Saabs säkerhetscenter ger företaget kortare ledtider och ökad säkerhet

Storlek: px
Starta visningen från sidan:

Download "Saabs säkerhetscenter ger företaget kortare ledtider och ökad säkerhet"

Transkript

1 CONFIDENCE IN A CONNECTED WORLD SYMANTEC F.Y.I. # Benny Krönfeldt, koncernsäkerhetschef på Saab: Saabs säkerhetscenter ger företaget kortare ledtider och ökad säkerhet DE NYA HOTEN KAN ALLVARLIGT SKADA FÖRTROENDET FÖR FÖRETAGEN RISKHANTERING MER ÄN BARA IT-SÄKERHET SYMANTEC MOBILE CENTER OF EXCELLENCE: NYTT UTVECKLINGSCENTER TACKLAR MOBILA HOT STEG FÖR ATT IDENTIFIERA OCH HANTERA 5IT-RISKER KAN SVERIGE HANTERA ALLVARLIGA IT-INCIDENTER? TEMA: SÄKERHET & RISKHANTERING Trender, experttips användarreportage och de senaste nyheterna från Symantec NYHETER: Symantec Information Foundation 2007 Entreprise Vault 7.0, Network Access Control Veritas Backup Reporter 6.0 Security Information Manager 4.5 Application Service Dashboard och mycket mer...

2 2 COUNTRY UPDATE SYMANTEC F.Y.I. # FRÅN AD-HOC-LÖSNINGAR TILL PROCESSORIENTERADE IT-INVESTERINGAR >> VI BEFINNER OSS VID ett vägskäl i informationsteknikens värld en spännande tid full av framtidslöften. Men vi har varit här förut. Tänk tillbaka till början på nittiotalet när e-post trädde fram som en ny killer application. Eller för mindre än tio år sedan när världen började upptäcka webbens potential. Vid varje tidpunkt fick vi höra att tillvaron skulle förändra sig radikalt. Idag kan vi se tillbaka och konstatera att den verkligen gjorde det. DET SÄTT VI ARBETAR, kommunicerar och interagerar på med vänner, familj och kollegor har genomgått en förvandling som ingen annan vad gäller omfattning och hastighet. E-handelns framväxt och alla sätt vi nu kan få tillgång till Internet har förvandlat tillvaron för såväl varje enskild konsument som för företagen. Samtidigt har förmågan att samarbeta uppkopplat, arbeta på distans och ta del av flerpartstransaktioner skapat en helt ny uppsättning affärsmodeller och nya hotbilder. Dessa hotbilder innebär att företagen inte längre kan angripa säkerhetsproblemen med ad-hoc-lösningar. Istället måste man ta ett helhetsgrepp om säkerheten för att kunna stödja affärsverksamheten, dess strategier och mål. Det är verkligheten idag. I DETTA NUMMER av tidningen går vi igenom hur du bäst kan hantera IT-risker och skydda företagets information på varje nivå i din organisation. En tillförlitlig miljö ger dig det nödvändiga förtroendet i en värld där företaget ständigt utsätts för nya hot och ändrade spelregler. Bara när du har koll på risker, hot och konsekvenser kan du ta välavvägda steg som säkrar företagets tillväxt. Trevlig läsning! Symantec FOR YOUR INFORMATION ges ut av Symantec Nordic AB och distribueras gratis till användare av Symantecs produkter. Syftet med tidningen är att sprida information som kan hjälpa företag att skydda och hantera sina digitala tillgångar. Utgivare: Symantec Nordic AB Kista Science Tower Färögatan 33, plan Kista Stockholm, Sweden Tel +46 (0) Hemsida: Projektledare och ansvarig utgivare: Åsa Edner, Symantec Nordic AB, Redaktör: Assi Abdel-Baki, Ribbit Medarbetare i detta nummer: Spencer Cox Freeman, Olof Holdar, Kent Olofsson, Hugh Nutt och Måns Widman. Producent: RIBBIT, Tryck: Alfa Print, Sundbyberg. Vill du ha ett eget exemplar av tidningen? Kommer tidningen till fel person eller fel adress? Gör din adressändring eller en prenumerationsbegäran på: Ange kod Här kan du även hitta tidningen för nedladdning i PDF-format. Du kan även göra din prenumerationsändring via e-post. Skicka ett meddelande till: Symantec F.Y.I. ges ut fyra gånger per år och trycks i ca exemplar i Norden. DET SÅRBARA IT-SAMHÄLLET s14-15 I takt med att tekniken effektiviserar samhället blir vi allt mer beroende av att den alltid fungerar. Men hur ser samhällets beredskap ut för när tekniken fallerar? Åsa Edner Enterprise Marketing Manager, Nordic and Baltic Region Symantec Corporation I DETTA NUMMER: SYMANTEC INSIGHT s 3 MARKET INSIGHT s 4-5 Analyser, undersökningar och marknadstrender. TIPSA OSS! Är det något du vill veta mer om eller saknar i tidningen? Har du genomfört ett lyckat ITprojekt som du tycker att vi borde skriva om? Skicka in önskemål och tips till oss! CIO CORNER s För att verkligen kunna hantera IT-risker måste man ta ett helhetsgrepp om såväl teknik som affärsprocesser och företagskultur. SAAB INFORMATION SECURITY CENTER s 6-7 Saab-koncernen har samlat all sin säkerhetsexpertis i ett enda center för att garantera att säkerheten finns med från start i alla projekt. EXPERT INSIGHT s 8-9 Det som hotar internetanvändarna är det som riskerar att drabba företagen allra hårdast. Symantecs säkerhetsexpert William Beer förklarar varför. SYMANTEC MOBILE CENTER OF EXCELLENCE s 13 För att säkra mobilsystemen har Symantec skapat ett nytt center för samarbete mellan mobiloperatörer, tillverkare och säkerhetsbranschen. TECHNICAL HOTSPOTS s Produktuppdateringar från Symantec. EVENTS, KURSER & ERBJUDANDEN s 18-19

3 # SYMANTEC F.Y.I. SYMANTEC INSIGHT 3 SECURITY 2.0 FÖRTROENDE I EN DIGITAL VÄRLD På kort tid har den digitala världen blivit mer omfattande och allestädes närvarande. Skiljelinjen mellan företag och konsumenter blir allt suddigare i takt med att nätverken utvidgas till att även omfatta leverantörer och partner. I en sådan värld träder en kritisk faktor fram förtroende. Jan Skelbæk Senior Director, Nordic/Baltic Region, Symantec Corporation >> FÖRTROENDE ÄR OUMBÄRLIGT om vi vill förverkliga den nya teknikens fulla potential. Förtroende växer fram när alla i den digitala världen litar på att informationen är skyddad, att interaktionerna är säkra och att risken för skada för en själv eller företaget har minimerats. Att bygga detta förtroende kräver ett helt nytt förhållningssätt en ny strategi som många kallar Security 2.0. Centralt för detta begrepp är förståelsen för att det inte längre bara handlar om att skydda enskilda enheter utan även om att säkra informationen och interaktionerna. Security 2.0 handlar inte om nya tjänster eller en enda saliggörande lösning. Det handlar om att minska risker för att ta vara på framtida möjligheter. Det handlar om att ta fram ett ekosystem av program, tjänster och partnerskap för att skydda kundernas viktigaste tillgångar deras information och interaktioner. Viktigast av allt det handlar om att hjälpa kunder att ha fortsatt förtroende för den digitala världen. ATT HJÄLPA TILL att skapa detta förtroende är Symantecs viktigaste mål. För utan förtroende kommer den digitala livsstilen inte att infria sina löften och den digitala världens fulla potential kommer aldrig att uppnås. Att skydda informationen är oerhört viktigt men långt ifrån lätt. Man kan maximera säkerheten och sätta informationen bakom lås och bom. Men om informationen är otillgänglig är den värdelös. Om informationen å andra sidan är oskyddad blir den opålitlig. ATT SKYDDA INFORMATIONEN och interaktionerna kräver mer än benhårda säkerhetsåtgärder. Det kräver integrerade produkter och tjänster som tar hänsyn till företagets organisation och utsatthet. Det kräver lösningar som identifierar risker tidigt nog för att rätt åtgärder ska kunna vidtas i tid. Det finns inte en enskild produkt som kan leverera det skydd som användarna behöver. Det gäller att skapa ett ramverk som gör det möjligt för kunderna att hantera sina säkerhetsincidenter oavsett vilka produkter de redan använder. PÅ SYMANTEC ÄR vi väl medvetna om att enbart teknik inte är lösningen på säkerhetsproblemen. Vi vet att det krävs en kombination av människor, processer och teknik för att säkerställa en fungerande helhetslösning och för att ta steget närmare en trygg och säkrare framtid. UTAN FÖRTROENDE KOMMER DEN UPPKOPPLADE VÄRLDENS FULLA POTENTIAL INTE ATT UPPNÅS SYMANTECS FEM GRUNDPELARE: REGEL- EFTERLEVNAD INFORMATIONS- HANTERING SÄKERHET LAGRINGS- HANTERING Vi hjälper dig att ta kontroll över regelefterlevnaden i hela verksamheten med allt från automatiserade processer till upprättande av en proaktiv informationspolicy. Vi hjälper dig att optimera din informationshantering genom att minimera riskerna och nertiden, upprätthålla regelverken och företagets IT-policy. Vi hjälper dig att hantera hoten överallt där information skapas, lagras och överförs genom att minimera säkerhetsrisker på alla nivåer i IT-miljön innan de drabbar företaget. Vi hjälper dig att optimera din lagring, förenkla administrationen och öka tillgängligheten. Du kan höja servicenivåerna samtidigt som du minskar kostnaderna och komplexiteten i datacentret. GLOBAL SERVICES Symantec Global Services kombinerar omfattande kunskap om riskhantering med teknisk expertis och affärskunnande. Vi hjälper dig att balansera kostnad, risk och tjänstekvalitet för att skydda dina tillgångar och interaktioner.

4 4 MARKET INSIGHT SYMANTEC F.Y.I. # IT-INVESTERINGAR ÖKAR NORDISK PRODUKTIVITET >> DE BRANSCHER I NORDEN SOM investerar mest i IT visar också högst produktivitet. Den slutsatsen drar IDC efter att ha slutfört fyra undersökningar om IT-investeringar inom olika branscher i de nordiska länderna. Undersökningarna visar att ju högre IT-investeringarna är per anställd i en bransch, desto högre är branschens produktivitet per anställd. Det finns ett fåtal undantag från regeln, exempelvis bland mindre tjänsteföretag eller branscher med stora manuellt intensiva företag som ofta har möjlighet att föra över ökade kostnader på slutanvändarna. Bland dessa återfinns transport- och energibranscherna. Relationen mellan IT-investeringar och produktivitet är tydlig inom de flesta branscher. Därför är investeringar i IT ett sätt för enskilda företag att förbättra sin konkurrenskraft och öka sina chanser till framgång på marknaden menar IDC. INFORMATIONS- OCH IDENTITETSSTÖLD ÖKAR >> DATASTÖLD, DATALÄCKAGE och elakartad kod med målet att stjäla konfidentiell information för ekonomisk vinning fortsätter att öka, visar Symantecs senaste Internet Security Threat Report. Rapporten som täcker in det sista halvåret 2006 bygger på analys av data insamlat från mer än sensorer i över 180 länder. På listan över de 50 mest spridda hoten mot internetanvändare och företag är 66 procent elak kod som skapats för att samla in konfidentiell information, en ökning från 48 procent under föregående period. Key loggers som registrerar tangenttryckningar och skickar dem vidare utan användarens vetskap utgör 79 procent av all elak kod med mål att stjäla information. Informationen som samlas in säljs ofta vidare via servrar i den undre världen. Där kan till exempel ett amerikanskt kreditkort med verifikationskod gå för mellan 1 och 6 dollar medan en identitet (inklusive bankkontonummer, kontokortsuppgifter, födelsedatum och ID-nummer) finns tillgänglig för mellan 14 och 18 dollar. 15 procent av alla dessa kriminella servrar fanns i Sverige enligt rapporten som kan laddas ner från: Symantec prisas För tredje året i rad fick Symantec ta emot Frost & Sullivans pris för bästa företag inom säkerhetsindustrin i EMEA. Enligt Frost & Sullivan har Symantec en unik vision kring säkerhetslagring och affärskontinuitet. Företagets framgångar understryks av växande intäkter, vinster och marknadsandelar samt dess goda rykte i näringslivet. The Frost & Sullivan Award for Company of the Year delas ut varje år till företag som har uppvisat framstående egenskaper inom alla delar av sin verksamhet. FORTSATT HÖG ANDEL SPAM >> EFTER EN TOPPNOTERING på 80 procent under december 2006 gick andelen spam tillbaka till 70 procent under februari månad. Andelen varierar från vecka till vecka, men den uppåtgående trenden är tydlig. Spam-aktiviteterna följde samma trender i februari som de närmast tidigare månaderna, dock med några avvikelser. En intressant iakttagelse är att andelen porr-spam har minskat radikalt under de senaste månaderna och når en bottennotering på 3 procent. Bildspam fortsatte att vara vanligt förekommande under perioden och från att ha utgjort 45 procent av all spam i början på januari gick andelen ner till 38 procent under februari. Krishantering på Virgin Mobile >> SYMANTEC CONSULTING SERVICES har utvecklat och implementerat en kontinuitetsplan hos Virgin Mobile, Storbritanniens ledande virtuella mobiloperatör (Virtual Mobile Network Operator). Kontinuitetsplaneringen minskar risken för incidenter och deras potentiella effekter på verksamheten, kunder och hela värdekedjan. Virgin Mobile kan nu även uppvisa regelefterlevnad för utomstående intressenter som media och aktieägare samt uppfylla de krav som ställs av försäkringsbolag, myndigheter och juridiska regelverk. En stor del av arbetet ägnades åt att identifiera potentiella kriser som effekterna av fågelinfluensa, terrorism, naturkatastrofer och andra incidenter. Tillsammans med Symantecs konsulter kunde vi ta fram en krishanteringsgrupp från varje affärsområde inom företaget som kunde ansvara för kontinuiteten om något skulle hända, säger Andrew Ralston, Customer Relationship Director på Virgin Mobile. Andelen spam av den totala globala e-posttrafiken från november 2006 till februari Trendlinjen visar utvecklingen för ett genomsnitt på sju dagar. Virgin Virgin Mobile Mobile Mängden porrspam har minskat den senaste tiden och utgör numera rekordlåga 3 procent av all skräppost som skickades under februari 2007.

5 # SYMANTEC F.Y.I. MARKET INSIGHT 5 Ny rapport visar: Företagen behöver förbättra sin IT-riskhantering >> ÖVER HÄLFTEN AV ALLA företag i EMEA och USA förväntas drabbas av en stor IT-incident minst en gång per år. Det framgår av Symantec IT Risk Management Report. Undersökningen bygger på intervjuer med mer än 500 IT-ansvariga i företag och organisationer inom 37 olika branscher världen över. 58 PROCENT AV DEM som svarade förväntar sig att företaget kommer drabbas av en stor dataförlust minst en gång vart femte år och 60 procent förväntar sig minst en stor IT-incident per år. Förväntningarna hos de företag i EMEA som deltog skiljer sig markant från förväntningarna bland amerikanska företag. 22 procent av EMEAföretagen tror att en stor dataförlust kommer att drabba företaget en gång om året jämfört med endast 10 procent av de amerikanska respondenterna. Däremot förväntar sig sju av tio amerikanska företag att drabbas av en mindre dataförlust mer än en gång per år mot mindre än vart annat företag i EMEA-regionen. Det är värt att notera att EMEA-företagen rapporterade in i princip lika stor andel IT-incidenter som sina amerikanska motparter. Effektiv IT-riskhantering kräver en stark kombination av expertis och investeringar i både teknik och processer. På det stora hela uppskattade de som svarade på enkäten att de var betydligt bättre på att implementera tekniken än de processer som behövdes för IT-riskhantering. I RAPPORTEN FRAMTRÄDER det tydligt att de processer som upplevs som effektivast i företagen rör autentisering, behörighet och åtkomst då 68 procent angav att de ansåg att effektiviteten översteg 75 procent. Däremot anser sig företagen vara betydligt sämre på att implementera processer för att identifiera, klassificera och uppskatta IT-resurser. Utan en detaljerad riskbedömning behandlas alla företagets resurser lika. Detta innebär att vissa resurser saknar tillräckligt skydd medan andra skyddas i övermått jämfört med det faktiska behovet. Enligt rapporten finns det dessutom tydliga skillnader mellan hur IT-ansvariga och företagsledningen upplever företagets exponering för IT-risker. Olika uppfattningar leder både till resursslöseri och ineffektiv riskhantering. För att kunna hantera IT-risker på ett effektivt sätt kan företag följa en femstegsprocess, som beskrivs i rapporten. Processen hjälper företagen att formalisera sina strategier och undvika problem genom att prioritera och kvantifiera risker, genomföra riskhan- FÖRETAGEN ÄR BÄTTRE PÅ ATT IMPLEMENTERA DEN TEKNISKA DELEN AV RISKHANTERING ÄN Värdering av företagets tekniska effektivitet för att minska IT- risker. Områdena är ordnade från vänster till höger enligt minskande upplevd effektivitet. DEN DEL SOM BERÖR PROCESSER. Värdering av företagets effektivitet vad gäller processer för IT-riskhantering. Processerna är ordnade från vänster till höger enligt minskande upplevd effektivitet. teringsinsatser och kontinuerligt mäta effektiviteten. (Mer om detta på sidan 11). Rapporten kan laddas ner från: IT SOM TJÄNST HETARE ÄN NÅGONSIN >> ATT KÖPA IT som tjänst börjar bli vanligare än vi tror. WM-data levererar dagligen IT-tjänster och hela branschen upplever en boom inom området. Förra året hade våra lagringstjänster en tillväxt på mellan procent och på serversidan var den mellan 100 och 300 procent beroende på IT-miljö, säger Pär Jildenbäck, tjänsteutvecklingsansvarig på WM-data. WM-data erbjuder i dag ett åttiotal IT-funktioner som tjänster, däribland helpdesk, EDI, mailbox, antivirus och lagringshantering. Företaget paketerar allt från hårdvara till licenser och erbjuder kunderna att hyra en funktion där man tar betalt för själva användningen. Eftersom vi har volymerna kan vi få ner priserna rejält. Det blir ofta billigare för företagen än att drifta lösningen själva. WM-data har nyligen utökat sitt utbud med en ny tjänst för e-postarkivering. Tjänsten bygger på Symantec Enterprise Vault, ett flexibelt arkiveringssystem där innehåll i e-post, filsystem och gemensamma miljöer kan lagras och spåras samtidigt som hanteringen förenklas och lagringskostnaderna hålls nere. Kunderna har efterfrågat en arkiveringslösning eftersom Exchange har klara brister som måste täppas till. Vi valde Enterprise Vault för att den är ledande på marknaden, säger Pär Jildenbäck. Att erbjuda e-postarkivering som tjänst är hett efterfrågat. Vår tjänst för e-postarkivering bygger på Symantec Enterprise Vault. Tjänsten är väldigt lättsåld eftersom den täpper till klara brister i Exchange, säger Pär Jildenbäck, tjänste utvecklingsansvarig på WM-data. Tjänsten är väldigt lättsåld. Med en månadsavgift per mailbox och nyttjad gigabyte får företagen bättre kontroll eftersom de får förutsägbara kostnader. Man betalar bara för det man använder inget annat, säger Pär Jildenbäck.

6 6 SÄKERHET OCH RISKHANTERING: SAAB SYMANTEC F.Y.I. # Sedan Saab samlat sin kunskap och erfarenhet på säkerhetsområdet i ett särskilt kompetenscenter har dess kundprojekt en perfekt anpassad säkerhetsnivå från allra första början. Det höjer effektiviteten i hela verksamheten samtidigt som företagets konkurrenskraft stärks. TEXT: MÅNS WIDMAN FOTO: OLOF HOLDAR HÖGTFLYGANDE KUNDKRAV LANDAR SÄKERT MED SAAB >> SAAB AB ÄR ETT av världens ledande högteknologiföretag med huvudsaklig inriktning på försvar, flyg, rymd och civil säkerhet. På den militära sidan ställer kunderna, exempelvis FMV och den svenska försvarsmakten, hårda krav på hanteringen av information, bland annat i enlighet med sekretesslagen. Även sekretesskraven på den civila sidan är ofta på hög nivå. Hårda säkerhetskrav kan skapa trögheter i alla typer av verksamheter. Det finns ett oerhört behov av att få information att flöda smidigt och effektivt i stora organisationer. Vi som arbetar med säkerhet kan lätt bli nej-sägare och därmed bromsa detta flöde. Men i stället för att vara ett hinder ska säkerhetsfunktionen tillföra nytta i utvecklingen av nya informationstjänster, säger Benny Krönfeldt, koncernsäkerhetschef på Saab. Behovsbilden på säkerhetsområdet har förändrats påtagligt under de senaste åren, för Saab liksom för andra företag. Det var inte så länge sedan informationssystem betraktades som hjälpmedel i verksamheten. I dag är de en förutsättning för att företagen ska kunna bedriva affärsverksamhet. Vår säkerhetsstrategi bygger på att skyddet i våra system är anpassat efter aktuell hotbild, säger Benny Krönfeldt. Attackerna blir alltmer avancerade, vilket bland annat framgår av Symantecs rapporter. Men detta är inget unikt för Saab utan bör gälla för alla företag och verksamheter. VAD SOM DÄREMOT är unikt för Saab är dess nya Information Security Center, ISC. Från Saabs olika affärsområden har det växt fram en efterfrågan på en gemensam produktportfölj på För oss är säkerhetscentret en resurs och en buffert med kompetens och kunskap. Vid behov kan vår säkerhetsavdelning förstärkas med nödvändiga resurser, säger Benny Krönfeldt, koncernsäkerhetschef på Saab. säkerhetsområdet och en gemensam plats där all kompetens, kunskap och erfarenhet i företaget kan samlas. I dag finns denna plats i form av ISC. Tidigare fanns ingen samlad bild över de kompetenser inom informationssäkerhet som fanns inom koncernen. Säkerhetsfrågorna åtgärdades i de enskilda fallen när behoven uppstod. Numera kan Saabs systemutvecklare vända sig direkt till säkerhetscentret och få hjälp redan från start. Fördelen är att vi har ett verksamhetskunnande som externa resurser sällan kan erbjuda, säger Pernilla Rönn, ansvarig för Saabs ISC. BASEN FÖR ISC är den kompetens som finns i Combitech, ett bolag inom koncernen som erbjuder tjänster inom systemutveckling, integration samt informationssäkerhet. Totalt har ISC tillgång till cirka 80 konsulter från Combitech. Centrets kompetens finns också hos medarbetare i olika delar av den övriga koncernen samt i form av informationsbanker om produkter, lösningar och erfarenheter samt andra typer av hjälpmedel. SÄKERHETEN FINNS NU KONSEKVENT MED I PROJEKTEN FRÅN ALLRA FÖRSTA BÖRJAN Säkerhetscentret arbetar med det defensiva skyddet av Saabs verksamhet för företagets överlevnad och framtid. Den stöder koncernens affärer genom att ta fram de rätta kraven på system och infrastruktur. PROJEKTET MED ATT bygga upp centret började hösten Inledningsvis gjorde vi en stor behovsanalys, säger Pernilla Rönn. Vi talade med alla affärsområden om vilken kompetens de själva hade och vilken typ av hjälp med informationssäkerhet de behövde. Sedan dess har centrets struktur växt fram. ISC består av de två delarna information och tjänster. Båda kommer att finnas tillgängliga på en webbportal som håller på att utvecklas. Informationsdelen kan användas som ett hjälpmedel av alla inom Saab. Dess kärna är en databas som innehåller information om produkter och leverantörer med utgångspunkt från olika funktioner. Utvecklaren av ett system som behöver någon form av säkerhetsfunktion kan gå in i informationsdelen för att exempelvis undersöka hur höga kraven på inloggning ska vara, säger Pernilla Rönn. Det kanske framgår att systemet ska ha stark autentisering baserad på smarta kort. I databasen kan utvecklaren sedan hitta den produkt och den leverantör som är lämplig för just den efterfrågade funktionen. För tillfället pågår ett arbete med att undersöka intressanta produkter till ISC:s verktygslåda. Vi bedömer att Symantec är en av de främsta leverantörerna inom sitt område, säger Pernilla Rönn. DATABASEN INNEHÅLLER även information om hur produkter och lösningar har använts tidigare i olika projekt. På detta sätt kan erfarenhe-

7 # SYMANTEC F.Y.I. SÄKERHET OCH RISKHANTERING: SAAB 7 terna inom koncernen tas tillvara på ett smidigt sätt. Informationsdelen innehåller också ett bibliotek med olika typer av dokumentation, såsom en ordlista, kravdokumentation och en funktion för omvärldsbevakning samt rekommenderade standarder, regelverk och andra föreskrifter. När det gäller ISC:s tjänstedel ska projektgrupper enkelt kunna gå in på portalen och anropa tjänster. Om en projektingenjör behöver konfigurera ett system för att det ska få rätt säkerhetsfunktionalitet kan tjänsten köpas in. En av ISC:s konsulter kan då gå in som expert i projektet. ISC kan hjälpa till vid alla steg i projektgången kring utvecklingen av ett system. Vi kan till exempel ansvara för att hanteringen av projektinformation är säker, säger Pernilla Rönn. I många av våra projekt är en stor del av informationen sekretessbelagd samtidigt som ett flertal parter är involverade. Vi ser till att riktlinjerna och reglerna följs inom projektet. Ofta används ISO standarden som styrmedel. CENTRETS KOMPETENS KAN exempelvis också anlitas vid projekt då kunden ställer krav på att systemet ska utvärderas enligt säkerhetsstandarden Common Criteria. Denna standard kräver en unik kompetens. Därför sitter vi med i projektet och tar fram all nödvändig dokumentation för att uppfylla Common Criteria samt utgör kontaktyta mot kund och utvärderingsföretag, säger Pernilla Rönn. Vi hjälper även projekt med en metod för säker systemutveckling. Det kan bland annat gälla speciellt kritisk säkerhetsfunktionalitet eller utbildning av utvecklarna i projektet. Både standardiserade och specialutformade utbildningar ingår bland centrets tjänster. ISC:S VERKSAMHET HAR redan fått märkbara synergieffekter inom koncernen. I och med att vi har koncentrerat en stor mängd kunskap uppstår en kraftfull tillväxt i kompetensspiralen, säger Benny Krönfeldt. Ledtiderna kortas, eftersom vi alltid vet hur vi ska hitta kompetens. Våra ingenjörer kan genom centret utbyta erfarenheter internt och vi behöver inte uppfinna hjulet på nytt i varje projekt. I ett större perspektiv innebär centret att Saab blir mer konkurrenskraftigt på marknaden. En av de viktigaste följderna av ISC:s verksamhet är att säkerhetsfunk tionaliteten konsekvent finns med i projekten från allra första början. Det totala säkerhetsmedvetandet inom organisationen kommer successivt att öka ju mer ISC:s tjänster används, säger Pernilla Rönn. Tjänsterna har använts i Saabs kundprojekt sedan i höstas. Portalen och webbgränssnittet med produktdatabasen och övrig information kommer att bli tillgängliga för Saabs projektgrupper och övriga medarbetare under året. Saabs olika affärsområden efterfrågade en gemensam produktportfölj på säkerhetsområdet och en gemensam plats där all företagets säkerhetsexpertis kunde samlas. I dag finns denna plats i form av Information Security Center som startades hösten 2005, säger Benny Krönfeldt, koncernsäkerhetschef på Saab och Pernilla Rönn ansvarig för säkerhetscentret. FRÅN FLYG TILL RYMD MED SAAB Saab AB utvecklar, tillverkar och marknadsför produkter och tjänster inom flyg-, försvars- och rymdindustrin. Koncernbolagen, med sammanlagt cirka anställda, är uppdelade på tre områden: 1. Försvar och Säkerhet som utvecklar och tillverkar system för bland annat stridsflyg, robotstyrning och övervakning. 2. System och Produkter som utvecklar och säljer system, produkter och komponenter för försvar, flyg, rymd och civil säkerhet 3. Flyg och Rymd som utvecklar och bygger civila och militära flygplan. Mer information finns på

8 8 EXPERT INSIGHT SYMANTEC F.Y.I. # DE NYA HOTEN KAN ALLVARL SKADA FÖRTROENDET FÖR FÖRETAGEN Det finns mycket som kan hota internetanvändare idag oavsett om det rör sig om storföretag eller enskilda användare. I allt högre grad blir det som hotar en privatperson på Internet i slutändan även det som kan drabba företagen allra hårdast. TEXT: KENT OLOFSSON FOTO: HUGH NUTT FÖR ATT UNDVIKA EN STOR FÖRTROENDE- KRIS FÖR INTERNET MÅSTE FÖRETAGEN STÅ EMOT ATTACKERNA >> FÖR INTE länge sedan var det värsta scenariot en datoranvändare kunde tänka sig att drabbas av virus via e-posten och få viktiga filer raderade. Virus florerar fortfarande och är ett stort hot men nu finns det betydligt allvarligare konsekvenser än förlorade filer. Vi har pratat med William Beer, European Security Practice Director på Symantec som pekar på framför allt tre hot som måste tas på största allvar idag. Det är onekligen dataläckage, identitetsstöld och onlinebedrägerier som toppar listan på allvarliga hot idag, säger han. Dataläckage innebär att data som exempelvis kontonummer eller information om din privatekonomi som du trodde låg säkert hos din bank eller försäkringsbolag läcker ut och blir tillgänglig för människor du absolut inte vill ska ha tillgång till den. Kombinera det med identitetsstöld där någon kan logga in som dig på din internetbank eller handlar produkter SECURITY 2.0 Något som ska kunna underlätta för företag som vill skydda sina system och minimera risken för dataläckage, identitetsstöld och onlinebedrägeri är Symantec Security 2.0. Det är ingen produkt, utan ett ramverk som innefattar produkter och tjänster från Symantec samt olika partnerskap som Symantec har med andra företag. Det hela syftar till att skapa integrerade lösningar som ska skydda företagen genom att bland annat hjälpa dem att skriva säkra applikationer och se till att information aldrig hamnar utanför där den är tänkt att finnas. du aldrig beställt på ditt kreditkort så börjar situationen bli riktigt obehaglig. För de företag som misslyckas att säkra användarnas känsliga kunddata kan det innebära en katastrof då förtroendet för dem kan raseras över en natt. DET SOM FÖRVÄRRAR situationen är att det inte längre är några förhållandevis oskyldiga hackers som gör detta för äran eller för sitt höga nöjes skull. Nu handlar det om organiserad brottslighet som gör det för ekonomisk vinning. De har resurser att stjäla stora mängder identiteter, göra storskaliga attacker och sedan se till att de pengar som stulits tvättas och försvinner. Det finns en rad tekniska lösningar som kan minska riskerna. Det handlar om allt från antivirusprogram hos slutanvändarna till avancerade intrångsdetekteringssystem på företagen. Men frågan är om situationen kan lösas genom att bara investera i tekniska lösningar. Ett allvarligt misstag som är lätt att göra är att börja i fel ände, säger William Beer. Företagen börjar med att skaffa en så säker lösning som de tror sig behöva utan att riktigt vara på det klara över vad som ska skyddas. Företagen måste istället börja med att inventera sitt data, se var informationen är lagrad och sedan klassificera den efter hur viktig och känslig den är. Först när det är klart kan man fatta beslut om vilka tekniska lösningar och processer som måste till för att minimera riskerna. ETT ANNAT PROBLEM som ofta uppstår när något inträffar är att man anser att det bara är IT-avdelningens uppgift att ta tag i det. Men eftersom problemen drabbar hela företaget måste alla avdelningar vara delaktiga, i synnerhet de som arbetar med information och kommunikation. William Beer nämner som exempel en europeisk bank som Symantec hjälpt. Banken hade drabbats av en storskalig phishing-attack och antalet samtal in till bankens call center ökade då med 40 procent. Men den personal som satt där var bara utbildad för att svara på ekonomiska frågor och kunde inte ge rätt information till oroliga kunder. Det viktigaste vi måste göra nu för att bättre stå emot identitetsstölder och onlinebedrägerier är att inse att även sådant som utbildning av personal och kunder, information och PR är viktiga delar av skyddet. Medan IT-teknikerna jobbar på sitt håll med att stoppa attackerna måste

9 # SYMANTEC F.Y.I. EXPERT INSIGHT 9 IGT För de företag som misslyckas att säkra användarnas känsliga kunddata kan det innebära en katastrof då förtroendet för företaget kan raseras över en natt. Utbildning av personal och kunder, information och PR är viktiga delar i helhetsskyddet, säger William Beer, Symantecs European Security Practice Director. informationsavdelningen se till att de anställda kan ge kunderna bra information om vad som hänt samtidigt som PR-avdelningen måste utarbeta en handlingsplan för hur situationen ska hanteras för att förtroendet för företaget inte ska skadas. JUST BRISTEN PÅ förtroende kan bli ett stort problem. Om en internetbank eller internethandlare drabbas, skadar det inte bara det företaget utan även förtroendet för hela branschen och för Internet som sådant. För att undvika en stor förtroendekris för Internet som handelsplats och centrum för finansiella transaktioner måste företagen stå emot attackerna på ett bra sätt och då pratar vi inte bara ur ett tekniskt perspektiv utan det gäller att kärnverksamheten inte blir lidande. Det här är något som många större företag insett och IT-risker börjar hanteras på en helt annan nivå än tidigare. När jag pratar med stora banker eller e-handelsbolag om dessa frågor är det inte i första hand IT- eller säkerhetschefen jag talar med utan finanschefen eller chefen för internetbanken. Det är dem som verkligen ser hur säkerhetsfrågorna kan påverka hela affärsverksamheten, säger William Beer. DET RÅDER INGEN tvekan om att problemet med dataläckage, identitetsstöld och onlinebedrägeri är stort. Men hur stort är svårare att säga. Fortfarande drar sig företagen för att rapportera in denna typ av attacker. Det kan ju minska förtroendet för företaget och då väljer man att svälja förtreten och ta några miljoner i förlust hellre än att ringa myndigheterna och riskera att det hela kommer till allmänhetens kännedom.för brottslingarna innebär det att det finns en hygglig chans att polisen inte ens vet om att det begåtts ett brott och så mycket bättre än så kan det knappast bli för dem. DATALÄCKAGE, IDENTITETSSTÖLD OCH ONLINE- BEDRÄGERIER ÄR DE MEST ALLVARLIGA HOTEN SOM KAN DRABBA INDIVIDER OCH FÖRETAG I USA finns det nu lagstiftning på plats som kräver att företaget rapporterar till myndigheterna om de drabbats av ett bedrägeri och förlorat data. Även inom EU har man börjat titta på en liknande lösning. Det kanske kan verka lite hårt att göra företagen till brottslingar om de inte rapporterar in sina egna brister, men det kanske är det som krävs för att få upp frågan på rätt nivå och se till att rapporterna verkligen kommer in. Så länge frågan ses som ett tekniskt och inte ett juridiskt problem är det tyvärr fortfarande svårt att få tillräcklig uppmärksamhet från ledningen, säger William Beer.

10 10 CIO CORNER SYMANTEC F.Y.I. # RISKHANTERING MYCKET MER ÄN BARA IT-SÄKERHET Att ha brandväggar, antivirusprogram och bra backuprutiner är självklarheter för de flesta företag idag, men det räcker inte. För att verkligen kunna hantera alla IT-risker krävs det ett helhetsgrepp som även inkluderar affärsprocesser och företagskultur. TEXT: KENT OLOFSSON FOTO: OLOF HOLDAR Den kommande standarden ISO beskriver de processer som behövs för riskhantering inom informationssäkerhet. Både Mike Spink Global Practice Leader Risk Management på Symantec (till vänster) och Anders Carlstedt, en av redaktörerna bakom standarden, är överens: den behövs för att få bättre samstämmighet mellan hur företaget generellt hanterar risker och hur de hanteras inom IT. >> IT-SYSTEMEN ÄR idag så viktiga för många företag att verksamheten i praktiken står och faller med dem. Det gör också att det blir oerhört viktigt att analysera de risker som kan hota informationssäkerheten. För detta krävs att företaget har en ordentlig process kring riskhantering. Nu kanske många IT-ansvariga anser att riskhantering är det samma som att ha bra IT-säkerhetssystem, men det är bara en del av ekvationen. Vi anser att det finns fyra dimensioner att ta hänsyn till när man tänker på riskhantering inom information och det är säkerhet, prestanda, tillgänglighet och att företaget följer gällande regler och förordningar, säger Mike Spink, Global Practice Leader Risk Management på Symantec. TILL VISS DEL kräver bra riskhantering att det i grunden finns bra tekniska lösningar, men det måste till mer. Hur är det till exempel med de juridiska riskerna om viktiga dokument skulle försvinna? Vad händer om influensa slår ut halva personalen på IT-avdelningen? Är affärsprocesserna utvecklade med tanke på säkerhet eller är det något som har lappats på lite hjälpligt i efterhand? Det är bara några av de frågor företaget måste ställa sig för att verkligen kunna analysera alla de risker som företaget måste kunna hantera. En central del i riskhanteringen är att få en helhetsbild över riskerna. Det vill säga att se informationssäkerheten som en del av företagets verksamhet och inte något som kan skötas helt separat. Det är mycket viktigt att kombinera affärsstrategin med en IT-strategi för att få rätt nivå på informationssäkerheten i organisationen säger Anders Carlstedt en av redaktörerna bakom den kommande ISO-standarden för riskhantering. Det betyder bland annat att företagsledningen och styrelsen är medvetna om och diskuterar vilka risker som är acceptabla när det gäller informationssäkerheten. Nu kräver det i sin tur att ledningen och IT-avdelningen förstår varandra

11 # SYMANTEC F.Y.I. CIO CORNER 11 vilket inte alltid är fallet. Det finns en risk att IT-avdelningen och företagsledningen använder samma termer, men menar olika saker med dem vilket förstås kan leda till allvarliga missförstånd, säger Anders Carlstedt. ETT SÄTT ATT garantera att alla menar samma sak är att bestämma sig för att följa en standard. Just en sådan standard för riskhantering inom informationssäkerhet är också på väg i form av ISO som beräknas vara färdig runt årsskiftet. Anders Carlstedt sitter som redaktör för standarden och enligt honom ska den nya standarden kunna cementera riskhantering som det främsta verktyget för att prioritera vad som är viktigast inom företagets informationssäkerhet och i vilken ordning man ska ta itu med olika saker. Standarden bygger på en teknisk rapport, men tanken med ISO är att man inte ska behöva vara tekniker för att förstå den. Standarden visar på hög nivå hur man kan bygga upp sin riskhantering och hur det går att få bättre samstämmighet mellan hur företaget generellt hanterar risker och hur de hanteras inom IT, säger Anders Carlstedt. Dessutom ska standarden visa hur kommunikationen från riskhanteringsfunktionen ska nå ner till dem som ansvarar för att hantera riskerna på teknisk nivå. EN STOR FRÅGA inom riskhanteringen är vilken nivå av risk som är acceptabel. I den bästa av världar vore svaret på den frågan att ingen risk alls är acceptabel. I verkligheten skulle det innebära att man ryckte ut elkabeln till varje dator och göt in dem i betong. Helt riskfritt, men också fullständigt oanvändbart. Dessvärre finns det ingen tumregel för vad som är acceptabelt utan det varierar från företag till företag. En del hjälp finns att få bland annat i form av ett riskanalysverktyg som Symantec utvecklat med vilken man kan se vilken risknivå företaget befinner sig på. Genom att bara svara på frågor om hur företagets riskkultur ser ut och vad som är acceptabelt räknar verktyget ut ett betyg på risknivån. Ett företag kan då bestämma sig för att en viss nivå är acceptabel och sedan ger verktyget tips om vad som bör göras för att nå dit. nytta av att ta in utomstående konsulter för att gå igenom de risker som kan hota företaget. Men det gäller att plocka in rätt sorts hjälp. Ett fel som många företag gör när de vill få bättre informationssäkerhet är att de går till ett rent IT-säkerhetsföretag istället för till dem som specialiserat sig på informationssäkerhet eller riskhantering, säger Anders Carlstedt. Det ger dem en fungerande teknisk lösning för ett specifikt problem men hjälper dem inte få en helhetsbild över riskerna eller hur de ska prioritera bland allt som behöver göras. FÖRETAGET KAN HELLER inte räkna med att allt kommer att lösa sig bara de tar in en konsult, även om det är en väldigt kompetent sådan. Företagen kan inte bara lämna över ansvaret för riskhanteringen till utomstående utan de måste vara beredda att ta åtminstone en del av ansvaret själva, säger Mike Spink. Konsulter kan ge råd, men kan aldrig bestämma vad ett företag ska göra för att hantera sina risker. Det bästa en konsult kan göra är egentligen att få de ansvariga på företaget att förstå vad riskhantering är, varför det är viktigt och vilka fördelar det finns med bra riskhantering. På så sätt kan riskhanteringen bli en naturlig del i verksamheten, vilket är A och O för att skydda företaget på bästa sätt. Riskerna förändras hela tiden och riskhantering måste bli en livsstil snarare än bara ett projekt som ska klaras av, säger Mike Spink. Det räcker alltså inte med att arbeta sig upp till en acceptabel risknivå 5 STEG FÖR ATT IDENTIFIERA OCH HANTERA IT-RISKER Steg 1 Utveckla en medvetenhet kring IT-risker Att minska IT-riskerna börjar med en omfattande kartläggning där man etablerar projektets omfattning, tar fram en riskprofil för organisationen som bygger på företagets allmänna prioriteringar och identifierar de främsta IT-riskerna. Steg 2 Kvantifiera konsekvenser Att kvantifiera de konsekvenser som IT-risker kan ha för företaget är det svåraste och viktigaste steget. Innan detta är gjort är det svårt för IT-avdelningen att uppmärksamma ledningen och få de resurser som behövs för att minimera risker och konsekvenser. Steg 3 Ta fram lösningar Ta fram en uppsättning lösningar som tar hänsyn till HELT RISK- FRITT BLIR DET ALDRIG. EN STOR FRÅGA INOM RISKHAN- TERING ÄR VILKEN NIVÅ AV RISK SOM ÄR ACCEP- TABEL RISKEN FINNS ATT IT-AVDELNINGEN OCH FÖRETAGSLEDNINGEN ANVÄNDER SAMMA TERMER, MEN MENAR OLIKA SAKER och sedan anse att arbetet är slutfört. Om till exempel en säkerhetslucka i en router patchas kan man inte säga att den risken har eliminerats utan bara att den nu är under kontroll. Risken ska sedan kontrolleras igen efter en viss tid för att se om lösningen fortfarande är tillräcklig. För att det ska fungera krävs det att någon är ansvarig för riskhanteringen. Optimalt ska det finnas en riskkommitté som beslutar vilka risknivåer som är acceptabla och en riskfunktion där en specifik person ansvarar för att det arbetet utförs. AVSLUTNINGSVIS HAR Mike och Anders varsitt råd att ge företag som vill få ordning på sin riskhantering. Se det som ett ständigt pågående arbete istället för ett projekt och försök sedan att göra bättre saker istället för att göra saker bättre, säger Mike Spink. Om du är i ledande position på IT-avdelningen och ingen har rapporterat in ett IT- eller informationssäkerhetsproblem på ett tag bör du se över riskhanteringen, säger Anders Carlstedt. För det finns alltid problem i någon form eftersom IT är en integrerad del av verksamheten som ständigt utsätts för påfrestningar och dessa behöver ledningen ha god kännedom om på en övergripande nivå. människor, processer och teknik. Varje lösning ska ha krav, specifikation, mål och funktion. I denna fas gäller det även att göra en detaljerad kostnadsanalys för att kunna avväga de föreslagna åtgärderna mot företagets mål. Steg 4 Samkör IT- och affärsvärde och implementera lösningarna Om ett projekt lyckas eller inte handlar till stor del om hur effektivt det implementeras. Det gäller att ständigt mäta och utvärdera projektet. Ta fram ett sammanhängande system av mätbara värden för att utvärdera hur pass väl lösningarna fungerar i praktiken. Steg 5 Följ upp och bygg vidare Företagen bör utveckla program för att kontinuerligt förbättra IT-riskhanteringen. Som i de flesta förändringsprogram följer IT riskhantering en mognadsmodell som börjar med grundläggande taktiska åtgärder och utvecklas till bäst-i-klassen-utförande. SMÅ OCH MEDELSTORA företag som inte har resurser att driva arbetet med riskhantering effektivt har stor Steg 1 Utveckla medvetenhet kring IT-risker Steg 2 Kvantifiera konsekvenser Steg 3 Ta fram lösningar Steg 4 Samkör IT- och affärsvärde. Implementera lösningarna Steg 5 Följ upp och bygg vidare

12 PLAKAT 12 XXXXXXXX: XXXXXXXXX SYMANTEC F.Y.I. # Jag har bara råd med it-infrastruktur som fungerar. Det är rätt enkelt. Hur många minuter dröjer det hos dig innan ett driftstopp blir en fråga för ledningen? Färre än förr? Idag måste it-miljön vara säker, tillgänglig, skalbar och ekonomiskt försvarbar. Det vet vi på Atea och tar därför ett helhetsansvar för både produkter, lösningar och drift. Resonerar du som många av våra kunder, att it-infrastrukturen är affärskritisk, så uppskattar du en stark partner. Det är rätt enkelt. Atea är Sveriges ledande obundna leverantör av it-infrastruktur. Vi har över medarbetare på 25 orter från Malmö i söder till Luleå i norr och en omsättning på MSEK. Atea ingår tillsammans med Ementor och Topnordic i Ementorkoncernen som är noterad på Oslobörsen, med totalt medarbetare på 48 platser i Sverige, Danmark, Finland, Norge och Lettland. Ementorkoncernen är Nordens största och Europas tredje största leverantör av it-infrastrukturprodukter och tjänster och omsatte drygt MSEK under 2006.

13 # SYMANTEC F.Y.I. MOBILE CENTER OF EXCELLENCE 13 SYMANTEC MOBILE CENTER OF EXCELLENCE: NYTT UTVECKLINGSCENTER TAR SIG AN MOBILA HOT I takt med att mobiltelefoner blir alltmer avancerade ökar risken för en explosionsartad utveckling av mobilvirusattacker. För att möta hotet har Symantec bildat Mobile Center of Excellence, ett nav i samarbetet mellan operatörer, tillverkare och säkerhetsbranschen. TEXT: MÅNS WIDMAN >> DET FINNS OLIKA typer av skadlig kod som kan infektera mobiltelefoner. En sort kan läsa av en användares möten i telefonens kalender, slå på telefonens mikrofon när mötena börjar och spela in samtalen, och sedan skicka informationen till en server som kontrolleras av en hackare. En annan kan ta komprometterande bilder med telefonens kamera, bilder som hackaren sedan kan lägga ut på nätet. Sådana problem är sällsynta i dag, men de existerar och kan komma att växa explosionsartat. Det har redan börjat inträffa allvarliga mobilvirusincidenter som fått uppmärksamhet i media, säger Mats Aronsson, Technical Manager på Symantec och projektledare för Mobile Center of Excellence. DAGENS VANLIGA enkla mobiltelefoner löper knappast någon risk att bli infekterade av virus. Men risken växer när det kommer nya telefoner med fler möjligheter att köra program. Än så länge är det främst de större intelligentare telefonerna, smartphones, som kan drabbas. I dagsläget finns det ett par hundra olika slags mobilvirus. Commwarrior är det vanligaste. Det sprids genom att smittade telefoner skickar slumpmässiga MMS till andra telefoner som finns med i deras adresslistor. Drabbade användare kan få kraftigt ökade telefonräkningar på grund av stora mängder avsända MMS. När mobilvirus sprids i större skala kan det leda till att mobiloperatörens infrastruktur utsätts för en belastning som överstiger den maximala. All trafik på mobilnäten skulle i sådana lägen lätt kunna kollapsa, säger Mats Aronsson. Då kan många allvarliga och icke acceptabla situationer uppstå. I värsta fall skulle hela länders säkerhet kunna hotas, eftersom mobilnäten anses vara en del av den kritiska nationella infrastrukturen. NÄR DET GÄLLER att skydda sig mot mobilvirus kan problemet tyckas vara likt det som finns för datorer, men det skiljer sig på ett markant sätt. Symantec har utvecklat säkerhetsprogram och antivirus för mobiltelefoner, men efterfrågan är ännu liten. Enligt användarnas uppfattning är det operatörens uppgift att hålla telefonerna virusfria. Därför kan vi inte arbeta på samma sätt som vi har gjort i datorvärlden. Skyddet måste även byggas in i mobilnätverken. För att skapa den nödvändiga säkerheten i mobilsystemen måste tillverkare, operatörer och säkerhetsbranschen samarbeta. Detta är tanken bakom Mobile Center of Excellence. Grunden för kompetenscentret har växt fram sedan Symantec för ett år sedan fick i uppdrag av en operatör att lösa problem med virus i deras kunders mobiltelefoner. Vi löste problemet, säger Mats Aronsson. Därför har vi redan i dag ett system som kan hantera virus i mobilnätverk. Det finns tillgängligt i Ericssons infrastruktur, men har ännu inte tagits i full drift av någon operatör. En operatör som använder lösningen kan registrera virusspridningar och deras mekanismer samt vidta antivirusåtgärder på ett mycket tidigt stadium. När kunden ringer känner operatörens kundsupport redan till problemet. Supporten kan också informera de flesta kunder innan de har hunnit drabbas, säger Mats Aronsson. Enligt planerna kommer Mobile Center of Excellence att få en fast organisation under våren. Vi har fått signaler som tyder på att de fem, sex största operatörerna i världen kommer ha vårt system i drift före halvårsskiftet i år. Vår beredskap är god. Mobile Center of Excellence, ett nav i samarbetet mellan operatörer, tillverkare och säkerhetsbranschen. Mats Aronsson, Technical Manager på Symantec är projektledare för centret som ska få en fast organisation i Kista under våren. SYMANTEC HAR ETT SYSTEM SOM KAN HANTERA VIRUS I MOBILNÄTVERK SOM FINNS TILLGÄNGLIGT I ERICSSONS INFRASTRUKTUR

14 14 EXPERT INSIGHT SYMANTEC F.Y.I. # Vi blir allt mer beroende av vår IT-infrastruktur och samtidigt mer sårbara. Ändå blundar många för hoten och från samhällets sida saknas samordning och intresse. Vi träffade representanter för stat, kommun och näringsliv för att prata om hoten, sårbarheten och hur samhället är rustat för att hantera IT-incidenter. TEXT OCH FOTO: ASSI ABDEL-BAKI Shutterstock DET SÅRBARA IT-SAMHÄLLET >> DEN ENA UTREDNINGEN efter den andra har konstaterat att IT-beroendet är stort och sårbarheten är hög, säger Tommy Svensson, säkerhetsexpert på Svenskt Näringsliv och ansvarig för Näringslivets Säkerhetsdelegation, NSD. Vi är helt beroende av att infrastrukturen, Internet och strömförsörjningen fungerar. Men det finns ett glapp mellan vad vi som användare vill betala för och vad vi sammantaget önskar i form av säkerhet på samhällsnivå. För oss handlar all riskhantering om att säkra tillväxten. Det är bara genom ett metodiskt säkerhetsarbete som man kan ta kalkylerade risker. Tar man affärsmässiga eller tekniska risker aningslöst åker man garanterat på smällar förr eller senare. DET GÄLLER att identifiera sina hot och sätta ett värde på sina risker, baserat på sannolikhet och konsekvenser. Även om man försöker förebygga det mesta så kommer incidenter att inträffa och då gäller det att begränsa skadan genom etablerade backuprutiner, kontinuitetsplanering och krishantering samt genom att utarbeta en plan för hur media ska bemötas. Jag vet att många företag raserat sitt varumärke för att de hanterat frågan fel, medan andra stärkt det när något inträffat. Ett företag kan bara ta ansvar för sin verksamhet och för sådant det kan förutse, säger Lars Nicander utredningschef på Försvarshög- Vi är helt beroende av att infrastrukturen, Internet, datornäten och strömförsörjning ska fungera. Men det finns ett glapp mellan vad vi vill betala för och vad vi sammantaget önskar i form av säkerhet, säger Tommy Svensson på Näringslivets Säkerhetsdelegation, NSD. skolans Centrum för Asymmetriska Hot- och Terrorismstudier (CATS). FRÅGOR OM Det finns många hot som är bortom IT-SÄKERHET de enskilda företagens horisont och som de har svårt att skydda sig mot. ÄR TYVÄRR UPP TILL DET ÄR HÄR en nationell samordning av samhällets informationssäkerhet ENSKILDA kommer in i bilden. Eller skulle ha INDIVIDERS gjort det, för idag saknar Sverige ett nationellt system för att upptäcka, ENGAGEMANG varna för och stoppa angrepp. Vi måste ha ett Stats CERT, ett Computer Emergency Response Team för statsförvaltningen, som sköter operativ incidenthantering med befogenhet att agera i realtid, dygnet runt. Det har vi inte idag. Dit ska även privata företag kunna ansluta sig via avtal så att detta även kan fungera som ett nationellt CERT som det man har i till exempel Storbritannien. ANSVARET FÖR DEN nationella informationssäkerheten är splittrat i Sverige och delas mellan flera oberoende myndigheter. Ingen av dem har fullt ansvar för IT-säkerheten vare sig nationellt eller internationellt. Eftersom ingen har ansvaret är det ingen som har helhetssynen. Vi har en myndighet som ser hoten men som inte har en koppling till de operativa myndigheterna med pengarna. Vi har dessutom ingen samordning i regeringskansliet för dessa frågor, säger Lars Nicander. Därmed är risken stor för att frågor som rör informationssäkerheten hamnar mellan stolarna. Det skapar en otrygg situation i samhället. Tänk dig ett scenario där Värdepapperscentralen får in ett virus i systemet och börjar förlora miljarder kronor om dagen. Vem ska de ringa till för att få hjälp? Telia vars ledningar de använder? PTS som är tillsynsmyndighet? Ska de vända sig till polisen, försäkringsbolaget eller Finansinspektionen? Idag finns ett antal formella och informella nätverk där olika myndigheter och företag möts för att diskutera frågan om informationssäkerhet. Många är löst sammansatta och verkar bygga mer på personligt intresse än etablerade och tydliggjorda rutiner.

15 # SYMANTEC F.Y.I. EXPERT INSIGHT 15 Enligt min erfarenhet är frågor om informationssäkerhet tyvärr fortfarande upp till enskilda individers engagemang. Men det kommer att ändra sig av ren nödvändighet, för snart kommer företagen att få skadeståndsanspråk på sig om något de kunnat förebygga inträffar, säger Tommy Svensson. ETT SÄTT ATT cementera goda rutiner för IT-säkerhet är att implementera IT-säkerhetsstandarder inom organisationen. Men trots att vi i Sverige har en internationellt sett god informationssäkerhetsnivå, är det få svenska företag som certifierat sig. Det finns en viss standardtrötthet kombinerat med att vi i Sverige är relativt sorglösa. Vi är ett litet land där alla känner alla och är vana att allt fungerar väl, säger Tommy Svensson. NSD har i många år försökt sprida information om att standarderna finns utan att direkt uppmana företagen att certifiera sig. Det är företagen själva som ska ta ställning till standarden inte vi. Men standarden är en bra checklista för företagen att utgå ifrån för att ta ställning till vilka frågor de ska ta itu med. Man kan börja med ett fåtal frågor och sedan bygga vidare från det. SÅ VILKA ÄR de främsta hoten för ITsamhället och företagen idag? Lars Nicander är inte orolig för själva internetinfrastrukturen, som enligt honom är både robust och flexibel. Däremot är angrepp mot de styr- och kontrollsystem som stödjer produktionen av samhällsviktiga tjänster som el- och telenät, dricksvattenförsörjning och flygtrafikledning, betydligt känsligare. I samband med att USA och alliansen gick in i Afghanistan år 2002 hittade de al-qaidas interna träningsband. Dessa visade hur man skulle slå mot den amerikanska infrastrukturen, elsystem och dammar. Man ska inte överdriva hoten, men det finns tecken som pekar på att trenden går mot att slå mot ekonomiska mål och samhällets infrastruktur, säger Lars Nicander. Ett långt elavbrott är nog det västa som kan hända oss, säger Kent Larsson informationssäkerhetschef på Stockholms stad. För även om man har planerat reservströmsförsörjningen så räcker det bara i några dagar. Ur demokratisk synpunkt vore det illa om något hände som skadade medborgarnas tilltro till oss. Och det var precis det som kunde ha hänt för snart tre år sedan när Stockholms stad drabbades av masken Sasser. Över tre tusen av stadens datorer slogs ut i flera dagar. Vi var nog en av de värst drabbade i Sverige eftersom vi hade slarvat med vår patchhantering. Men som tur är var datorerna snabbreparerade och det hela hade inga konsekvenser för våra kunder, säger Kent Larsson. MEN NÄR MEDIA fick nys om det stod det att läsa på löpsedlarna att socialbidragstagarna inte skulle få ut sina pengar på grund av avbrottet. Det var ju naturligtvis fel. Pengarna skulle ha kommit ändå, men det skapade onödig oro. Även om situationen som media beskrev var uppförstorad pekade det på den sårbarhet som vi idag står inför. Hade vi haft ett längre avbrott finns reservrutiner som vi kan ta till. Det finns manuella rutiner för medborgarnära kärnverksamhet som socialtjänst och barnomsorg. Inom socialtjänsten finns i nödfall rutiner för kontanthantering. Men risken finns att dessa rutiner med tiden blir oanvändbara om de inte utvecklas, säger Kent Larsson. Stockholms Stad har lärt sig läxan. Idag har vi bättre fungerande patchrutiner. Vi har hög beredskap och får vi minsta signal så skjuter vi iväg patcharna. Tidigare var vi Det finns tecken som pekar på att trenden går mot att slå mot ekonomiska mål och samhällets infrastruktur som el- och telenät och flygtrafik, säger Lars Nicander, utredningschef på Försvarshögskolans Centrum för Asymmetriska Hot- och Terrorismstudier. Det finns manuella rutiner för den kärnverksamhet som är medborgarnära som socialtjänst och barnomsorg. Men risken finns att dessa rutiner med tiden blir förlegade om de inte utvecklas, säger Kent Larsson informationssäkerhetschef på Stockholms stad. VI BEHÖ- VER ETT NATIONELLT STATSCERT SOM SKÖTER OPERATIV INCIDENTHAN- TERING MED BEFOGENHET ATT AGERA DYGNET RUNT I REALTID betydligt mer försiktiga med att testa innan vi släppte ut dem så att det inte störde systemen, säger Kent Larsson. Sannolikheten att Stockholms stad åter hamnar i en liknande situation är enligt Kent Larsson mycket liten. Men den dagen vi lägger ut mer ansvar på kunden, till exempel inom ramen för 24-timmarsmyndigheten, då kan konsekvenserna av ett avbrott bli omfattande, säger han. VI LEVER I en värld av likartade problem oavsett om det handlar om näringslivet eller den offentliga sektorn. Men företagen har varit dåliga på att rapportera IT-incidenter. Inom NSD har vi jobbat intensivt med frågan eftersom vi som IT-användare har mycket att vinna på det. Om hackare blixtsnabbt kan sprida kunskap om säkerhetshål så borde det vara lika självklart för oss som bekämpar dem att snabbt dela med oss av vår kunskap, säger Tommy Svensson. Men det är lika viktigt att samhället skapar fasta spelregler som företagen kan rätta sig efter. Och här har lagstiftaren inte hängt med. Redan 1994 kom en utredning om datastraffrätt som slog fast att straffrätten och processrätten behövde anpassas efter IT-samhällets nya förutsättningar. Utredningen tog upp frågor som att förfalskning av digitala dokument skulle likställas med förfalskning av pappersdokument. Man behandlade även frågor om datasabotage och virusspridning. Men fortfarande är många frågor olösta och rättsläget oklart. Det innebär att företagen saknar en stabil plattform som de kan utgå ifrån när de bedriver sitt säkerhetsarbete, avslutar Tommy Svensson.

16 16 TECHNICAL HOTSPOTS SYMANTEC F.Y.I. # MÄT PRESTANDA FRÅN OLIKA KÄLLOR >> SYMANTEC UTÖKAR nu sin Application Performance Managementlösning, APM, med Application Service Dashboard. Den samlar in data från olika källor som exempelvis webben och databaser och sammanställer dem till en enda vy som visar hur bra prestanda applikationer i Symantecs i3-produktfamilj har. En annan nyhet inom samma område är en förbättrad Insight Inquire. Den kan övervaka webbaserade applikationer utan att ett speciellt agentprogram behöver installeras. Insight Inquire kan simulera affärstransaktioner för att se hur en vanlig användare uppfattar applikationens prestanda. Backup Exec 11d Nu för Exchange Server 2007 >> BACKUP EXEC 11D från Symantec finns nu tillgänglig även för Exchange Sever Den kan köras i en ren 64-bitarsmiljö och har stöd för Volume Shadow Copy Service i Exchange. Med Backup Exec 11d behöver man inte ta stora backuper på hela Exchangesystemet. Istället görs säkerhetskopieringen kontinuerligt och nytt data kopieras direkt. En annan fördel är att säkerhetskopieringen kan göras på objektnivå vilket innebär att det på några sekunder går att återskapa enstaka e-postlådor eller meddelanden. SYMANTEC SECURITY INFORMATION MANAGER 4.5 FULL KOLL PÅ IT-HOTEN >> ATT HANTERA alla olika IT-hot som ett företag kan utsättas för idag handlar inte bara om att se till att de inte hotar verksamheten. Det gäller också att veta vilka incidenter som inträffat, hur de hanterats och försäkra sig om att såväl företagets egna säkerhetspolicyer som krav från kunder och myndigheter kan mötas. Allt det här kan nu skötas via Symantecs Security Information Manager 4.5. Här finns funktioner för att hjälpa IT-avdelningen att snabbt utvärdera de hot som finns och se vad som är mest akut. Det finns fyra huvudfunktioner i Security Information Manager 4.5: IDENTIFIERING här analyseras miljoner olika säkerhetsrelaterade händelser och samlas till ett mer hanterbart antal säkerhetsincidenter. PRIORITERING vilket innebär att säkerhetsincidenterna graderas enligt inbyggda regler som bygger på information från Symantecs Security Information Manager identifierar händelser, graderar dem, kontrollerar och utvärderar hanteringen av IT-hoten. globala informationsnätverk för att visa vilka hot som är mest allvarliga och akuta. ÅTGÄRD här skapas ett arbetsflöde för att visa vem som ansvarar för att hotet åtgärdas och hur detta ska göras. UTVÄRDERING ger företaget de verktyg som behövs för att kunna arkivera informationen om hotet och hur det åtgärdats. Detta kan sedan utvärderas för att optimera företagets framtida hantering av IT-hot. Den information som samlas in kan också användas för att visa hur väl företaget klarar de krav som kunder, partners och myndigheter kan ha när det gäller företagets IT-säkerhet. Även interna brott mot säkerhetspolicyer kan visas. Allt detta ger företaget en samlad bild över hur effektiv den egna IT-säkerheten är. Mer information finns på: NY VERSION! ENTERPRISE VAULT 7.0 >> ANTALET E-POSTMEDDELANDEN som kommer in till företagen ökar ständigt, vilket kan leda till en hel del huvudbry. Man kan inte slänga gamla meddelanden hur som helst eftersom de kan behövas för företagets eget bruk i framtiden eller kan behöva plockas fram när en myndighet behöver dem för en utredning. Utmaningen är att kunna arkivera e-posten på ett sätt så att det snabbt går att hitta rätt meddelanden utan att det kostar en förmögenhet i lagringskostnader. För detta behövs en intelligent form av arkivering. Och just detta är styrkan i nya Enterprise Vault 7.0. Tanken är att all information inte är lika viktig och genom smartare arkivering kan meddelanden klassificeras för att avgöra vilka som behöver lagras länge och vad som kan slängas relativt snabbt. Meddelanden som handlar om företagets affärer såsom kontrakt och kommunikation med myndigheter är sådant som måste arkiveras länge medan privat e-post och nyhetsbrev knappast har något större värde för företaget och kan därför raderas betydligt snabbare. Enterprise Vault 7.0 kan automatiskt klassificera e-post, baserat på ett 50-tal fördefinierade regler eller egna regler som man väljer att lägga till. Det går dessutom att arkivera information om exakt vilka meddelanden som en användare skapat eller läst. Hur arkiveringen ska ske kan variera från användare till användare där de som använder e-post mycket hanteras på ett sätt, personer i ledningen på ett annat och distansarbetare på ett tredje sätt. Förutom e-post kan Enterprise Vault 7.0 hantera information som genereras av system från EMC, Oracle, IBM med flera.

17 # SYMANTEC F.Y.I. TECHNICAL HOTSPOTS 17 Symantec Information Foundation 2007 TOTALLÖSNING SKÖTER FÖRETAGETS INFORMATION >> IDAG FINNS det en rad lösningar som var och en kan lösa en liten del av ett företags behov när det gäller att skydda informationen inom organisationen. När det gäller totallösningar som klarar allt är det sämre ställt. Det råder nu Symantec bot på med nya Information Foundation Det är en svit med program som integrerats i ett paket som kan hjälpa företagen att garantera att information inte används på ett sätt som bryter mot företagets policyer. De integrerade programmen kan dessutom administreras centralt som om de vore ett enda program. Med Information Foundation får IT-avdelningen ett system som ser till att information inte kommer i orätta händer eller försvinner och som dessutom ser till att det snabbt går att hitta den information som efterfrågas. Det finns tre huvudfunktioner i Information Foundation 2007: Innehållskontroll All information som finns i företagets servrar och klienter kontrolleras och klassificeras. Olika policyer kan sedan sättas för varje kategori så att exempelvis hemlig information inte får skickas utanför det centrala företagsnätet. Incidenthantering Här upptäcks om ett brott mot företagets policy inträffat och Information Foundation ser till att rätt person eller avdelning informeras om problemet för att vidta rätt åtgärder. Arkivering En funktion som även innehåller funktioner för utvärdering och hämtning. Om data har behandlats på ett sätt som strider mot företagets policy kan information om vad som hänt och vilka åtgärder som vidtogs lagras. I efterhand går det sedan att hämta fram informationen för att utvärdera om problemet hanterades på rätt sätt. Det kan bland annat användas för att visa att företaget följer de krav som myndigheter kan ställa på informationshanteringen. I Information Foundation 2007 ingår lösningar för antispam, antivirus, innehållsfiltrering, arkivering, policyhantering med mera. Symantec Information Foundation har funktioner för innehållskontroll, incidenthantering och arkivering. Samtliga program i sviten är integrerade och kan administreras centralt som om de vore ett enda program. Bland programmen som ingår finns Symantec Enterprise Vault, Mail Security 8300 Series, IM Manager, Information Foundation Mail Security for Exchange, Mail Security for Domino och Symantec Web Security for Microsoft Internet Security and Acceleration Server, ISA. Mer information finns på: Symantec Network Access Control >> ATT VARA SÄKER PÅ att alla enheter som är kopplade till företagets nätverk verkligen följer de säkerhetspolicyer som finns är inte det enklaste. Det finns servrar på lokalkontor, fjärranvändare som kopplar upp sig via VPN, säljare som kopplar upp sina bärbara datorer mot affärssystemet via trådlösa hotspots och mycket annat man måste tänka på. För att underlätta för de IT-ansvariga ute på företagen har Symantec tagit fram Symantec Network Access Control, SNAC. Med lösningen kan man se till att alla enheter som försöker Symantec Network Access Control ser till att alla enheter som ska kopplas upp till nätverket har de senaste virusoch brandvägg s- definitionerna, de senaste patcharna och följer företagets regelverk och policies. koppla sig till företags nät verkligen följer de säkerhetspolicyer som gäller. Om en bärbar dator till exempel inte skulle ha de senaste antivirusdefinitionerna eller om en server på ett lokalkontor inte har den senaste patchen som policyn föreskriver kan de blockeras från att logga in på nätet. Det går också att centralt administrera säkerhetspolicyer för alla enheter vilket ökar effektiviteten och minskar kostnaderna på IT-avdelningen. KONTROLLEN SKER automatiskt varje gång en enhet försöker koppla in sig på nätet. Det som kontrolleras är bland annat om det finns personliga brandväggar på datorerna, om definitionerna är aktuella, om rätt Service Pack är installerade samt vilka patchar som finns på servern eller på enskilda datorer. Företaget kan också definiera egna kontroller för saker som bedöms som viktiga för säkerheten. SNAC kan integreras med Symantecs Enterprise Protection 5.1 vilket ger alla användare ett komplett skydd på sina klienter. Mer information finns på: ORDNING & REDA MED BACKUP REPORTER >> MED BACKUP REPORTER 6.0 får företagen ett rapportverktyg som kan hjälpa IT-avdelningen att få bättre kontroll över säkerhetskopiering och återställning av data. Backup Reporter 6.0 kommer med hundratals fördefinierade rapporter och möjlighet att skapa egna. Rapporterna som genereras kan visa om företagets backuper verkligen följer företagets policyer eller se hur mycket alla backupsystem inom företaget utnyttjas. Detta kan visas uppdelat på till exempel applikationer, plattformar och avdelningar. Mer information finns på:

18 18 KURSER, ERBJUDANDEN & EVENTS SYMANTEC F.Y.I. # KURSER & UTBILDNINGAR! MANAGE YOUR IT ENVIRONMENT DEFINE THE WAY YOU LEARN RESPOND FASTER TO CHANGING DATA DEMANDS WITH SYMANTEC EDUCATION SERVICES >> SYMANTEC EDUCATION är din främsta källa för kunskap om hur du planerar, bygger och säkrar din IT-miljö. Vi tillhanda håller schema lagda kurser i Helsingfors, Köpenhamn, Oslo och Stockholm. Symantec Security Training tillhanda hålls via våra utbildningspartners. Med VoIP kan du närvara vid våra Virtual Academy kurser oavsett var du befinner dig. Utbildning på företaget kan ges i samtliga nordiska länder. För att hitta aktuella scheman och registrera dig för en Symantec-kurs kan du gå till: HÄR HAR DU ETT URVAL AV VÅRA KURSER: HIGH AVAILABILITY Leverera högsta möjliga tillgänglighet för data och applikationer. DISASTER RECOVERY Grunderna i datareplikering för att planera, implementera och övervaka företagets disaster recovery. SECURITY Säkra din miljö med antivirus, antispam, intrångsdetektering med mera. STORAGE AND SERVER AUTOMATION Optimera prestanda och tillgängligheten av företagsapplikationer. APPLICATION PERFORMANCE MANAGEMENT Förenkla administrationen och hanteringen av blandade miljöer. DU HITTAR MÅNGA FLER KURSER PÅ VÅR WEBB! KONSULTERBJUDANDEN FRÅN SYMANTEC CONSULTING REAKTIV ELLER PROAKTIV SÅRBARHETSHANTERING? Känner ni till alla externa krafter som hotar företagets infrastruktur? Finns det full förståelse för vilka konsekvenser hoten har mot infrastrukturen och affärsenheterna? Är det en utmaning att prioritera all information kring hot och sårbarheter? >> MÅNGA FÖRETAG HAR INFÖRT åtgärdsprogram för att minimera hot och åtgärda incidenter. Dessa program är nödvändiga för att säkerställa kontinuiteten i verksamheten, men de kan både vara svåra och dyra att hantera. Det bästa sättet att säkra verksamheten är att i tid hindra hoten från att bli till verklighet. Men att gå från att reagera på incidenter till att förebygga dem ställer krav på att relevant information kring hot och sårbarheter snabbt når fram till rätt person i företaget. Symantecs DEEPSIGHT ALERT SERVICE levererar denna information i realtid och med Symantecs hjälp kan informationen integreras med företagets befintliga kunskapsdatabas för att presentera och skapa handlingsplaner för berörda parter. THREAT AND VULNERABILITY MANAGEMENT SYSTEM från Symantec Consulting hjälper företaget att se vad externa hot och sårbarheter kan ha för inverkan på er IT-miljö. Hoten och sårbarheterna graderas och prioriteras och en åtgärdslista tas fram för varje del av företagets infrastruktur. Företaget får därmed en strukturerad bild av hoten och sårbarheterna och en inblick i samtliga detaljer som är viktiga för verksamheten. Information om nya hot och sårbarheter skickas kontinuerligt via e-post tillsammans med rekommenderade åtgärder. Denna tjänst ger även information om hur en tilltänkt förändring påverkar hela organisationen. Varje applikations-, teknik- och systemägare får sitt eget filter som berör det egna ansvarsområdet. Symantec har även tagit fram en rollbaserad process vilket innebär att ledningen får en komplett överblick över samtliga hotbilder, rekommenderade åtgärder och beslut för varje affärsområde. DAGS ATT ANLITA EN SÄKERHETSEXPERT? >> SYMANTECS säkerhetsexperter och rådgivare inom konsultorganisationen har lång och gedigen erfarenhet inom säkerhet. De arbetar idag världen över med kunder och partner för att komma tillrätta med de säkerhetsrisker och problem som kan finnas inom ett företag både vad gäller teknik och organisation. Om du behöver säkerhetsexpertis på plats, i eller utanför ett projekt, eller behöver hjälp med strategiutveckling, design/arkitektur, regelefterlevnad eller rådgivning i den dagliga verksamheten, kan du vända dig till oss för hjälp. Vi kan bistå med att ta fram och utföra säkerhetsbeslut, skapa och implementera strategiska säkerhetsplaner eller löpande stötta ett säkerhetsteam eller projekt med support eller handfasta aktiviteter. >> För mer information kontakta: Linda Malm, Senior Client Service Manager, Telefon: +46 (0) E-post: Samtliga arbeten utförs till fast pris av en certifierad Senior/Specialistkonsult från Symantec Consulting.

19 # SYMANTEC F.Y.I. KURSER, ERBJUDANDEN & EVENTS 19 KALENDARIUM 17 APRIL SEMINARIUM MED SYMANTEC, SUN OCH DNS LIFECYCLE MANAGEMENT TOUR 9 MAJ CITY KONFERENSEN STOCKHOLM SNIA EUROPE ACADEMY DNS, SUN och Symantec bjuder in till ett seminarium där vi går igenom hur kostnader för datalagring kan minimeras genom att flytta historisk data från dyra primära lagringsenheter till kostnadseffektiva och långsiktiga plattformar. MÅLGRUPP: IT-chefer, säkerhetschefer/administratörer, Exchange-chefer och administratörer, systemadministratörer, lagringsansvariga, -administratörer och -arkitekter. PLATS: Radisson SAS Royal Viking. TID: 08:00-13:00. ANMÄLAN: Symantec talar på SNIA Europe Academy. Seminariedagen kommer att täcka in fyra huvudområden som är prioriterade ämnen för de flesta lagringsansvariga idag: Information Lifecycle Management, Data Protection, IP storage och Storage Management Initiative. PLATS: City Konferensen, Malmskillnadsgatan 46, Stockholm. TID: Heldag. MÅLGRUPP: Eventet vänder sig till de som har en teknisk inriktning. ANMÄLAN: SYMANTEC YELLOW BOOKS >> Nu kan du ladda ner Symantec Yellow books för kunder och partners! På vår webbplats hittar du bland annat följande titlar: >> Secure Business Continuity >> IT Compliance >> Using Dynamic Storage Tiering >> Using Local Copy Services >> Standardizing Storage Management För att ladda ner våra Yellow Books kan du gå till: 3 MAJ KISTA SCIENCE TOWER SYMANTEC STRATEGIC BRIEFING SÅ HANTERAR DU INCIDENTER OCH LOGGAR Incident- och logghantering har stor betydelse för hela säkerhetsarbetet på företagen. Symantec ser en kraftigt växande efterfrågan på strukturerade lösningar för att spåra och förebygga olaga dataintrång samt effektivt hantera och rapportera stora mängder data. Tillsammans med Cecilia Magnusson Sjöberg, Professor i rättsinformatik vid Stockholms universitet och forskare vid Kungliga Vetenskapsakademien, ger vi dig en inblick i: JUNI LAS VEGAS, USA SYMANTEC VISION 2007 Symantec Vision 2007 är den bästa mötesplatsen för att få inblick i och utvärdera de senaste lösningarna inom tillgänglighet och säkerhet. Här får du tillfälle att diskutera med dina kolleger samt få inblick i hur du kan bygga en tillförlitlig 18 SEPTEMBER CLARION HOTEL, STOCKHOLM Symantecs syn på hantering av incidenter och loggar Juridikens proaktiva roll i säkerhetsarbetet Arbetsrätt och integritetsskyddslagstiftning vid hantering av loggar och e-post Systembevis och skyldighet att lämna ut dokument till motpart. TID: 09:00-12:00. ANMÄLAN: com/logghantering MISSA INTE! miljö som ger dig den trygghet som krävs i en digital värld där företag utsätts för ständigt nya och ökade hot. TID OCH PLATS: 12-14/6, Las Vegas, Venetian Hotel. ANMÄLAN: ANMÄL DIG REDAN IDAG! NORDIC VISION TECHNOLOGY ROADSHOW Anmäl dig redan idag till Vision i Sverige som äger rum i Stockholm den 18 september på Clarion Hotel. Under evenemanget får du tillfälle att lyssna på och diskutera med experter och uppdatera dig om den senaste tekniken. ANMÄLAN: VÅGA LITA PÅ DIN IT-MILJÖ VAD SMÅ OCH MEDELSTORA FÖRETAG BEHÖVER VETA FÖR ATT BYGGA EN TILLFÖRLITLIG IT-MILJÖ >> DET HÄR ÄR andra utgåvan av Symantecs bok om IT-säkerhet för mindre företag. Att intresset för dessa frågor är stort visas av att över personer runt om i Norden har laddat ned eller beställt den första utgåvan. Men på de snart tre år som har gått sedan den ursprungligen skrevs har otroligt mycket hänt. Den nya utgåvan ger en helt uppdaterad bild av nuläget våren Symantec har mycket lång erfarenhet av att hjälpa företag att bygga en tillförlitlig IT-miljö där hänsyn tas till såväl tillgänglighets - som säkerhetsproblem. Denna handbok låter dig ta del av våra omfattande kunskaper om hur ditt företag skapar en tillförlitlig IT-miljö. Du kan ladda ner boken på:

20 Posttidning B RETURADRESS: Symantec Nordic AB Kista Science Tower Färögatan Kista Nocom Security är en värdeadderande IT-säkerhetsdistributör som säljer produkter och programvaror med kvalificerade tjänster, för att underlätta och effektivisera verksamheten för företag i Norden och Baltikum. Erbjudandet omfattar informationssäkerhet och företaget representerar en rad ledande leverantörer, bland annat Symantec, SonicWALL, Sybari, Utimaco, Surf- Control och Vasco. Dessutom erbjuder Nocom Security service, support, expertstöd, utbildning och certifiering. All försäljning sker via partner och återförsäljare. Distributionsverksamheten är organiserad i Sverige, och verkar genom dotterbolag även i Finland, Norge, Baltikum och Danmark. Nocom Security ingår i Nocomkoncernen som är noterad på Stockholmsbörsen sedan Läs mer på Hur skyddar du användarnas datorer? Möjligheterna att få tillgång till Internet växer för varje dag. Trådlösa nätverk sätts upp på offentliga platser och allt fler fastigheter får bredbandsanslutningar. Det gör att en större del av vårt arbete kan skötas utanför kontoret. Idag har de flesta företag en utarbetad IT-säkerhetspolicy för att säkerställa att uppkopplingar mot företagets nätverk blir säker och övervakad. Smärtan med IT-säkerhetspolicy är att verkligen se till att dess regler efterlevs. Symantec Sygate Enterprise Protection gör just detta. Produkten garanterar att rätt säkerhetsnivå efterlevs på varje PC genom central policykontroll vid varje uppkoppling. Dessutom finns funktioner som personlig brandvägg, IDS/ IPS, kontroll av externa lagringsenheter som till exempel USB, applikationskontroll, regelverk för karantän (om PC ej uppfyller kraven) med mera. Produkten kan köpas med önskade funktioner och fungerar helt oberoende av redan installerade säkerhetsprodukter. Kontakta oss på eller besök för mer information. Sverige Norge Danmark Finland Estland Lettland - Litauen

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Rätt säkerhet 2009-05-25. Kris

Rätt säkerhet 2009-05-25. Kris Rätt säkerhet 2009-05-25 Kris Ingen katastrof med en etablerad incidenthantering Krister Gillén Combitech AB Kjell Wilhelmsson fd CISO, Saab AB 1 Det här skall vi prata om Vad vi upptäckte att vi behövde

Läs mer

SIS tre produktområden

SIS tre produktområden SIS tre produktområden Standardisering SIS, Swedish Standards Institue En kund till SIS kan: påverka standarders inriktning och innehåll få tillgång till och kunskap om standarder och deras tillämpning

Läs mer

Skydda företagets information. Symantecs lösningar för mindre företag

Skydda företagets information. Symantecs lösningar för mindre företag Skydda företagets information Symantecs lösningar för mindre företag HELTÄCKANDE FÖRETAGSSKYDD Skadliga koder på Internet kan stänga av datorer, stjäla information och utsätta medarbetare och kunder för

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist Säkerhet 2.0 Ta en titt in i framtiden Per Hellqvist Senior Security Specialist Symantecs vision Confidence in the Connected World Säkra och hantera din informationsdrivna värld över fysiska, virtuella

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS IT-säkerhet är ett måste En fungerande IT-säkerhet är en grundläggande förutsättning för alla företag och verksamheter. Konsekvenserna

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

HUR MAN LYCKAS MED BYOD

HUR MAN LYCKAS MED BYOD HUR MAN LYCKAS MED BYOD WHITE PAPER Innehållsförteckning Inledning... 3 BYOD Checklista... 4 1. Val av system... 4 2. Installation och konfiguration... 5 3. Prestanda... 5 4. Valfrihet ökar upplevelsen...

Läs mer

Tjänster för elektronisk identifiering och signering

Tjänster för elektronisk identifiering och signering Bg eid Gateway och Bg PKI Services Tjänster för elektronisk identifiering och signering En elektronisk ID-handling är förutsättningen för säker och effektiv nätkommunikation. I takt med att tjänster blir

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Transporter och IT. Källa: Logistik och IT, för effektivare varuflöden. Fredholm, Peter (2006) 2015 Transporter och IT, Logistikprogrammet, Norrköping

Transporter och IT. Källa: Logistik och IT, för effektivare varuflöden. Fredholm, Peter (2006) 2015 Transporter och IT, Logistikprogrammet, Norrköping Transporter och IT Källa: Logistik och IT, för effektivare varuflöden. Fredholm, Peter (2006) 1 Nuläge Med IT som drivkraft är transportindustrin på väg in i en mer tjänsteintensiv fas. Tjänster och rådgivning

Läs mer

Transporter och IT. Källa: Logistik och IT, för effektivare varuflöden. Fredholm, Peter (2006) 2013 Transporter och IT, Logistikprogrammet, Norrköping

Transporter och IT. Källa: Logistik och IT, för effektivare varuflöden. Fredholm, Peter (2006) 2013 Transporter och IT, Logistikprogrammet, Norrköping Transporter och IT Källa: Logistik och IT, för effektivare varuflöden. Fredholm, Peter (2006) 1 Nuläge Med IT som drivkraft är transportindustrin på väg in i en mer tjänsteintensiv fas. Tjänster och rådgivning

Läs mer

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är

Läs mer

Strategi för samhällets informationssäkerhet 2010 2015

Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 1 Förord I dagens informationssamhälle bearbetar, lagrar, kommunicerar och mångfaldigar vi

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

TOYOTA I_SITE Mer än fleet management

TOYOTA I_SITE Mer än fleet management EMPOWERING YOUR BUSINESS TOYOTA I_SITE Mer än fleet management www.toyota-forklifts.se TOYOTA I_SITE Mer än fleet management Toyota I_Site är ett kontinuerligt partnerskap för effektiv materialhantering.

Läs mer

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Verksamhetsutveckling och hur det påverkar IT-arbetet ANPASSNINGS- FÖRMÅGA Arbeta snabbt, vara följsam och flexibel 66 % av företagarna prioriterar

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Att hantera överbelastningsattacker 1

Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Myndigheten för samhällsskydd och beredskap (MSB) Layout: Advant Produktionsbyrå AB Tryck:

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? IT-avbrott - hur beroende är ditt företag? Automatisk kontroll av mängd och vikt, kontinuerlig övervakning av kyl- och frystemperaturer,

Läs mer

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt...

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt... Produktblad för NAV i molnet Innehåll Vad är molnet?... 2 Vad är NAV i molnet?... 3 Vem passar NAV i molnet för?... 4 Fördelar med NAV i molnet... 5 Kom igång snabbt... 5 Bli kostnadseffektiv... 5 Enkelt

Läs mer

Vem tar ansvar för Sveriges informationssäkerhet?

Vem tar ansvar för Sveriges informationssäkerhet? Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

Mobiltjänster. Vi kan smartphones. den nya mobiltelefonin. www.dustin.se. Telefon: 08-553 44 000 E-mail: info@dustin.se

Mobiltjänster. Vi kan smartphones. den nya mobiltelefonin. www.dustin.se. Telefon: 08-553 44 000 E-mail: info@dustin.se Mobiltjänster Vi kan smartphones Skaffa kontroll över den nya mobiltelefonin UTMANINGARNA Smartphone-revolutionen skapar nya utmaningar för IT-avdelningen De traditionella mobiltelefonerna är snart ett

Läs mer

Köpguide för molntjänster. Hur fungerar det egentligen och vad innebär det för mig?

Köpguide för molntjänster. Hur fungerar det egentligen och vad innebär det för mig? Köpguide för molntjänster Hur fungerar det egentligen och vad innebär det för mig? Tänk om din nya it-lösning skulle kunna göra livet lite enklare för dina medarbetare och hjälpa dem att arbeta bäst där

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Internethistoria - Situation

Internethistoria - Situation En revolutionerande produkt: Personlig Säkerhetsdator Årets IT-produkt i USA och under Cebitmässan 2008-06-26 1 Internethistoria - Situation Idag har i stort sett alla tillgång till en egen Internetförbindelse

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Trender inom Nätverkssäkerhet

Trender inom Nätverkssäkerhet Trender inom Nätverkssäkerhet David Sandin Product & Solution Manager david.sandin@clavister.com What Vad vi we gör? do Network and mobile security Nätverkssäkerhet. Det här är Clavister ü Grundades i

Läs mer

Anvisning om riskhantering och internrevision i värdepapperscentraler

Anvisning om riskhantering och internrevision i värdepapperscentraler tills vidare 1 (11) Till värdepapperscentralerna Anvisning om riskhantering och internrevision i värdepapperscentraler Finansinspektionen meddelar med stöd av 4 2 punkten lagen om finansinspektionen följande

Läs mer

Vår flexibla lösning för för Intelligent Workload Management

Vår flexibla lösning för för Intelligent Workload Management Vår flexibla lösning för för Intelligent Workload Management marknaden 1 It-landskapet håller på att förändras Riskerna och utmaningarna med datahantering i och mellan olika miljöer måste kontrolleras.

Läs mer

Spårbarhet och Koncernsäkerhet Sarbanes-Oxley i ett industriföretag

Spårbarhet och Koncernsäkerhet Sarbanes-Oxley i ett industriföretag Spårbarhet och Koncernsäkerhet Sarbanes-Oxley i ett industriföretag ABB Group Internal Audit IT - 1 - Åke Wedin Senior IT Audit Project Manager, CISA, CISSP Group Internal Audit IT Member of IIA, ISACA,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Redo? Eller inte? Balansera framtida möjligheter med framtida risker. En global utvärdering av attityder och synpunkter på IT-säkerhet

Redo? Eller inte? Balansera framtida möjligheter med framtida risker. En global utvärdering av attityder och synpunkter på IT-säkerhet Redo? Eller inte? Balansera framtida möjligheter med framtida risker. En global utvärdering av attityder och synpunkter på IT-säkerhet Be Ready for What s Next. kaspersky.com/se/beready Innehåll 0.1 INTRODUKTION

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Strategisk utveckling och förändring av IT

Strategisk utveckling och förändring av IT REFERENS Strategisk utveckling och förändring av IT Förstärkning av koncernens affärsvärde från IT Om Loomis globalt ledande på effektivt cash management Loomis är en global koncern, noterad på Nasdaq

Läs mer

Utbildning i marknadsföring och digitala media 4 dagar

Utbildning i marknadsföring och digitala media 4 dagar Utbildning i marknadsföring och digitala media 4 dagar Nercia Utbildning AB I Sverige finns ca 1600 utbildningsföretag med olika utbud av program och kurser, de flesta med ett redan färdigt upplägg som

Läs mer

Molntjänster -- vad är molnet?

Molntjänster -- vad är molnet? En e-bok från Visma Spcs Molntjänster -- vad är molnet? Vad du bör tänka på för att göra rätt val till ditt företag Molntjänster -- vad är molnet? En guide till att förstå molntjänster Innehåll Hänger

Läs mer

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8.

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8. EVRY One Outsourcing Linköping AB Erfaranheter av daglig drift och nyttjande av IFS Applications 8. Vår erfarenhet IFS Applications 8 Ca 10 st genomförda eller pågående uppgraderingar till IFS 8. Första

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA)

2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA) 2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA) INNEHÅLL Inledning........................................................................ 3 Metodik.........................................................................

Läs mer

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone microsoft.com/sv-se/mobile/business/lumia-for-business/lumia/ 103328+103329_Lumia-Brochure+10reasons_swe.indd 1 26.11.2014 10.34 Office 365 i telefonen Ge dina anställda tillgång

Läs mer

FunktionsIT Lönsamt, enkelt och tryggt

FunktionsIT Lönsamt, enkelt och tryggt FunktionsIT FunktionsIT Lönsamt, enkelt och tryggt Vad är FunktionsIT? FunktionsIT är vårt koncept för att paketera IT som tjänst. Det ger dig som kund en centraliserad och automatiserad hantering av

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala

Läs mer

Vilket moln passar dig bäst?

Vilket moln passar dig bäst? Vilket moln passar dig bäst? Idag diskuteras ofta huruvida man ska kliva in i molnets underbara värld eller inte, men sällan om skillnaderna mellan olika moln och vilka tillämpningar som är lämpliga att

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Ledning och styrning av IT i kommunen Kommunen har sedan många år en central IT-avdelning med ansvar för drift

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Social Engineering ett av de största hoten mot din verksamhet

Social Engineering ett av de största hoten mot din verksamhet Social Engineering ett av de största hoten mot din verksamhet Hans Danielsson Engagement Manager Combitech Social Engineering Security Awareness 2015-05-27 Hans Danielsson Engagement Manager Cyber Security

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Så arbetar svenska koncerner med Business Intelligence

Så arbetar svenska koncerner med Business Intelligence Så arbetar svenska koncerner med Business Intelligence Affecto är enligt Dataföreningens 20 000 medlemmar det IT-företag som bäst förstår kundernas behov, som tillhandahåller rätt kompetens, till rätt

Läs mer

WHAT IF. December 2013

WHAT IF. December 2013 December 2013 Har du hittat rätt säkerhetsnivå för ditt företag? Här får du hjälp i det arbetet, och med att få resurser för att nå den trygghet du tycker verksamheten behöver. God jul, Oskar Ehrnström

Läs mer

150 år av erfarenhet och nytänkande

150 år av erfarenhet och nytänkande 150 år av erfarenhet och nytänkande 1 Lyhörda och proaktiva Vi har valt Beijer Industri som huvudleverantör eftersom de är lyhörda och proaktiva. De har det tekniska kunnandet som krävs för att hålla vår

Läs mer

TMP Consulting - tjänster för företag

TMP Consulting - tjänster för företag TMP Consulting - tjänster för företag Adress: http://tmpc.se Kontakta: info@tmpc.se TMP Consulting är ett bolag som utvecklar tekniska lösningar och arbetar med effektivisering och problemslösning i organisationer.

Läs mer

E-strategi för Skellefteå kommun

E-strategi för Skellefteå kommun 1 E-strategi för Skellefteå kommun 1. Sammanfattning Informationstekniken kommer att spela en mycket viktig roll för Skellefteå kommun i strävan att på ett effektivt och framgångsrikt sätt ge service till

Läs mer

Advanced Mobile Device Management

Advanced Mobile Device Management 1 Advanced Mobile Device Management Magnus Janson Produktchef Tele2 Integration Service 2 4 Tele2 en del av Kinnevikgruppen Tele2 är den mobila utmanaren Mer än 40 miljarder kr i omsättning Mer än 30 miljoner

Läs mer

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

FÖRETAGSPRESENTATION )))

FÖRETAGSPRESENTATION ))) FÖRETAGSPRESENTATION ))) Information som ska spridas och information som ska sparas Det började under femtiotalets byggboom. Information i form av mått och material behövde mångfaldigas och distribueras

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Computer Sweden Mobility 2013. Så använder våra. kunder Revival

Computer Sweden Mobility 2013. Så använder våra. kunder Revival Computer Sweden Mobility 2013 Så använder våra kunder Revival Computer Sweden Mobility 2013 Så använder våra kunder Revival Revival Mobile Management Suite Snabbfakta Revival utvecklas i Sverige av The

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Så får Atlas Copco ut maximalt värde och säkrad drift av sina affärskritiska applikationer

Så får Atlas Copco ut maximalt värde och säkrad drift av sina affärskritiska applikationer REFERENS Så får Atlas Copco ut maximalt värde och säkrad drift av sina affärskritiska applikationer Om Atlas Copco Atlas Copco är en världsledande leverantör av lösningar för industriell produktivitet.

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Riktlinjer för IT i Halmstads kommun

Riktlinjer för IT i Halmstads kommun Riktlinjer för IT i Halmstads kommun VER 1.0 Innehåll Bakgrund...3 Syfte...3 Drivkrafter för IT i Halmstads kommun...3 Övergripande inriktning...4 Inriktning för kommunens IT-engagemang...5 Service...5

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Molnet ett laglöst land?

Molnet ett laglöst land? Molnet ett laglöst land? 31 januari 2012 Pernilla Borg, CISA Magnus Ahlberg Om Ernst & Young IT Risk and Assurance Inom IT Risk and Assurance hjälper vi organisationer att hantera IT-risker på ett sätt

Läs mer

TeliaSoneras syn på öppenhet

TeliaSoneras syn på öppenhet TeliaSoneras syn på öppenhet Inledning Begreppet öppenhet har många dimensioner och tolkningar. Det definieras också på olika sätt av olika aktörer inom telekom- och Internetbranschen. För slutanvändare

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Lyckat eller misslyckat it-projekt, det är frågan.

Lyckat eller misslyckat it-projekt, det är frågan. Lyckat eller misslyckat it-projekt, det är frågan. En kartläggning av svenska it-projekt April 2007 Projectplace International AB www.projektplatsen.se Innehållsförteckning FÖRORD...3 SAMMANFATTNING...

Läs mer

RSA Authentication. Översikt av produkten

RSA Authentication. Översikt av produkten RSA Authentication Manager ExpreSS Översikt av produkten Riskerna som förknippas med autentisering med enbart lösenord är inte nya. Trots det förlitar sig 44 % av alla företag och organisationer på lösenord

Läs mer

Den intelligenta hanteringen av Managed Print Services

Den intelligenta hanteringen av Managed Print Services Sharp Optimised Services kontroll l effektivitet I produktivitet Den intelligenta hanteringen av Managed Print Services Möjligheterna med Managed Print Services Fakta: upp till 5 % av ett företags avkastning

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Tillsyn av penningöverföring, valutaväxling och kontanthantering

Tillsyn av penningöverföring, valutaväxling och kontanthantering Tillsyn av penningöverföring, valutaväxling och kontanthantering AUGUSTI 2015 augusti 2015 Dnr 15-7266 INNEHÅLL Sammanfattning 3 Finansinspektionens tillsyn av penningöverföring, valutaväxling och kontanthantering

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten REMISSVAR Hanteringsklass: Öppen 2015-09-14 1 (6) Dnr 2015/633 Justitiedepartementet Enheten för samordning av samhällets krisberedskap 103 33 Stockholm Kopia: Fritzes kundservice 106 47 Stockholm Remissvar

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Skydda dina virtuella system i tre steg

Skydda dina virtuella system i tre steg SOLUTION BRIEF: SKYDDA DINA VIRTUELLA SYSTEM I TRE STEG........................................ Skydda dina virtuella system i tre steg Who should read this paper Företag som vill ha hjälp med att hitta

Läs mer

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson Tillgänglighet, Kontinuitet och Incidenthantering Förutsättningar för nyttoeffekter Leif Carlson Informationssäkerhet, och då speciellt Tillgänglighet, är en av de viktigaste möjliggörarna för att ITinvesteringar

Läs mer

CIO-barometern 2014. En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur. Om CIO-barometern

CIO-barometern 2014. En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur. Om CIO-barometern CIO-barometern 2014 CIO-barometern 2014 En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur Om CIO-barometern CIO-barometern är en årligen återkommande undersökning som genomförs

Läs mer

Vart försvann synergieffekterna?

Vart försvann synergieffekterna? Vart försvann synergieffekterna? Ett case om effektivisering av kundservice Inledning Ibland får vi tillåtelse av våra uppdragsgivare att berätta vad vi gör. Då är vår ambition att försöka ge så god insikt

Läs mer