Hva kan vi lære av den siste tidens «outsourcings-skandaler»?

Like dokumenter
GDPR. Advokat Kari Gimmingsrud

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Erfaringer fra en Prosjektleder som fikk «overflow»

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Torgeir Waterhouse Direktør Internet & New

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Stordata og offentlige tjenester personvernutfordringer?

PERSONVERN FOR ENHVER PRIS?

Hacking av MU - hva kan Normen bidra med?

IKT-Norge 10. oktober Teknologihuset Eirik Gulbrandsen, Arrow ECS Norway

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Public roadmap for information management, governance and exchange SINTEF

Takk for invitasjonen!

Risikofokus - også på de områdene du er ekspert

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

GDPR og ny lov om personvern

Fremtiden er (enda mer) mobil

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Bestemmelsen i GDPR art. 25 om innebygd personvern

Prosjektplanlegging i IT. Atle Spilde Lars Gunnar Lundestad

KS kommunenettverk Christian Hellevang

SIKKERHET OG TILLIT Sentralt for å lykkes med digitalisering

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Følger sikkerhet med i digitaliseringen?

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Avito Bridging the gap

Welcome to RiskNet open workshop

Capgemini Bergen. og vi snakker om... Simply. Business Cloud. Rolf Wangsholm regiondirektør

Et lite skritt for fremtiden, et stort skritt for fremtidens helsevesen!

Internet of things. Kari Gimmingsrud

RISIKO OG CYBERSIKKERHET

Endelig ikke-røyker for Kvinner! (Norwegian Edition)

FREMTIDENS SIKKERHETS- UTFORDRINGER

IT-næringens interesseorganisasjon. ikt-norge.no

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Mål med prosjektet. proactima.com. Utvikle, markedsføre og selge den beste løsningen for Risikostyring og HMS ledelse for det globale markedet

Last ned Norwegian mountains - Per Roger Lauritzen. Last ned

Kurskategori 2: Læring og undervisning i et IKT-miljø. vår

ESTABLISHING A EUROPEAN HIGH POWER CHARGING NETWORK JAN HAUGEN IHLE, REGIONSDIREKTØR NORTHERN EUROPE, IONITY. IONITY Präsentation October 2018

NSM NorCERT og IKT risikobildet

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Familieeide selskaper - Kjennetegn - Styrker og utfordringer - Vekst og nyskapning i harmoni med tradisjoner

Little Mountain Housing

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Baltic Sea Region CCS Forum. Nordic energy cooperation perspectives

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Tilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Konfidensiell - Navn på presentasjon.ppt

Norsk marin forskning sett utenifra. Stein Kaartvedt Universitetet i Oslo

PSi Apollo. Technical Presentation

Erfaringer fra utrustit

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Velkommen til RiskNets åpne arbeidsmøte om VoIP

Samarbeidsbasert forskning er det mulig også i arbeidet med systematiske kunnskapsoversikter?

Innledende arbeid i en EU-søknad Seminar UV-fakultet EUs Horisont 2020: Erfaringer fra søknadsskriving

ISO-standarderfor informasjonssikkerhet

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Velkommen til 2 samling i «KS kommunenettverk universell utforming»

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Gol Statlige Mottak. Modul 7. Ekteskapsloven

Vekst og digitalisering

Analyse av kundeavgang IBM Watson Content Analytics. Oslo, 19. november, 2015 Mons Nørve, Capgemini

Capgeminis 7 verdier et indisk perspektiv. Oslo, , Marius Volden

Midler til innovativ utdanning

Dataforeningen Østlandet Cloud Computing DEN NORSKE DATAFORENING Vi engasjerer, påvirker og skaper fremtid!

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet

Tradisjonelt har næringslivet gruppert sin verdiskapning i 3 distinkte modeller:

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Nettskyen utfordringer og muligheter

MED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017

Trusler og mottiltak Mike Andersen Dell SecureWorks

Uke 2: Arbeidsrutiner og datamaskiner

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Han Ola of Han Per: A Norwegian-American Comic Strip/En Norsk-amerikansk tegneserie (Skrifter. Serie B, LXIX)

Cyberspace og implikasjoner for sikkerhet

P(ersonal) C(omputer) Gunnar Misund. Høgskolen i Østfold. Avdeling for Informasjonsteknologi

Numerical Simulation of Shock Waves and Nonlinear PDE

The internet of Health

Samarbeid i praksis 10 konkurrenter og én felles løsning! Oslo, 31. oktober 2012 Atle Bergfjord

Graveforskrift Torgeir Waterhouse Direktør Internet & New

Hva er hemmeligheten med vellykket implementering?

Transkript:

Hva kan vi lære av den siste tidens «outsourcings-skandaler»? Torgeir Waterhouse Direktør Internet & New Media tw@ @tawaterhouse http://www.linkedin.com/in/tawaterhouse 1 eller fra GDPR til virkelighet? Torgeir Waterhouse Direktør Internet & New Media tw@ @tawaterhouse http://www.linkedin.com/in/tawaterhouse 2

spørsmålet er vel: hvorfor er vi her? 3 https://commons.wikimedia.org/wiki/file:kungsgatan_1967.jpg#/media/file:kungsgatan_1967.jpg 4

problemer? 5 opplagt! 6

men hvilke? 7 By BjørnN [Public domain], via Wikimedia Commons https://commons.wikimedia.org/wiki/file%3astamveier_norge.svg 8

https://commons.wikimedia.org/wiki/file%3anorden_satellite.jpg By Koyos (Own work by uploader, made with NASA World Wind.) [Public domain], via Wikimedia Commons 9 https://commons.wikimedia.org/wiki/file%3afurther_european_union_enlargement.svg By Blank map of Europe.svg: maix? Further European Union Enlargement2.png: JLogan Derivative work: JCRules [CC BY-SA 3.0 (https://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons 10

https://commons.wikimedia.org/wiki/file%3aworld_borders_lamb_azi.png By Koenb at Dutch Wikipedia (Original text: productie van de afbeelding uit het.shp-bestand: Koenb) [Public domain], via Wikimedia Commons 11 Hva kan vi* lære av den siste tidens «outsourcings-skandaler»? Torgeir Waterhouse Direktør Internet & New Media tw@ @tawaterhouse http://www.linkedin.com/in/tawaterhouse *og hvem er vi? 12

Photo by UrbanGrammar on Foter.com / CC BY-NC-SA http://foter.com/photo/new-urban-mail/ 13 kompetanse vs vurderinger? kan vi lære? 14

ledelse vs fag? kan vi lære? 15 regler vs handling? kan vi lære? 16

avtale vs handling? kan vi lære? 17 backup vs restore? kan vi lære? 18

diskusjonen vi har vs bør ha? kan vi lære? 19 fagforeninger vs agenda? kan vi lære? 20

outsourcing vs at home? kan vi lære? 21 rett kompetanse vs nok kompetanse? kan vi lære? 22

tolkning: er antagelig ikke noe i veien for at sykehusene setter ut oppdrag slik de ønsker, men det må gjøres riktig, og vi må forstå hvordan risikoene varierer kan vi lære? 23 mediedekning vs agenda? kan vi lære? 24

MASSE MEDIEOPPSLAG SOM SKREMMER! 25 tilgang til 2.8 millioner nordmenns helseopplysninger NRK Dagsnytt 07.12.17 26

vs hvis vi leter lenge, virkelig lenge? https://www.nrk.no/norge/helse-sor-ost_-betrodde-medarbeidere-holdt-tilbake-informasjon-om-risikoen-ved-outsourcing-1.13577233 27 forstår vi* den tekniske gjelden? *og hvem er vi? 28

forstår vi* outsourcing? hva outsourcing egentlig er? *og hvem er vi? 29 forstår vi* teknologien? *og hvem er vi? 30

forstår vi* konsekvensene av teknologien? *og hvem er vi? 31 forstår vi* brukerene? *og hvem er vi? 32

technology is easy, people and their feelings are hard Patient 86 33 fjernkontroll 34

vs åpningstider/tilgjengelighet 35 vs dataintegritet 36

vs kompetanse 37 vs kapasitet som vi bruker til hva? 38

vs økonomi som vi bruker til hva? 39 vs mer, mye mer 40

41 ikke har etterlevd sitt sikkerhetsansvar, ved å unnlate å gjennomføre og dokumentere sikkerhetsanalyser og sikkerhetstiltak og ved bevisst å ha avveket fra sikkerhetslovgivningen HELHETLIG IKT-RISIKOBILDE 2017 015: https://nsm.stat.no/globalassets/helhetlig_ikt-risikobilde_2017_orig_low.pdf 42

European Union 43 Council of Europe 44

OSCE 45 UN Security Council 46

https://en.wikipedia.org/wiki/bulgaria 47 NATO 48

Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk Art. 32 GDPR - Security of processing 49 fordi Bulgaria og Norge er forskjellige! 50

heller ikke sikkerhetsloven gir automagi, 51 men påvirker bla hvem som kan bruke data 52

Mangelfulle rutiner eller svak oppfølging sikkerhet følges ikke opp systematisk. HELHETLIG IKT-RISIKOBILDE 2017 015: https://nsm.stat.no/globalassets/helhetlig_ikt-risikobilde_2017_orig_low.pdf 53 Få virksomheter synes å registrere og rapportere sikkerhetstruende hendelser, kompromittering av skjermingsverdig informasjon og grove sikkerhetsbrudd. HELHETLIG IKT-RISIKOBILDE 2017 015: https://nsm.stat.no/globalassets/helhetlig_ikt-risikobilde_2017_orig_low.pdf 54

hva da sikkerhet? 55 sikre nettverk(?) 56

nasjonal sikkerhet? 57 informasjonssikkerhet? 58

leveransesikkerhet? 59 sikker tilgang til data? 60

sikkert ytre skall? 61 sikkerhet in-house? 62

sikker beredskap? 63 sikre brukere? 64

sikkerhetskunnskap? etc... 65 66

67 https://www.aftenposten.no/norge/politikk/i/g8v9j/it-eksperter-bekymret-for-sikkerheten-rundt-stortingsvalget 68

https://www.aftenposten.no/meninger/debatt/i/kaqex/nei_-frode-thuen_-det-er-ikke-et-sunt-prinsipp-at-partneren-skal-ha-tilgang-til-telefonen--torgeir-waterhouse 69 https://nsm.stat.no/aktuelt/helhetlig-ikt-sikkerhet-2017/ 70

Sårbarheter finnes i nær sagt alle virksomheter, systemer og infrastrukturer, både av teknisk, organisatorisk og menneskelig art. HELHETLIG IKT-RISIKOBILDE 2017 015: https://nsm.stat.no/globalassets/helhetlig_ikt-risikobilde_2017_orig_low.pdf 71 NSM ser et økende gap mellom behov for og tilgjengelighet av sikkerhetskompetanse, noe som utgjør en nasjonal sårbarhet. https://nsm.stat.no/aktuelt/helhetlig-ikt-sikkerhet-2017/ 72

Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan bøte på denne utfordringen og bidra til bedre sikring av virksomheters nettverk og verdier. https://nsm.stat.no/aktuelt/helhetlig-ikt-sikkerhet-2017/ 73 Tjenesteutsetting, inkludert skytjenester, krever gode risikovurderinger og høy bestillerkompetanse innenfor en rekke områder. https://nsm.stat.no/aktuelt/helhetlig-ikt-sikkerhet-2017/ 74

NSM anbefaler likevel bruk av denne typen tjenester, forutsatt at det gjøres en grundig risikovurdering https://nsm.stat.no/aktuelt/helhetlig-ikt-sikkerhet-2017/ 75 sikkerhet: data 76

sikkerhet: database 77 sikkerhet: fagsystem 78

sikkerhet: hardware 79 sikkerhet: nettverk 80

sikkerhet: drift 81 Prediction: Through 2020, 99% of vulnerabilities exploited will continue to be ones known by security and IT professionals for at least one year. http://www.networkworld.com/article/3088084/security/gartner-s-top-10-security-predictions.html 82

Prediction: By 2020, a third of successful attacks experienced by enterprises will be on their shadow IT resources. http://www.networkworld.com/article/3088084/security/gartner-s-top-10-security-predictions.html 83 sikkerhet: bruk 84

the typical firm has on the order of 15 to 22 times more cloud applications running in the workplace than have been authorized by the IT department. http://www.cio.com/article/2968281/cio-role/cios-vastly-underestimate-extent-of-shadow-it.html 85 når diskuterer vi: følelser? 86

når diskuterer vi: politikk? 87 når diskuterer vi: patriotisme? 88

når diskuterer vi: arbeidsplasser? 89 når diskuterer vi: kommunikasjon? 90

når diskuterer vi: kvalitet? 91 når diskuterer vi: sikkerhet? 92

når diskuterer vi: personlige agendaer? 93 når diskuterer vi: liv og helse? 94

er å drifte selv lik drift uten eksterne? 95 er anskaffelse lik-ish om drift er intern eller ekstern? 96

og hva med utredning, prosjekt, opplæring, drift, oppfølging, kontroll, videre utvikling, etc 97 også om egne ansatte gjør jobben in-house 98

aldri helt sikker, alltid en risikoprofil 99 nesten uansett model: er det samme(ish) type risiko & samme(ish) type behov for tiltak? 100

Hva kan vi* lære av den siste tidens «outsourcings-skandaler»? *og hvem er vi? 101 ledelsesansvar & vurderinger på rett nivå 102

hvilken ledelse & hvilket org.ledd* *feks helseregion vs sykehus 103 dokumentasjon av alle elementer 104

oppfølging av alle elementer 105 kontroll på alle elementer 106

privacy by design 107 security by design 108

påstand: dette er vi* ikke gode nok på, hverken innenfor eller utfor det norske huset, selvfølgelig med noen (altfor få) unntak Torgeir Waterhouse Direktør internett og nye medier tw@ @tawaterhouse http://www.linkedin.com/in/tawaterhouse *og hvem er vi? 109

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding