UTS Operativ Sikkerhet - felles løft

Like dokumenter
Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

UH-sektorens utfordringer

Sikkerhetsforum 2018

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

UNINETT-konferansen 2017

Velkommen til fagsamling

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Kontinuitet for IKT systemer

Nytt fra sekretariatet

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Ny styringsmodell for informasjonssikkerhet og personvern

Leverandøren en god venn i sikkerhetsnøden?

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Informasjonssikkerhet i UH-sektoren

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Informasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Styringssystem. Gjennomførende dokumenter. Rolf Sture Normann

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Oppfølging av informasjonssikkerheten i UH-sektoren

Sikkerhetsforum i UH sektoren

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Overordnet IT beredskapsplan

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Status fellesanskaffelse sentralbordstøttesystem

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Hendelseshåndtering - organisering, infrastruktur og rammeverk

Risikovurdering av Public 360

Sikkerhet og personvern i skole og klasserom

Informasjonssikkerhet i Norge digitalt Teknologiforum

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Oppdragsgiver Prosjekteier Prosjektleder. UH-sky styringsgruppe Kristin Selvaag Odd A. Halseth

3.1 Prosedyremal. Omfang

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Hva kan vi gjøre med det da?

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

HÅNDTERING AV NETTANGREP I FINANS

Bedre personvern i skole og barnehage

Hva er sikkerhet for deg?

Kommunikasjon med ledelsen hva kan Difi bidra med?

Aggregering av risiko - behov og utfordringer i risikostyringen

Veileder: Risikovurdering av informasjonssikkerhet

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Noen aktuelle tema for personvernombud i finans

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Retningslinjer for databehandleravtaler

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Strategi for Informasjonssikkerhet

Tilsiktede uønskede handlinger

Internkontroll og informasjonssikkerhet lover og standarder

Sikkerhetskultur og informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet

Metoder og verktøy i operativt sikkerhetsarbeid

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

NASJONAL SIKKERHETSMYNDIGHET

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Styringssystem for informasjonssikkerhet et topplederansvar

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

Det digitale trusselbildet Sårbarheter og tiltak

PROSJEKTPLAN. Godkjent av: Kristin Selvaag Dato for godkjenning:

Ny organisering av Unit fra

Allmøtet USIT. Dagsorden. 5. desember Lederutvikling USIT 3.0

Spørreundersøkelse om informasjonssikkerhet

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Litt om operativ sikkerhet i skysammenheng

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

IKT-strategi for UH-sektoren

Følger sikkerhet med i digitaliseringen?

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Handlingsplan UH-Sky

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kan du legge personopplysninger i skyen?

Felles IAM i UH-sektoren

Digital samhandling i praksis med. Kort om DSS. Departementenes bruk av felles samhandlingsrom og skytjenester

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

VI BYGGER NORGE MED IT.

Nettskyen, kontroll med data og ledelsens ansvar

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

Personvern og informasjonssikkerhet ved anskaffelser

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Nytt fra sekretariatet

Transkript:

UTS Operativ Sikkerhet - felles løft Olaf.Schjelderup@uninett.no 15 november 2016

Velkommen! 2

UNINETT Teknisk Samling høst 2016 Mandag 14.11 Tirsdag 15.11 10 9 Trådløst Mellomvare Operativ sikkerhet UH-Sky 16 16-17 Leverandørenes time 17 20 -> UTS middag i toppetasjen + faggruppemøter sky på onsdag

Toveis dialog : Online og offline Viktig: Gi oss tilbakemelding på hva dere ønsker. Send epost med ideer og bestillinger mot slutten av dagen: 4

Agenda 09.00-10.30: Velkommen! Praktisk detaljer, osv. Felles løft i sikkerhetsarbeidet v/uninett Modningav incident response, igjenogigjen v/margrete Raaum/FIRST/KraftCERT Hvorfor trenger vi informasjonssikkerhet? Sånn egentlig... v/christoffer Hallstensen, NTNU 10.30-11.00: PAUSE 11:00-11:40: UNINETT CERT Nyheter, sikringsmetoder, og nye ambisjoner/tjenester 11:40-12:00: PAUSE 12:00-13:00: UNINETT CERT Nyheter, sikringsmetoder, og nye ambisjoner/tjenester (forts.) 13:00-14:00 - LUNSJ 14:00-14:40: Sikkerhetsverktøy hos UiO CERT v/espen Grøndahl, UiO 14:40-15:00 - PAUSE 15.00-15:30: Erfaringer fra sikkerhetsanalyse, hvordankomme i gang v/uninett 15:30-17:00 Workshop sikkerhetsanalyse. Oppsett og tuning. Veiledning rundt bordet, spørsmål og svar. Vi har anledning til å trekke programmet lenger ut i tid ved behov. 5

UNINETTs nye sikkerhetsgruppe CSO og leder av sikkerhetsgruppen Olaf Schjelderup UH-sektorens sekretariat for informasjonssikkerhet Rolf Sture Normann (Leder) Øivind Høiem Tommy Tranvik CERT og Operativ sikkerhet Rune Sydskjør (Leder) Per Arne Enstad Øyvind Eilertsen Tor Gjerde Arne Øslebø Morten Knutsen SLIDE 6

Informasjonssikkerhetsturne 2016 målgruppe UH-ledelsen... med oppfølging på video 7

Mediebildet... 8

9

10

Det store spørsmålet: Hvordan griper vi dette an? Når vi mislykkes skylder vi på ledelsen, de har jo ansvaret? Men et bedre svar er: Vi må hjelpe ledelsen i å fatte riktige beslutninger! 15

Ledelsens problem og dilemma Toppledelsen har det formelle ansvar for informasjonssikkerheten Ansvar kan ikke settes ut, men myndighet og utøvelse kan delegeres Det er ledelsen som oftest blir stilt til veggs etter uønskede hendelser Informasjonssikkerhet handler om tiltak på mange nivå; arkitektur, systemutforming, kompliserte tekniske detaljer, organisering, ressurser, kompetanse, brukeratferd, beredskap m.m. Utøvelsen av et slikt ansvar i en ledergruppe er nærmest umulig uten en klar metodikk Et ledelsessystem for informasjonssikkerhet er et rammeverk utformet for å hjelpe ledelsen SLIDE 16

Sikkerhet har vi alle jobbet med lenge En referansemodell (de tre R-ene): V E R D I O V E R S I K T Robusthet Risiko Respons A V V I K S L U K K I N G Fra god oversikt til lukking av alle avvik 17

Robusthet og hendelsesrespons fordrer: Arkitektur Teknisk kvalitet Kompetanse Organisering Verktøy, verktøy og verktøy! Automatisering, automatisering og automatisering! 18

Risikobasert styring Etablering av ledelsessystem for informasjonssikkerhet, 3 deler: 19

Ledelsessystem for informasjonssikkerhet Styrende del: Klassifisering av informasjon (sensitiv, intern, åpen) Sikkerhetsmål (krav til konfidensialitet, integritet og tilgjengelighet) Ansvarsforhold (Toppleder, CSO, avdelings/fakultetsle dere, tjenesteeiere, operativt ansvarlig osv) Gjennomførende del: Alt starter med oversikt over informasjonsverdier Oversikten gir grunnlag for planlagte risikovurderinger (ROS) Lukke avvik; ansvarlig og tidsfrist Opplærings- og informasjonstiltak ROS er sølv, lukking av avvik er gull! Kontrollerende del: Ledelsens gjennomgang Revisjoner Oppfølging av avvik 20

Hva vi bør ha oversikt over pr. tjeneste: Hva gjør tjenesten Hvem er målgruppen Hvem er tjenesteeier Hvem er tjenesteansvarlig Medfører tjenesten lagring eller overføring av sensitive data, eventuelt interne data? Er det utført en risikovurdering for tjenesten, i så fall når, og gjelder den fremdeles (ingen endringer)? Hvilke lovkrav eller andre reguleringer legger føringer for tjenesten? Hvilke kontrakter eller avtaler legger føringer for tjenesten? Finnes det databehandleravtaler for tjenesten? Hva er tålegrensen for tilgjengelighetsbrudd? Finnes det eksplisitte krav til datakvalitet? Hvilke sjekklister for å sikre robusthet er utfylt for tjenesten? Hvilket tilgangsregime er det til informasjonen som forvaltes av tjenesten? Finnes det logger fra utøvelsen av tjenesten? Overvåkes tjenestens tilstand aktivt? Hva er den fysiske, topologiske og organisatoriske lokaliseringen av benyttet utstyr? Hvilke nøkkelpersoner og kompetanse må være tilgjengelig for fortsatt drift av tjenesten? Hvilke andre tjenester avhenger denne tjenesten av? Hvilke andre tjenester avhenger av denne tjenesten? Kan misbruk av tjenesten skade andre tjenester? BIA-score - eventuelt en tentativ plassering på en skala. (BIA = Business Impact Analysis) 21

Verdier utover tjenestene: Kontrakter/avtaler/forvaltning? Vår organisering/virksomhet? Vår kunnskap og våre ferdigheter? Prosesser og rutiner? Vår beredskap? Kultur og holdninger?

Eksterne trusselaktører Sporadiske hackere Aktivister (hacktivisme) Vinningskriminelle (økonomisk, utpressing) Virksomheter (konkurrenter) Nasjonalstater SLIDE 23

Interne trusler og sårbarheter (eksempler) Manglende ledelsesforankring Uklare ansvarsforhold Ressurs- og kompetansemangel, enkeltpersonrisiko Manglende oversikt over informasjonsverdier Uhensiktsmessig arkitektur og systemimplementasjon Manglende robusthet Manglende kvalitetskontroll Manglende dokumentasjon Mangelfull brukeropplæring Manglende testing av backup og reetablering For svak oppfølging av kjente sårbarheter Manglende monitorering av systemer og datakvalitet Manglende kriseplaner og øvelser Mangelfulle driftsrutiner SLIDE 24

KDs IKT-strategi om informasjonssikkerhet... arbeid som pågår nå, og som peker på: KDs og institusjonenes ansvar Institusjonenes ledelsessystem for informasjonssikkerhet Viktigheten av et SektorCERT Viktigheten av lokale responsmiljø Lokale operative oppgaver Nasjonal enhet må bistå sektoren med: Ledelsessystem Hendelseshåndtering SOC (Security Operation Center) / Analyser Bindeledd mot andre nasjonale og internasjonale aktører 25

Hva vi ønsker oss mer av: Monitorering, analyse, handlekraft ved funn Forebyggende drift (praksisnorm; patch innen 48 timer) Feilsøkbare løsninger, nyttige logger Sikker kommunikasjonsplattform i sektoren Oppvakte og bevisste brukere Responsfunksjon på samtlige institusjoner Se dagens agenda! 26

Tilbakemelding ønskes: Hva ønsker dere av tjenester sentralt fra? Hvilken samhandling ønsker dere? 27

Takk! 28

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding