Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund



Like dokumenter
Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det?

VI BYGGER NORGE MED IT.

Katastrofeløsninger Hva er sikkert nok og hva skal jeg velge? Steinar Aalvik, Atea

Atea Unified Storage. Hvilke byggeklosser består dette av og hvordan innføre det i din virksomhet? Arild S. Birkelund arild.birkelund@atea.

Sikkerhetsstrategi for norsk vannsektor

Kontinuitet for IKT systemer

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Personvernombudsrollen. Henrik Gullaker, personvernombud.

Håkon Olsen Overingeniør Lloyd s Register Consulting

Det digitale trusselbildet Sårbarheter og tiltak

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Datasikkerhet internt på sykehuset

Krav til informasjonssikkerhet i nytt personvernregelverk

Trusselvurderinger og sikkerhet for personell i skoler EMSS. Kåre Ellingsen Sikkerhets- og beredskapsansvarlig Akershus fylkeskommune

Etiske retningslinjer. for ansatte og folkevalgte i Molde kommune

KRISINO 2011 Kriminalitets- og sikkerhetsundersøkelsen i Norge

IKT-reglement for Norges musikkhøgskole

Overordnet IT beredskapsplan

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Beredskap i Gildeskål

Kan du holde på en hemmelighet?

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Skytjenester i skolen

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Brudd på personopplysningssikkerheten

3.1 Prosedyremal. Omfang

Informasjonssikkerhet i UH-sektoren

Risikobasert etterlevelse av pvf

Anbefalinger om åpenhet rundt IKT-hendelser

Sikkerhetstenking i vannbransjen noen innledende bemerkninger

Regionalt beredskapsseminar Sikkerhet i sykehus

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Retningslinje for risikostyring for informasjonssikkerhet

Akkumulert risikovurdering oktober 2015

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Leverandøren en god venn i sikkerhetsnøden?

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Risikovurdering AMK-tjenester Østfold

Kim Ellertsen, direktør NSR. En ny identitet blir stjålet hvert 4.sekund

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Slik stoppes de fleste dataangrepene

Har du kontroll på verdiene dine

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

VIRKE. 12. mars 2015

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Gode råd til sikkerhetsansvarlige

Ny sikkerhetslov og forskrifter

NASJONAL SIKKERHETSMYNDIGHET

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

REGNFLOM I BY SCENARIOET. HVA NÅ? Live Johannessen Virksomhetsleder Vann og avløp, Drammen kommune

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

IKT-sikkerhet som suksessfaktor

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Sosiale nettsamfunn: Datasikkerhet og personvern. Informasjonsdirektør Ove Skåra Vårsymposium Drammen 21. april 2010

Krisehåndtering i ettersmellet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Revisjon av IT-sikkerhetshåndboka

Mørketallsundersøkelsen 2006

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

«Føre var» Risiko og beredskap

Strategi for informasjonssikkerhet

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Risikoanalysemetodikk

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Stiftere. 25. november 2015 Jack Fischer Eriksen Næringslivets Sikkerhetsråd

Styret ved Vestre Viken HF 015/

Sikring av vannforsyning mot tilsiktede uønskede hendelser

Hva er sikkerhet for deg?

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Risikovurdering for folk og ledere Normkonferansen 2018

Mørketallsundersøkelsen 2008

en arena for krig og krim en arena for krig og krim?

BEREDSKAPSPLAN FOR ALVORLIGE KRISER. Informasjonsmøte

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

Samling for Norges beste beredskapsteam - KBO i Molde mai

ALVORLIGE HENDELSER I BARNEHAGER OG UTDANNINGSINSTITUSJONER En veiledning for beredskapsplanlegging

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Krise- og ulykkesplan

Ny styringsmodell for informasjonssikkerhet og personvern

Lydopptak og personopplysningsloven

Cyberforsikring Når lønner det seg?

Seminar om betalingssystemer og IKT i finanssektoren,

Om Arbeidstilsynet. Arbeidstilsynet

Spørreundersøkelse om Brukerstøtte IT og brukerstøttetjenestene

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Personvern - vurdering av personvernkonsekvenser - DPIA

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Transkript:

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser

Hva er IT-sikkerhet? God IT-sikkerhet innebærer at du har styring på risikobaserte administrative, tekniske og regulatoriske tiltak i din virksomhet slik at Informasjon ikke skal komme på avveie eller bli ødelagt Informasjon er tilgjengelig og korrekt Tilgang til og endringer av informasjon er sporbare Lov- og regelverk samt avtaler med forretningspartnere er oppfylt IT-sikkerhet omfatter tiltak innen følgende områder Fysisk sikring (adgang, brann, vann, strøm, datarom etc) IT-teknologien du anvender Driften av IT Organisering, ansvar og styring Policy og regelverk Sikkerhetskultur Du kan godt kjøpe IT-tjenester, men ansvaret for IT-sikkerhet er ditt

