Balanser risiko forretningsmulighet vs. tap, og risiko vs. kostnad til tiltak Ikke stol på selger sjekk ut salgsargumentene Be leverandør om standard betingelser/avtale tidlig i prosessen Gå nøye gjennom betingelsene Veldig viktig spesielt for SaaS leverandøren har størst ansvar På engelsk? Skjønner du alt? Har du behov for bistand? Hva støttes av incident mgt., business continuity and disaster recovery? Sjekk forutsetningene hos referansene. Representative? Hvis du ikke har fått kriterier for akseptabel risiko fra ledelsen, er det dere i risikovurderingsgruppen som i første omgang er nærmest til å vurdere hva som er akseptabel risiko. 14 7

TIPS OG TRICKS (2) Leverandøroverlevelse - uventede ting skjer Gode eksempler er Enron og Barings bank. (Virksomheter som har økonomiske problemer vil prøve å unngå å fortelle om dem for ikke å forsterke effekten!) Hvis du synes risikoen er akseptabel, hvordan vil du overvåke og detektere når den eventuelt går over til å være uakseptabel? Kriterier for å bytte leverandør? Hvem skal ta beslutning? Krav til interoperabilitet Mulig å spre tjeneste på flere leverandører? Data backup? Krav til portabilitet Utarbeid grov Exit-plan ifm. at du inngår avtale om bruk av skytjeneste 15 TIPS OG TRICKS (3) Personopplysningsloven / Datatilsynet, datatilsynet.no Les lov og forskrift; lovdata.no Les ny Cloud Computing veiledning (2014) og Internkontroll og informasjonssikkerhet - veileder Les brevene til Narvik og Moss kommuner Gjør risikovurdering, dokumenter planlagt løsning, evt. be om møte God litteratur: CSA, https://cloudsecurityalliance.org/ Security Guidance for Critical Areas of Focus in Cloud Computing National Institute of Standards and Technology, nist.gov SP 800-serien ENISA https://www.enisa.europa.eu/activities/resilience-and-ciip/cloudcomputing/security-for-smes/cloud-security-guide-for-smes 16 8

SPØRSMÅL 17 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding