Informationssäkerhet. Jan Wennström Matti Huvila. Datacentralen vid Åbo Akademi

Transkript

1 Informationssäkerhet Jan Wennström Matti Huvila Datacentralen vid Åbo Akademi v

2 Baserat på Informationssäkerhetsanvisningar för personalen VAHTI 7/2008 (Ledningsgruppen för datasäkerhet inom statsförvaltningen)

3 Programmet Allmänt Ärende- och informationsbehandling På arbetsplatsen Mobilt-, distans- och researbete Problemsituationer Åbo Akademi - Domkyrkotorget Åbo 3

4 Centrala anvisnigar / Repetition (1/4) Hantera information noggrant oberoende av medium. Var och en är ansvarig för informationssäkerheten i sitt eget arbete, det område han/hon ansvarar för. Högsta ansvaret hos rektor och styrelsen Åbo Akademi - Domkyrkotorget Åbo 4

5 Centrala anvisnigar / Repetition (2/4) Rent skrivbord, förvara inte sekretessbelagt material på skrivbordet. Lämna inte gäster ensamma i ditt arbetsrum eller andra utrymmen. Stöd passerkontrollen. Använd information och arbetsredskap endast för skötseln av arbetsuppgifter. (ex. laptopen är inte till för film eller barnens spel.) Åbo Akademi - Domkyrkotorget Åbo 5

6 Centrala anvisnigar / Repetition (3/4)!Överlåt inte användarnamn eller lösenord! Låt ingen utomstående använda din dator. Lås skärmen innan du stiger upp! Ctrl Alt Del, Lock Workstation eller Win L Kopierar du data till ex. en minnespinne, övervaka själv, låt ingen annan kopiera från din dator! Åbo Akademi - Domkyrkotorget Åbo 6

7 Centrala anvisnigar / Repetition (4/4) Meddela den datasäkerhetsansvarige, dataadministrationen eller din förman angående hot och brister i datasäkerheten. Be experterna om hjälp vid behov! Åbo Akademi - Domkyrkotorget Åbo 7

8 Informationssäkerhet Informationen, systemen och tjänsterna bör vara tillförlitliga, korrekta och tidsenliga. Informationssäkerheten är en del av kvaliteten på organisationens verksamhet Konfidentialitet Integritet Tillgänglighet Åbo Akademi - Domkyrkotorget Åbo 8

9 Är informationssäkerheten viktig? (1/2) Oftast är man inte längre ansvarig för endast den egna organisationens informationssäkerhet. Bristfällighet riskerar kundens, organisationens, medborgarnas och statens intressen Extra arbete och kostnader Åbo Akademi - Domkyrkotorget Åbo 9

10 Är informationssäkerheten viktig? (2/2) Lika stark som den svagaste länken! Både teknik och attityd! De största orsakerna: Brådska Slarv Okunskap Åbo Akademi - Domkyrkotorget Åbo 10

11 Lagen (1/2) En myndighet bör i syfte att införa och genomföra en god informationshantering se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar kvaliteten på uppgifterna. 18 i lagen om offentlighet i myndigheternas verksamhet, God informationshantering Åbo Akademi - Domkyrkotorget Åbo 11

12 Lagen (2/2) Den registeransvarige skall genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. 32 i personuppgiftslagen, Skydd av uppgifterna Åbo Akademi - Domkyrkotorget Åbo 12

13 Programmet Allmänt Ärende- och informationsbehandling På arbetsplatsen Mobilt-, distans- och researbete Problemsituationer Åbo Akademi - Domkyrkotorget Åbo 13

14 Ärendehantering? (1/2) Målet att effektivera: Beredning Hantering Beslutsfattande Publicering Arkivering Åbo Akademi - Domkyrkotorget Åbo 14

15 Ärendehantering? (2/2) Styrning och hantering av ärenden och handlingar som ingår i verksamhetsprocesserna under hela deras livslängd. Informationen en del av organisationens kapital. Obs! Informationen är oftast av betydligt större värde än det tekniska medium den lagras på! Åbo Akademi - Domkyrkotorget Åbo 15

16 Information som gäller arbetet (1/2) Hantera information omsorgsfullt oberoende av medium Spara data på en server som säkerhetskopieras. Undvik att spara bara på medium som säkerhetskopieras sporadiskt om alls. (ex. datorns hårdskiva, USB-minne) Ifall överföring, övervaka! Se till att det inte finns annan läsbar information på datamediet sedan tidigare! Åbo Akademi - Domkyrkotorget Åbo 16

17 Information som gäller arbetet (2/2) Se upp för dold information. Rest- och metadata kan innehålla uppgifter om ex. bortklippt text, skribenter, fil- och servernamn. Hänvisa intervjuvare till dem som ansvarar för dem och handla enligt informationspolitiken. Anvisningar för Åbo Akademis Kommunikation (Rektors beslut ) Åbo Akademi - Domkyrkotorget Åbo 17

18 Privat information och integritet (1/2) IT-utrustningen inom ÅA: Rimlig privat användning tillåten Kom i håg: Verksamheten loggas VAHTI 7/2008 (med modifikation): Använd (helst) privat e-postadress för privat kommunikation. Lagra (helst) inte privata filer på arbetsgivarens mobiltelefon, arbetsstation eller server Åbo Akademi - Domkyrkotorget Åbo 18

19 Privat information och integritet (2/2) Alla har tystnadsplikt angående andras meddelanden som de kommit på å arbetets vägnar. Stoppa ryktesspridning Åbo Akademi - Domkyrkotorget Åbo 19

20 Programmet Allmänt Ärende- och informationsbehandling På arbetsplatsen Mobilt-, distans- och researbete Problemsituationer Åbo Akademi - Domkyrkotorget Åbo 20

21 Datoranvändning (1/2) Var och en ansvarar för sin egen dator. Var noggrann. Surfa och klicka exempelvis inte vad och hur som helst. Giv akt på e-posten. Logga alltid in med eget användarnamn och lösenord! Lås datorn då du lämnar den! Ctrl Alt Del, Lock Workstation eller Win L Åbo Akademi - Domkyrkotorget Åbo 21

22 Datoranvändning (2/2) Spara arbetet med jämna mellanrum och speciellt om du går från rummet. Tips: Ctrl S Logga ut från applikationer och arbetsstation då du går hem. (Eller spara i alla fall filerna och lås skärmen.) Åbo Akademi - Domkyrkotorget Åbo 22

23 Användarrättigheter och lösenord (1/4) Användarnamnet hör ihop med din identitet och arbetsuppgift. Hantera det omsorgsfullt! Överlåt inte ditt personliga användarnamn/lösenord/smartkort/nyckel till någon, inte ens Datacentralen Åbo Akademi - Domkyrkotorget Åbo 23

24 Användarrättigheter och lösenord (2/4) Ställ dig kritisk till alla förfrågningar angående dina lösenord och användarnamn. Byt lösenord tillräckligt ofta och genast ifall du misstänker att någon kommit över det Åbo Akademi - Domkyrkotorget Åbo 24

25 Användarrättigheter och lösenord (3/4) Använd inte ÅA-användarnamn eller lösenord då du registrerar dig för/använder tjänster på internet eller tjänster som levereras av annan part än Datacentralen. Exempel på externa tjänster är bl.a. (använd inte ÅA användarnamn/lösenord): Reportronic Rondo Travel Åbo Akademi - Domkyrkotorget Åbo 25

26 Användarrättigheter och lösenord (4/4) Om gemensamt användarnamn/lösenord för något system bestämmer och ansvarar systemets/informationens ägare om det. Bör bytas alltid då någons rättigheter upphör eller om misstanke om att obehöriga fått reda på det. Bör förövrigt bytas tillräckligt ofta annars också. Ex. vissa mätinstruments styrdatorer Åbo Akademi - Domkyrkotorget Åbo 26

27 Internet och e-post (1/5) Kom i håg: Huvudsakligen okrypterat! Använd bara tjänster du vet är seriösa. Om du får ladda ner program och installera dem, försäkra dig om källans tillförlitlighet. På andra än den egna datorn: Rensa alltid webbläsarens cache-minne och kakor (cookies) Åbo Akademi - Domkyrkotorget Åbo 27

28 Internet och e-post (2/5) E-post kan innehålla skadeprogram. Var misstänksam mot ovanlig e-post och bilagor! Var sunt misstänksam mot tillförlitligheten hos e-postmeddelanden. Avsändaren kan enkelt förfalskas! Arbetsadressen företrädelsevis för arbetsärenden, gärna privat adress för privata ärenden Åbo Akademi - Domkyrkotorget Åbo 28

29 Internet och e-post (3/5) Angående tjänste e-post: Myndigheten skyldig att behandla! Får inte automatiskt dirigeras/skickas vidare utanför den egna organisationens e-postsystem. Var och en ansvarar för den arbetsrelaterade posten som kommer till ens personliga e-post. Får (i princip) hanteras endast på utrustning som administreras av den egna organisationen! (Eller annan org. inom off. förv.) Åbo Akademi - Domkyrkotorget Åbo 29

30 Internet och e-post (4/5) Ifall felkommen e-post: Meddela avsändaren om felaktig försändelse (ifall legitimt mail, svara inte på spam). Ifall du känner den avsedda mottagarens e- postadress: Skicka vidare till den avsedda mottagaren. Meddela avsändaren den rätta adressen. Kom i håg: Tystnadsplikt angående meddelandet Åbo Akademi - Domkyrkotorget Åbo 30

31 Internet och e-post (5/5) Mottagarlistan kan vara: personregisteruppgift sekretessbelagd uppgift. Använd dolda kopior (Bcc:) om så behövs! Åbo Akademi - Domkyrkotorget Åbo 31

32 Säkerhet i lokaliteterna (1/3) Kom ihåg att säkra också kurirförsändelser och försändelse av datamaterial! Sträva efter att följa principen rent bord. Förvara inte sekretessbelagt material på arbetsbordet. Lås dörren till ditt arbetsrum åtminstone ifall du avlägsnar dig för en längre tid/längre bort Åbo Akademi - Domkyrkotorget Åbo 32

33 Säkerhet i lokaliteterna (2/3) Gäster, vilsegångna och utomstående: Vägled dem till rätt plats/person. Lämna dem inte ensamma (och obevakade) någonstans. Släpp inte in någon då du går genom ytterdörren. Lämna inte låsta dörrar öppna. (Passerkontroll!) Åbo Akademi - Domkyrkotorget Åbo 33

34 Säkerhet i lokaliteterna (3/3) Sträva efter att använda mötesrum i samband med besök. Städa mötesrummet efter sammanträdet, lämna inte papper och dokument efter dig (inte heller i papperskorgen) Åbo Akademi - Domkyrkotorget Åbo 34

35 Programmet Allmänt Ärende- och informationsbehandling På arbetsplatsen Mobilt-, distans- och researbete Problemsituationer Åbo Akademi - Domkyrkotorget Åbo 35

36 Mobilt arbetet och mobilutrustning (1/3) Hjälpmedlen, utrustningen och användningen förknippad med samma hot som t.ex. arbetsstationen. Dessutom: Oftast liten och lätt, smäcker utrustning Transport Användning utanför säkra lokaliteter. Ökad risk för stöld, informationsläckage och intrång Åbo Akademi - Domkyrkotorget Åbo 36

37 Mobilt arbetet och mobilutrustning (2/3) Förvara inte onödig information i bärbara datorer, mobiltelefoner, handdatorer och övrig arbetsutrustning. Mobiltelefoner: Slå på användning av PIN-koden och byt den! Slå på också (automatisk) låsning av telefonen (som tillägg till PIN-koden)! Aktivera gärna fjärrlåsning (ex. via textmeddelande) Åbo Akademi - Domkyrkotorget Åbo 37

38 Mobilt arbetet och mobilutrustning (3/3) Kryptera informationen om möjligt. Säkerhetskopiera informationen och/eller synkronisera den med de övriga datasystemen. Mobiltelefonens kalender och kontaktuppgifter kan synkroniseras mot Exchange-servern i Vasa Åbo Akademi - Domkyrkotorget Åbo 38

39 Distansarbete och distansanvändning (1/4) Distansarbete? Arbete annanstans än i ordinarie lokaliteter: Kontorsarbete hemma. Annan ordinarie plats (t.ex. en distansarbetsplats som ordnats av arbetsgivaren). På resa (t.ex. på hotell eller hos annan organisation) Åbo Akademi - Domkyrkotorget Åbo 39

40 Distansarbete och distansanvändning (2/4) Användningsmiljön varierar och dess säkerhet inte kan påverkas i någon större utsträckning. Distansarbetarens egna förfaringssätt än viktigare än på det egna rummet Åbo Akademi - Domkyrkotorget Åbo 40

41 Distansarbete och distansanvändning (3/4) Distansarbete i princip tillåtet endast ifall separat avtal slutits. ( Alla inom ÅA kan tekniskt sett jobba mer eller mindre på distans.) Allt arbete kan/får nödvändigtvis inte skötas på distans (ex. Rondo) Åbo Akademi - Domkyrkotorget Åbo 41

42 Distansarbete och distansanvändning (4/4) Se till att apparatur, papper och övrigt material är i endast egen användning. Använd rekommenderade skyddsprogram och försäkra dig om att de är uppdaterade. Se till att materialet säkerhetskopieras, förvaras och förstörs säkert Åbo Akademi - Domkyrkotorget Åbo 42

43 På hemmadatorn (1/2) Separata användarnamn för alla användare, endast normala användarrättigheter. Administratörskontot endast för systemunderhåll. Kontrollera att operativsystemet och övriga systemprogram uppdateras automatiskt. Ta säkerhetskopior regelbundet och öva på att återställa dem Åbo Akademi - Domkyrkotorget Åbo 43

44 På hemmadatorn (2/2) Använd bara tillförlitliga tjänster och leverantörer för t.ex. inköp. Ge inte ut mera personlig information än absolut nödvändigt. Ge inte ut någon information alls om arbetsgivaren. Stäng datorn och bryt uppkopplingen till nätet då de inte används. Användning av hemdatorn för arbetsuppgifter? Åbo Akademi - Domkyrkotorget Åbo 44

45 Researbete (1/3) Se till att medresenärer inte ser de handlingar och den information du behandlar. Sätt dig med ryggen mot en vägg så läser ingen något över din axel. Använd integritetsskydd som förhindrar bredvidsittande att se skärmen. (Kan beställas via DC.) Justera ljusstyrkan. Inte heller skall de höra vad du talar om i telefonen. (Exempel finns...) Åbo Akademi - Domkyrkotorget Åbo 45

46 Researbete (2/3) Akta att trådlösa kontakter inte aktiveras av misstag. Inaktivera dem via brytare på laptopen. Ingen överföring av data i smyg eller av misstag. Och dessutom: Ingen strömförbrukning och därför längre ackuhållbarhet Åbo Akademi - Domkyrkotorget Åbo 46

47 Researbete (3/3) Använd inte offentliga datorer (ex. internetcaféer och bibliotek) för arbetsuppgifter: Omöjligt att påverka vad som loggas och kanske omöjligt att radera temporärt data från maskinen Åbo Akademi - Domkyrkotorget Åbo 47

48 Programmet Allmänt Ärende- och informationsbehandling På arbetsplatsen Mobilt-, distans- och researbete Problemsituationer Åbo Akademi - Domkyrkotorget Åbo 48

49 Anmälningsplikt Meddela! (Begränsar ditt egna ansvar.) Om stöld (utrustning, passerkort, idkort, flexim-nyckel el. dyl.) till ansvarspersonen för systemet. Om skadeprogram (bl.a. virus och maskar) eller andra problem med informationssäkerheten till den informationssäkerhetsansvariga, datasäkerhetschefen, Datacentralen eller den egna chefen. Om misstankar, skyddsbrister eller problem angående säkerheten till den säkerhetsansvariga Åbo Akademi - Domkyrkotorget Åbo 49

50 Om du misstänker något (1/3) (Kränkt datasekretess eller sabotageprogram) Gör inget förhastat. Gör inget förhastat! Datorn behöver inte stängas, men lösgör nätkabeln/slå av det trådlösa nätet Åbo Akademi - Domkyrkotorget Åbo 50

51 Om du misstänker något (2/3) (Kränkt datasekretess eller sabotageprogram) Skriv upp: Det exakta meddelande eller varning du möjligen fick. Vad du gjorde och i vilken ordning. Den förlorade arbetstiden. Ta kontakt med Datacentralen och/eller den informationsansvariga Åbo Akademi - Domkyrkotorget Åbo 51

52 Om du misstänker något (3/3) (Kränkt datasekretess eller sabotageprogram) Hjälp till med utredningen. Vad gjorde du då maskinen började bete sig konstigt och oväntat? Följ de anvisningar du får Åbo Akademi - Domkyrkotorget Åbo 52

53 Centrala anvisnigar / Repetition (1/4) Hantera information noggrant oberoende av medium. Var och en är ansvarig för informationssäkerheten i sitt eget arbete, det område han/hon ansvarar för. Högsta ansvaret hos rektor och styrelsen Åbo Akademi - Domkyrkotorget Åbo 53

54 Centrala anvisnigar / Repetition (2/4) Rent skrivbord, förvara inte sekretessbelagt material på skrivbordet. Lämna inte gäster ensamma i ditt arbetsrum eller andra utrymmen. Stöd passerkontrollen. Använd information och arbetsredskap endast för skötseln av arbetsuppgifter. (ex. laptopen är inte till för film eller barnens spel.) Åbo Akademi - Domkyrkotorget Åbo 54

55 Centrala anvisnigar / Repetition (3/4)!Överlåt inte användarnamn eller lösenord! Låt ingen utomstående använda din dator. Lås skärmen innan du stiger upp! Ctrl Alt Del, Lock Workstation eller Win L Kopierar du data till ex. en minnespinne, övervaka själv, låt ingen annan kopiera från din dator! Åbo Akademi - Domkyrkotorget Åbo 55

56 Centrala anvisnigar / Repetition (4/4) Meddela den datasäkerhetsansvarige, dataadministrationen eller din förman angående hot och brister i datasäkerheten. Be experterna om hjälp vid behov! Åbo Akademi - Domkyrkotorget Åbo 56

57 Frågor? Svar? Åbo Akademi - Domkyrkotorget Åbo 57