Välkommen till VÅR SÄKRA STUDENTKVÄLL

Transkript

1 Välkommen till VÅR SÄKRA STUDENTKVÄLL

2 1. Knowit och vårt säkerhetserbjudande 2. Föredrag 3. Mingel & mat

3 15:00-15:20 Information om vägarna in i branschen : Privacy by Design : Kort paus : Identitets- och behörighetshantering (IAM) Demo av penetrationstest

4 15:00-15:20 Information om vägarna in i branschen : Privacy by Design : Kort paus : Identitets- och behörighetshantering (IAM) Demo av penetrationstest

5 Knowit Bildades 1990 Börsnoterat på OMX Nasdaq Verksamma i Sverige, Finland, Danmark, Estland och Tyskland v anställda

6

7 Digital Law Energy Management Human Resource Management IT Strategy Organizing for Speed and Scaled Agile & Lean Project & Quality Management Public & Sourcing Management Security Transformation Management & Organizational Development

8 security

9 Säkerhet på Knowit Sverige Stockholm Göteborg Linköping Malmö Norge Oslo Arendal Cirka 50 säkerhetskonsulter som arbetar med it- och informationssäkerhet

10 Knowits säkerhetstjänster

11 cyberhjältarna

12 Tidigare exjobb Patrick Wolle (2015) Riskerna med molntjänster idag, vilka ekonomiska konsekvenser dessa medför och vilken sannolikhet finns att dessa risker inträffar Lukas Grönquist och Tobias Rydberg (2017) Vilka praktiska åtgärder som finns för att uppfylla principerna för konceptet Privacy by Design, en punkt i den nya dataskyddsförordningen (GDPR) Madeleine Serenhov (2017) Hur forensiska metoder och förebyggande åtgärder måste anpassas för att uppfylla kraven i GDPR

13 Möjligheter till exjobb, praktik och anställning "Vill du bli den nya generationens cyberhjälte? Var med och säkra upp Nordens myndigheter och företag Ämne i framkant Värde för dig, oss och branschen Investering både för dig och för oss Ambition om att anställa de som gör exjobb eller praktik Alla som hittills har klivit ombord som studenter arbetar nu som säkerhetskonsulter hos oss Förslag på exjobb/praktik Säkerhet i talkommunikation Säkerhet i AI-botar Säkerhet i IoT VD-assistent

14 Nästa steg En del av er kanske redan har skickat in er ansökan för exjobb här: Första steget i vår process, oavsett om det gäller exjobb eller praktik, är dock genomförandet av en caseuppgift Case laddas upp på blogg.knowit.se/security imorgon Du har till 16/11 klockan 23:59 på dig Ange om du önskar göra exjobb eller praktik hos oss Skicka med ditt CV Efter vi har fått in din caseuppgift och ditt CV hör vi av oss

15 FRÅGOR?

16 15:00-15:20 Information om vägarna in i branschen : Privacy by Design : Kort paus : Identitets- och behörighetshantering (IAM) Demo av penetrationstest

17 1. Om oss 2. Examensarbete Upplägg Privacy by Design 3. Hur har arbetet hjälpt oss? 4. Vad gör vi nu?

18 OM OSS

19 Om oss Studerat data- och systemvetenskap vid SU Praktik och examensarbete VT-2017 Säkerhetskonsulter på Knowit Insight

20 Examensarbete

21 Upplägg på uppsatsen Vilka praktiska åtgärder som finns för att uppfylla principerna för konceptet Privacy by Design, en punkt i den nya dataskyddsförordningen (GDPR) En kartläggning av ENISA, NIST och ISO Stadsmissionen

22 Privacy by Design Bygga in integritets- och säkerhetsskydd i system Både system- och affärsprocesser Att ta hänsyn till den personliga integriteten från början av utvecklingen Ann Cavoukians sju principer

23 Principer för Privacy by Design Proaktivt inte reaktivt - förebyggande inte botande Integritet som standard Inbyggt skydd för personuppgifter Full funktionalitet - inte ett nollsummespel Säkerhet från början till slut - skydd under hela livscykeln Öppenhet och transparens Respekt för användaren

24 #1 Proaktivt inte reaktivt - förebyggande inte botande Proaktiva medel istället för reaktiva Förhindra integritetsrisker innan de uppstår Privacy comes before-the-fact, not after"

25 #2 Integritet som standard Högsta möjliga integritetsskydd som standard Ska inte kräva några handlingar från den registrerade Om inget görs ska integriteten behållas intakt

26 #3 Inbyggt skydd för personuppgifter Integriteten ska vara inbyggd i designen och arkitekturen av: Affärsprocesser IT-system Integriteten ska vara en del av kärnfunktionaliteten

27 #4 Full funktionalitet - inte ett nollsummespel Win-win förhållande Inte säkerhet kontra integritet Integritetsskydd som konkurrensfördel Säkerhet Integritet

28 #5 Säkerhet från början till slut Skydd under hela livscykeln Insamling Skydd under hela livscykel för personuppgifter Säkerhetsåtgärder Från insamling till radering radering registrering spridning lagring behandling

29

30 #6 Öppenhet och transparens Informera alla intressenter om: Affärsprocesser Teknik Håll behandlingen öppen och transparent

31 #7 Respekt för användaren Prioritera den registrerades intressen Användarvänliga alternativ Stark integritetsstandard

32 Hur har arbetet hjälpt oss?

33 Första konsultuppdraget GDPR-projekt på Stadsmissionen Nulägesanalys GAP-analys Handlingsplan

34 Examensarbete på ett företag Problemformulering Få hjälp med att hitta ett aktuellt problem i branschen Resurskapital Metodik Tidigare arbeten Branschdokument ISO-standarder

35 Examensarbete på ett företag Vägledning i informationsdjungeln Relevanta källor Källor som används även i arbetslivet Kontaktnät Konferenser, mässor och diverse events CSA nordic Summit 2017

36 Vad gör vi nu?

37 Vad gör vi nu? Anställda säkerhetskonsulter Cyberhjälteprogram CISSP Associate

38 FRÅGOR?

39 LUKAS GRÖNQUIST T: E: TOBIAS RYDBERG T: E:

40 15:00-15:20 Information om vägarna in i branschen : Privacy by Design : Kort paus : Identitets- och behörighetshantering (IAM) Demo av penetrationstest

41 15:00-15:20 Information om vägarna in i branschen : Privacy by Design : Kort paus : Identitets- och behörighetshantering (IAM) Demo av penetrationstest

42 Identitets- och behörighetshantering (IAM) Svenska kyrkans gemensamma identitets- och behörighetsprojekt

43 PATRICK WOLLE T: E:

44 15:00-15:20 Information om vägarna in i branschen : Privacy by Design : Kort paus : Identitets- och behörighetshantering (IAM) Demo av penetrationstest

45 Penetrationstest

46 Teknisk IT-säkerhet Syfte och funktion Ett helt annat område än informationssäkerhet Det används ibland för att utvärdera i efterhand, eller i ett inledande skede Penetrationtest Går ut på att hitta sårbarheter

47 Hur går det till? Gemensamma steg för alla pentest: Kartlägga miljön (exempelvis genom att svepa av subnätet) Hämta in information om vad som finns där (fingerprinting) Söka efter det som är felkonfigurerat säkerhetsmässigt (för många exponerade portar och tjänster) Leta efter tjänster med höga behörigheter (till exempel admingränssnitt) Leta efter utdaterade system som det finns färdiga exploits till eller information på nätet om hur sårbarheten kan utnyttjas

48 När utförs det? Vilka beställer penetrationstest? Affärshemligheter (vinstdrivande företag) Pengaflöde och betalningar (banker) Känsliga uppgifter (försäkringsbolag och myndigheter) Exempelvis när/vid: Ett nytt system ska produktionssättas Ett gammalt system som ses över regelbundet En hel intern it-miljö i en organisation En hel organisation som scope Social engineering

49 Fler områden Kodgranskning (ofta pentestare) CERT/CSIRT - Incident Response Live-action vid incident Forensisk utredning

50 Vilka passar för arbetet? Person som är: Intresserad av och orädd för teknik Intresserad av att arbeta hands-on Kreativ, nyfiken och gillar att gå emot strömmen (istället för att använda ett system som det är tänkt, använda det som det inte är tänkt att användas) Intresserad av flera områden Nätverk Programmering Databas Webben Servrar Operativsystem Felsökning (troubleshooting)

51 Testa vidare på egen hand

52 FRÅGOR?

53 Freja Westerlund T: E:

54 Mingel & mat