Serotonin Gåshud Kittlar i magen Skratt Uppskattad

Transkript

1

2

3 Serotonin Gåshud Kittlar i magen Skratt Uppskattad C 10 H 12 N 2 O

4 Oxytocin C 43 H 66 N 12 O 12 S 2 Nyfikenhet Närvarande Gemenskap Mänskligt

5 Dopamin Förväntansfull Glad Inspirerande Härlig C 8 H 11 NO 2

6 Stora innovationskrav

7 Presentationen är skapad av Andreas Meyer April 2018 Digital Tillit

8 Förtroende

9 Förtroende Robusthet

10 Förtroende Robusthet Kvalitet

11 Förtroende Robusthet Kvalitet

12 Förtroende Robusthet Kvalitet

13 Rätt säkerhet Rättssäkert

14 Hela informationslivcykeln

15 Hela produktlivscykeln Idé Business Case Bygg/Avveckla Visionen Produkt/ byggsten Vad ingår Följ upp Effektmål Mätetal Använd

16 Rätt säkerhet Rättssäkert

17 LÄRDOM Proaktivt Reaktivt FÖRBEREDA FÖRHINDRA UPPTÄCKA & AGERA ÅTERSTÄLLA RISKHANTERING INCIDENT INCIDENTHANTERING

18 Visualisera våra informationstillgångar

19 Risk- och hotbildskartor Grundproblem

20 Informationstillgång

21 Process

22 Informationstillgångar

23 Informationsägare

24 Skyddsklassning - Konfidentialitet

25 Skyddsklassning - Riktighet

26 Skyddsklassning - Spårbarhet

27 Skyddsklassning - Tillgänglighet

28 Skyddsvärde 4 Mycket hög Hög Måttlig Låg

29 Extra värdefull tillgång?

30 Mappa interna krav

31 Kontrollkatalog

32 Standarder Omvärldsbevakning

33 Skyddsvärden från skyddsklassning Mycket hög Hög Måttlig Låg

34 Kontrollregler

35 Regeltyp

36 Område

37 Adderar krav

38 Rätt säkerhet Rättssäkert

39 GDPR och Patientdatalagen PCI-DSS Säkerhetsskyddslagen

40 Adderar fler krav

41 Informationstillgångar

42 Hot, risker och sårbarheter

43 Konsekvens

44 Sannolikhet

45 Riskvärde

46

47 Riskval 1. Minimera 2. Acceptera 3. Flytta

48 Adderar ännu fler krav

49 OUTPUT AKTIVITETER INPUT + STYRNING Flöde för säker informationsbehandling Business Case Infomodell Hot ITstrategi Målarkitektur LIS Säkerhetsarkitektur Lagar Förordningar Föreskrifter Affärsmål, myndighetsmål Anpassa säkerhetskrav Skyddsvärde (K, R, T, S) Skyddsklassning Hot/Riskanalys Riskvärde (S*K) Kontrollkatalog Lösningsarkitektur SAD Acceptabel verksamhetsrisk? Laglighetkontroll Rättsbedömning Lämplighets bedömning Beslut avsteg FFU AVROP UTV ETC

50 Beslutsunderlag

51 Medvetna beslut

52

53 Medvetet beslut

54 LÄRDOM Proaktivt Reaktivt FÖRBEREDA FÖRHINDRA UPPTÄCKA & AGERA ÅTERSTÄLLA Var finns Guldäggen Riskanalyser Hot- Motståndskraft IT-säkerhetsträning IT-säkerhetssimulering Medvetenhet Katastrofplan/BIA Riktlinjer Omvärldsanalys Penetrationstester Sårbarhetstester IT-säkerhetsrevision Ramverk (ISO) Skadlig känd kod Skadlig okänd kod Anti-SPAM Intrångsdetektering Intrångsskydd Härdning Brandväggar Surf-filter Åtkomstkontroll Autentisering Kryptering Övervakning Certifikat/PKI hantering Mobil och App hantering Klienthantering Patch hantering DDOS/DOS Massnedladdning Datahallsskydd Lastbalansering Informationsläckage Advanced Persistent Threat(APT) Forensik Security Incident and Event- Management Security Operation Center (SOC) Security Incident- Response Team Omvärldsinformation Incidentsamordning Snapshotbackup Diskbackup Redundans RISKHANTERING INCIDENT INCIDENTHANTERING

55 Inbyggd Säkerhet

56 LÄRDOM Proaktivt Reaktivt FÖRBEREDA FÖRHINDRA UPPTÄCKA & AGERA ÅTERSTÄLLA RISKHANTERING INCIDENT INCIDENTHANTERING

57 Använd standarder Enklaste möjliga lösning Uppfinn inga egna säkerhetsfunktioner Skydd i lager och på djupet Säkra den svagaste länken Security by obscurity dölja problem

58 SecDevOps OWASP Software Assurance Maturity Model

59 Appsäkerhet

60 Webbsäkerhet

61 Säkerhet som standard

62 3-partskod Befintliga tjänster

63 God exempel?

64

65

66

67

68

69 Rätt säkerhet Rätt kvalitet

70 Rätt kvalitet Förtroendeingivande tjänster

71 Förtroendeingivande tjänster Digital tillit

72 Digital tillit Rätt känslor

73 Rätt känslor Skapar innovation

74