Rune Ask Tittel: Seniorrådgiver - Informasjonssikkerhet Utdanningsnivå: Ingeniør Født: 1957 OPPSUMMERING AV KOMPETANSE- OG FAGOMRÅDER Rune har 35 års erfaring innen informasjonssikkerhet og IT. Han har jobbet innenfor mange forskjellige bransjer og sektorer og har en bred bakgrunn både som kunde, leverandør, tredjepartsleverandør, IT-revisor og konsulent. Han har jobbet mer enn 15 år som informasjonssikkerhetsrådgiver og er i dag en av de ledende innen organisatorisk sikkerhet. Han deltok i utarbeidelsen av ISACA sin dokumentserie for God IT-Skikk - GITS-2 Tilgangskontroller og på oppdrag fra ISACA skrev han GITS-5 Bruk av Internett. Han satt 8 år i styret for Norsk Informasjonssikkehetsforum (ISF tidligere IT-SikkerhetsForum) fra det ble startet i 1994 fram til 2002 de 6 siste som nestleder. Han var ansvarlig i ISF for utarbeidelsen av dokumentet Veiledning i sikring av Internett. Han deltok i revisjonen og utviklingen av den siste utgaven av den britiske sikkerhetsstandarden BS 7799-2 Code of Practice for Information Security Management og foretok den offisielle norske oversettelsen av dokumentet, NS 7799:2003 Styringssystem for informasjonssikkerhet Beskrivelse med veiledning for bruk. Han satt i redaksjonskomiteen for den norske oversettelsen av NS-ISO/IEC 17799:2000 og la fram den for godkjenning hos Norges Standardiseringsforbund. Rune er leder av arbeidsgruppen for informasjonssikkerhet (K171) i Standard Norge. Derigjennom leder han den norske delegasjonen i ISO/IEC JTC1/SC27 WG1 som for tiden blant annet reviderer standardene ISO/IEC 27001 og ISO/IEC 27002. Rune hadde fast plass i Forum for IT-sikkerhet det offentlige oppnevnte sikkerhetsfaglige forumet ledet av Jon Bing inntil det ble nedlagt våren 2004. Han har holdt mange kurs og foredrag i forskjellige sikkerhetsrelaterte emner. Han har også skrevet mange artikler om informasjonssikkerhet. PERSONLIGE EGENSKAPER Engasjement. Gode kommunikasjonsevner. Praktisk og pragmatisk tilnærming. Stå-på-evner. Kan vise til meget fornøyde kunder. HOVEDKVALIFIKASJONER OG KOMPETANSEOMRÅDER Informasjonssikkerhet IT-sikkerhet Bevisstgjøring Risikostyring Risikovurdering Sikkerhetsrevisjon Sårbarhetsvurdering Trusselvurdering Sikkerhetsstandarder IT-drift Styring (Governance) Samsvar (Compliance) UTDANNELSE Skole År Retning Grad Høyskolen i Oslo 1976 1978 Elektronikk Ingeniør Grefsen gymnas 1973 1976 Reallinje Examen artium
VERKTØY OG METODER ISO/IEC 27000-serien (informasjonssikkerhet) ISF Standard of good practice ITIL Foundation KURS Lederkurs Mercuri Urval Internregnskap BI Prosjektlederkurs DNV Mange kurs innen informasjonssikkerhet Mange kurs innen IT SERTIFISERINGER Tittel År CISA Certified Information Security Auditor ISACA 1995 CISM Certified Information Security Manager ISACA 2003 ITIL Foundation V.3 2011 YRKESERFARING Periode Beskrivelse 08.12 - dd Firma: Veriscan Security AS Rolle/stilling: Styreleder, Seniorrådgiver, Måling av informasjonssikkerhet, Utarbeidelse av kontinuitetsplaner 07.08-07.12 Firma: Det Norske Veritas Rolle/stilling: IT Security Risk & Compliance Manager Beskrivelse: Ansvarlig for IT- og driftssikkerhet i DNV (300 kontorer i 100 land) 05.04-07.08 Firma: Det Norske Veritas Rolle/stilling: Chief Information Security Specialist 06.02-05.04 Firma: Capgemini AS Rolle/stilling: Sjefskonsulent 08.01-04.02 Firma: Defcom AS Rolle/stilling: Senior sikkerhetsrådgiver
Periode 02.01-06.01 Beskrivelse Firma: Evictus AS Rolle/stilling: Senior sikkerhetsrådgiver 02.94-02.01 Firma: Ernst & Young AS Rolle/stilling: Manager 02.92-02.94 Firma: SALCOM AS Rolle/stilling: Daglig leder Beskrivelse: Ansvarlig for salg og support av programvare for IT-sikkerhet 07.90-02.92 Firma: Fred. Olsen & Co Rolle/stilling: IT-sjef Beskrivelse: Ansvarlig for driftsavdeling på sju personer som administrerte serverpark, internt nettverk, brukerstøtte og installasjon/konfigurering av arbeidsstasjoner. 07.88-07.90 Firma: SALCOM AS Rolle/stilling: Produktansvarlig Beskrivelse: Ansvarlig for salg og brukerstøtte for programvare for systemadministrasjon og kommunikasjon på VAX-plattformen. 06.85-07.88 Firma: Tandberg Data A/S Rolle/stilling: IT-driftssjef Beskrivelse: Ansvarlig for drift av alle tekniske IT-systemer, internt nettverk, brukerstøtte og installasjon/konfigurering av arbeidsstasjoner 02.82-06.85 Firma: Digital Equipment Corporation A/S Rolle/stilling: Serviceingeniør Beskrivelse: Ansvarlig for vedlikehold og oppfølging av ca 25 VAX- og PDPinstallasjoner. Feilsøking og reparasjon av datamaskiner hos kunder. 10.79-02.82 Firma: Standard Telefon og Kabelfabrik A/S Rolle/stilling: Ingeniør Beskrivelse: Feilsøking og reparasjon av kretskort til telefonsentraler
PROSJEKTERFARING Utarbeidet informasjonssikkerhetspolicy og retningslinjer for offentlige institusjoner, inkl. departement og direktorat og for store private virksomheter, inkl. bank, telekommunikasjonsbedrift, multinasjonalt konsern, konsulentfirma, m.fl. Ansvarlig for utarbeidelse av retningslinjer for informasjonssikkerhet på norsk kontinentalsokkel Innleid som ressursperson for sikkerhetssjef i flere virksomheter, inkl. telekommunikasjonsbedrift og internasjonale produksjonsbedrifter. Gjennomføre IT-sikkerhetsvurdering av virksomheter, inkl. markedsledende produksjonsbedrift, bank, transportbedrifter, reisebyrå, konsulentfirma, m.fl. Utarbeidet retningslinjer for bruk av Internett for Internettleverandør. Sikkerhetsvurdering av brannmurer. Avholdt bevisstgjøringsseminarer og kurs for ledere både i offentlig institusjoner og det private næringsliv. Vært sikkerhetsrådgiver ifm. utvikling av en stor informasjonsdatabase innenfor petroleumsbransjen. Bistått med detaljert kartlegging av IT-infrastruktur hos et universitet i Sverige. Designet applikasjon for bruk ifm oppdraget. Gjennomgang og forbedring av driftsrutiner for organisasjoner, inkl. politisk parti og fagforening Prosjekter og aktiviteter utført av Rune Ask i rollen som: IT Security Risk & Compliance Manager i DNV (2008-2012): Utarbeidelse av informasjonssikkerhetspolicy og et antall interne retningslinjer for informasjonssikkerhet i DNV. Utarbeidelse og implementering av Information Security Baseline for DNV. Utarbeidelse av mer enn tjue Nano Lessons korte opplærings- og motivasjonskurs i informasjonssikkerhet for ansatte og innleide i DNV. Ansvar for gjennomføring av sikkerhetsrevisjoner ved internasjonale DNV-kontorer. Gjennomføring av trusselvurdering, sårbarhetsvurdering og risikovurderinger i DNV. Utarbeidelse av metode for gjennomføring av risikovurderinger ved flytting av IT-tjenester ut i skyen. Håndtering av sikkerhetsbrudd. Fagperson i prosjekt for å flytte MS-Exchange servere ut i skyen. Fagperson i prosjekt for å implementere system for sikkerhetskopiering av bruker-pc-er til en skybasert tjeneste. Fagperson i prosjekt for å gjennomføre en større oppgradering av anti-virus på 12000 pc-er ved 300 kontorer i 100 land. Informasjonssikkerhetsrådgiver i DNV, Capgemini, Ernst & Young, m.fl. ( 2008): Utvikling av informasjonssikkerhetspolicyer og sikkerhetshåndbøker hos kunder innen petroleumsbransjen, departement, direktorat, bank, telekommunikasjonsbedrift, multinasjonalt konsern, konsulentfirma, m.fl. Ansvar for kvalitetssikring av sikkerhetsrapporter etter større hendelser hos store private virksomheter. Sikkerhetsvurderinger av forskjellige virksomheter som eksempelvis petroleumsvirksomheter, markedsledende produksjonsbedrifter, banker, departement, direktorater, transportbedrifter, reisebyrå, konsulentfirma, m.fl. Utarbeidelse av retningslinjer for informasjonssikkerhet på norsk sokkel gjelder både for operatører og leverandører av varer og tjenester til virksomheter som operer offshore. Utvikling og presentasjon av kurs og foredrag i forskjellige aspekter ved informasjonssikkerhet.
VERV Leder av Standard Norges ISO-komite K171 i 11 år (2002 dd) Nestleder i IT-SikkerhetsForum i 6 år (1996 2002) Styremedlem i IT-SikkerhetsForum i 2 år (1994 1996) Medlem av det offentlige Forum for IT-sikkerhet i 4 år (2000 2004) SPRÅKKUNNSKAPER Norsk, morsmål Engelsk, skriftlig/muntlig Tysk, gymnasnivå ANNET Norsk Olje & Gass (tidligere OLF Oljeindustriens Landsforening) fikk i 2008 Rosing-prisen for IT-sikkerhet og hvor Rune Ask var innleid for å lede prosjektarbeidet. Kåret til beste foredragsholder på tre store sikkerhetskonferanser.