Arbeidsmetodikk i 10 punkter - IS 1. Kjenne og forstå virksomheten 2. Rammebetingelser 3. Informasjon 4. Trusselbildet 5. Mål: Ledelsens krav konsekvenser «BIA - Business Impact analyse 6. Hvilke sikkerhetstiltak fins? Sårbarheter? 7. ROS-vurdering, forslag til tiltak 8. Risiko- og tiltaksbehandling 9. Plan for å håndtere IT-krisehendelser 10. Styringshjulet

Trusler - Datakriminalitet Malware ID-tyveri DDOS Eget lovbrudd Utro tjener Sabotasje Tyveri

Konsekvenser - datakriminalitet Produksjonstans Ødelagt informasjon Dataspionasje Omdømme Springbrett http://www.nrk.no/sognogfjordane/hotell-utsett-forangrep-av-datahackarar-1.12430621

Andre trusselområder 1. Naturhendelser 2. Underleverandører (strøm, Internett) 3. Uhell (driftsfeil/-mangler, utilsiktet utlevering) 4. Feilfunksjonering 5. Brann, vann Finnes rutiner/opplegg for hendelses-/trusselshåndtering?

«Hvor skal vi?», spurte Nasse Nøff. «Jeg vet ikke», svarte Ole Brumm - og så gikk de dit

Mål: Krav til sikkerhetsnivå / BIA MDT maks datatap MNT maks nedetid Siste konsistente datakopi Uker Dager Timer Min. Sek. Recovery Point Hendelse inntreffer System tilbake i drift Sek. Min. Timer Dager Uker Recovery Time Hvor lang tid tilbake? Hvor lang tid for gjenopprettelse? Data på avveie/utilsiktet, spionasje MNT inkluderer: Feildetektering/feilretting Recovery av data Ta applikasjoner online

BIA praktisk eksempel fra virksomhet Tjenesteproduksjon stanser Ekstern produksjon går Produksjonssystemene Kundestøttesystemene Datakommunikasjon Personlig IT-utstyr Lokaler MNT 2 dager P > 5 år MDT 1 døgn P = 1-5 år 1 ukes IT-driftsavbrudd 3000 saker 800 vedtak 300 nye saker 800 kundehenvendelser 800 bestillinger Blir forsinket en uke 1 ukes IT-driftsavbrudd Inntektstap inntil 4 MNOK Overtidskost 2 MNOK Tall vel begrunnet og forankret Omdømme I dagspressen etter 1 2 dager Negative oppslag Overordnet myndighet Direktør

Kontinuitet og ROS sårbarheter, tiltak Fysisk sikkerhet IT-teknologi/applikasjoner Drift Organisering og ansvar Policy og retningslinjer Sikkerhetskultur

Risikomatriser

Risiko- og tiltaksbehandling i ledelsen Vurdere/vedta tiltak Redusere Øke Overføre Fjerne Akseptere

IT-kriseplan (må håndtere x antall hendelser) Nr Beskrivelse Tiltak 1 Brann/eksplosjon som rammer bygning, brukernes arbeidsstasjoner blir ødelagt/ikke tilgjengelig for lang tid 2 Annen hendelse, f eks eksplosjon i omgivelsene eller andre forhold, f eks brann, som gjør at lokalene ikke kan anvendes til ITarbeid begrenset varighet 3 Vannlekkasje i bygning, oversvømmelse i datarom, utstyr i datarom blir ødelagt, lokalene ellers tilgjengelige IT-beredskapsplan iverksettes, se tiltak nr 1, deretter nr 5. IT-beredskapsplan iverksettes, se tiltak nr 2. IT-beredskapsplan iverksettes, se tiltak nr 3. 4 Datalekkasje, uautorisert tilgang/overføring IT-beredskapsplan iverksettes, se tiltak nr 4.

Du må utarbeide tiltak for hver hendelse O DAT AL EK K ASJE, UAUT OR I SERT T I L GANG/OV ERFØ RI NG Bakgrunn Her gjelder det raskest mulig å få stoppet hendelsen, finne årsaken og fjerne den samt vurdere konsekvens, informere etter behov og anmelde forholdet Prioritet Tiltak Ansvar 1. Varsling i tråd med Beredskapsplan Kriseleder 2. Hvis lekkasjen fortsatt pågår, iverksette IT-kriseteam tiltak for å stoppe. Finne årsak og fjerne. 3. Hvis driftsstans, vurdere reserveløsning Kriseteam 4. Vurdere konsekvens Kriseteam 5. Informere internt og til eksterne IT-bruk Kriseteam 6. Melde til relevant myndighet Kriseteam (Datatilsynet, NSM, Finanstilsyn) 7. Anmelde forholdet Strl 145 Kriseteam

Hvorfor gjør vi dette? Avbruddstid (MNT) og datatap (MDT) og risiko for datalekkasje i tråd med virksomhetsledelsens informerte beslutning Optimal økonomi og ressursbruk forbyggende og skadereduksjon Optimal risikoreduksjon for hendelser Krav blir overholdt

Takk for oppmerksomheten! Arild S. Birkelund

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding