Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder

Transkript

1 Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder

2 Vad är.se? Stiftelsen för Internetinfrastruktur grundades Verka för positiv utveckling av Internet i Sverige..SE sköter administration och teknisk drift av det nationella domännamnsregistret under.se. ~ domännamn, nyregistreringar per dag. Ca 80 medarbetare. Ca 150 återförsäljare (Registrarer). Omsättning 2011: 111,5 Mkr 51,5 Mkr till Internetutveckling.SE står under tillsyn av: PTS genom Lagen om nationella toppdomäner på Internet i Sverige (SFS:2006:24). Länsstyrelsen genom Stiftelselagen. Certifierade enligt ISO Ledningssystem för informationssäkerhet.

3 Varför valde vi certifiering? Vi lever på förtroende och tillit från det lokala Internetkollektivet. För att hantera tillväxt volym, personal, uppgifter. För att visa att vi tar säkerhet på allvar. Spårbarhet. Bild 3

4 Utveckling och trender Angreppen blir mer avancerade dynamiska, smygande och slår framgångsrikt omkull traditionellt försvar som: Brandväggar IPS:er Antivirus Bryggor/gateways Domännamn används bara några få gånger - går under radarn för bland annat svartlistor och signaturbaserade filter. DNS är en måltavla i sig.

5 Så vad händer? Massiv ökning av avancerad skadlig kod, plattformsoberoende e-post eller webbaserat. Mönstret för mängden attacker varierar starkt mellan olika branscher; hälso- och sjukvård och energisektorn har det jobbigt. Angripare använder kortlivade domäner för riktade nätfiskeattacker via e-post. Variationen på skadliga bifogade bilagor ökar. Verksamheter med upphovsrättsskyddat material eller personuppgifter är de vanligast drabbade.

6 Varför händer det? Användare fortsätter aningslöst att klicka på skadliga länkar. Skadlig kod inbäddad i webbtrafik (http) har visat sig särskilt effektivt för att ta sig igenom befintligt försvar. Som ett resultat av de två ovan, eftersom angripare ser att deras taktik fungerar ökar antalet attacker kontinuerligt.

7 Informationssäkerhet 2013 Mobilitet Använd dina egna grejer (BYOD). Molntjänster Vad, hur och varför? Big data konsten att hitta och filtrera rätt information och konsten att utvinna information ur annan information.

8 Vad behövs för att nå framgång? Struktur och metodik i arbetet. En bra kommunikation med och stöd från ledningen.

9 Strategiskt Taktiskt Operativt Att och vad? Strategiskt På vilket sätt? Taktiskt Vilja Av vem, hur, vid vilken tidpunkt? Operativt Kunskap Förmåga

10 Förbättringshjulet - PDCA

11 Säkerhetsarbetets delar Underrättelse och riskbedömning. Förebyggande och skadereducerande säkerhetsåtgärder. Incidenthantering/krishantering, återställande. Förmåga att veta Förmåga att skydda Förmåga att leda Underrättelse/ riskbedömning Förebyggande/ skadereducerande åtgärder Incidenthantering/krishantering Styrning och samordning

12 Säkerhetsarkitektur Verksamhetens behov Risker Legala krav ISO 2700x Verksamhet Informationssäkerhetspolicy Information Säkerhetshandbok säker hantering av information Applikation Övergripande krav utvecklingsprojekt Säkerhetsfunktioner och säkerhetsprocesser Infrastruktur Övergripande krav IT-säkerhetsinfrastruktur IT-säkerhetstjänster, säkerhetsfunktioner och säkerhetsprocesser

13 Ledningssystemet på.se Integrerat i affärsplaneprocessen. Informationssäkerhetspolicy (fastställd av styrelsen). Säkerhetshandbok för användare förbindelser. Policy och plan för krishantering. Definierade roller och ansvar. Informationsklassificiering. Säkerhetsinstruktioner - drift och förvaltning. Systemspecifika instruktioner. Definierad grundskyddsnivå. Systemsäkerhetsplaner. Incidentrapportering och -hantering. Granskning och uppföljning.

14 Everything should be as simple as possible, but not simpler. - Albert Einstein Tack! Frågor?