SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Transkript

1 SSF Säkerhetschef Informationssäkerhet Per Oscarson

2 Innehåll Onsdag Introduktion till informationssäkerhet Hotbild Styrning av informationssäkerhet Organisation Incidenter Torsdag LSF (Tommy Svensson) Personalsäkerhet/ säkerhetsmedvetande Sammanfattning och övriga frågor Dataskyddsförordningen Statens styrning Stöd och resurser

3 Personal och säkerhetsmedvetande

4 Personal och säkerhetsmedvetande Den mänskliga faktorn Före, under, avslut och ändring av anställning Utbildning och säkerhetsmedvetande Åtgärder för att förbättra Lärande riktlinjer och instruktioner Verktyg, DISA Extern personal

5 Informationssäkerhet handlar om mänskliga aktiviteter

6 Same, same, but different

7 Medarbetare hot, tillgång och skydd Hotobjekt Skydd Tillgång Människa Oavsiktliga Avsiktliga Teknik Fel, haverier Natur Översvämning Storm Administrativa Policyer Riktlinjer Rutiner etc. Tekniska Brandväggar Kryptering m.m. Fysiska Lås, larm osv. Kunskapsmässiga Medvetande Kompetens Information Lagrad på papper I IT-system I människors huvuden Informationshanterande resurser Människor IT Analoga verktyg Administration

8 Den mänskliga faktorn Fokus på teknik och administration räcker inte Människor finns i hotbild, skydd och tillgångar Det är människor som Utvecklar, installerar, konfigurerar och använder teknik Formulerar, kommunicerar och efterföljer regler Utbildning och information måste vara en integrerad del i all utveckling och implementation av tekniska och administrativa lösningar

9 Helhetssyn krävs Människa Administration/ organisation Teknik

10 Personalsäkerhet i SS-ISO/IEC Livscykelperspektiv : Före anställning Under anställning Avslut eller ändring av anställning

11 Före anställning Bakgrundskontroller Referenser Verifiering av CV Förstärkt kontroll, t.ex. kreditupplysning, brottsregister Säkerhetsklassade tjänster, registerkontroll Säpo Anställningsvillkor och information Organisationens värdegrunder Informationssäkerhetspolicy och riktlinjer Instruktioner och ansvar för specifika system m.m. Utbildning Hantering av konfidentiell information tystnadsplikt

12 Under anställning Program för säkerhetsmedvetande Alla medarbetare bör erhålla lämplig utbildning vad gäller informationssäkerhetspolicy, regelverk och rutiner i den omfattning som är relevant för deras befattning Även extern personal, t.ex. leverantörer, kan behöva omfattas av programmet Disciplinära processer Det bör finnas en formell och kommunicerad process för överträdelser av gällande informationssäkerhetsregler Åtgärder kan graderas utifrån allvarlighet, om det är återkommande, brott mot affärsavtal m.m. Kan även belöna gott beteende och innehålla positiva utmärkelser

13 Avslut eller ändring av anställning Rutiner för att avsluta/ändra åtkomst till tillgångar Återlämning av utrustning som dator, mobil, nycklar Avslut/ändring av konton, e-post m.m. Medtag av information, t.ex. till konkurrent, skriftlig försäkran, loggar Rutiner vid längre frånvaro Tjänstledighet, föräldraledighet, sjukdom osv. Ansvar efter avslut eller ändring av anställning Tystnadsplikter Externa aktörer Exempelvis konsulter

14 Medvetande, beteende och kultur Medvetande Beteende Kultur En individs kunskap och attityd En individs handlande En grupps gemensamma medvetande och beteende

15 Vad påverkar medarbetares beteende? Kunskap och medvetenhet Styr handlingsutrymme Administrativa system och skydd Tekniska system och skydd Personlig attityd och privata förhållanden Kollegors och chefers beteende

16 Handlingsutrymme Det utrymme som inte täcks av administrativa och tekniska skydd Kan innebära både skydd, sårbarhet och hot Verksamheter har olika behov av handlingsutrymme: Säkerhetskultur Verksamhetens säkerhetskrav/ säkerhetsmål Administrativa skydd Handlingsutrymme Behov av medarbetares frihet Organisationsstruktur, t.ex. mobilitet, lokalisering, decentralitet, hierarki Tekniska skydd

17 Handlingsutrymme (forts.) Åtkomsthantering styrs ofta av vilken information man behöver i arbetet Gränsområden finns alltid Skäl till dess storlek: Oförutsedda uppgifter, t.ex. vårdpersonal Flexibel organisation och arbetsförhållanden Kreativitetskapande Alla informationstillgångar Informationstillgångar man har åtkomst till Informationstillgångar man behöver

18 Regelverk Inga regelverk Behov av regelverk Befintliga regelverk Regelverk som inte efterlevs Regelverk som efterlevs

19 Varför efterlevs inte regler? En regel efterföljs ej Regeln är okänd Regeln är känd Man förstår inte regeln Man förstår regeln Man vill inte verksamhetens bästa (illojalitet) Man bryr sig inte (likgiltighet) Man vill verksamhetens bästa (lojalitet) Skada verksamheten Egen vinning Regeln är inte anpassad till verksamheten Andra delar i verksamheten prioriteras (tid, ekonomi ) Man gör som alla andra (särskilt som överordnade)

20 Orsaker till illojalitet Individuella Utebliven karriär Löneutveckling Brist på uppskattning Privata problem Dyrt leverne/skulder Skilsmässa Missbruk Kontakter Konkurrenter Kriminella Organisatoriska Lågkonjunktur Permitteringar Uppsagd personal Negativ kultur Bristande ledning Missnöjd personal Avhopp Destruktiv spiral Uppvigling Ökad risk för incidenter, oavsiktliga och avsiktliga

21 Motivationsfaktorer Generella, t.ex. Arbetsmiljö (fysisk o social) Lön och andra villkor Arbetet i sig Arbetsledning Erkännande av omgivningen Ansvar Befordran Informationssäkerhet Koppling till ens arbetsuppgifter Förbättrar kvaliteten? I motsats till andra regler? Enkelt eller betungande och svårt? Intressant och spännande eller tråkigt? Relatering till privatlivet T.ex. Internetbank

22 Analys av medvetande och beteende Kunskapstester Vad man vet och kan göra Attitydundersökningar Vad man anser och vill göra Beteendeundersökningar Vad man faktiskt gör

23 Analysmetoder Användning av befintligt material Medarbetarundersökningar, riskanalysrapporter, incidentrapporter, loggar m.m. Enkäter/tester Kan kopplas till utbildning och befogenheter Intervjuer Individuella eller i grupp Observationer och scenarier Öppen eller dold, annonserad eller oannonserad

24 Analys och mätning påverkar i sig Frågorna kommer på agendan Man skärper till sig Jfr. poliskontroller Man får förståelse och blir engagerad

25 Problem, orsaker och åtgärder Orsaker Problem Åtgärder Bristande beteende Brister i säkerhetsmedvetande Utbildning och information Brister i administrativa skydd/system Förändring av administrativa skydd/system Brister i tekniska skydd/system Förändring av tekniska skydd/system

26 Program för säkerhetsmedvetande Åtgärder för att över tid uppnå och upprätthålla säkerhetsmedvetande/ säkerhetskultur Bygga på kunskapsbehov Kategorier av personal, målgrupper T.ex. årlig cykel med roller och aktiviteter Målgrupp Övergripande Avdelning X Avdelning Y Roll 3 Roll 2 Roll 1 Aktiviteter Tid

27 Kategorier av personal Informationssäkerhet måste kunna kopplas till sin egen situation Insatser måste ofta anpassas till målgrupper Exempel på kategorier: Ledning Chefer Personuppgiftsombud Tekniker Projektledare Samhälle Organisation Avdelning Individ

28 Engagemang och motivation Utbildning och information kräver resurser Ledningen är de första som bör engageras Fokusera på verksamhetsnyttan, d.v.s. inte bara vad och hur, utan främst varför Alla måste förstå behovet av informationssäkerhet Delaktighet ökar acceptans och engagemang Engagemang och motivation kan användas som komplement till skriftliga avtal

29 Konkreta åtgärder, exempel E-utbildning på intranätet Föredrag och seminarier Manifestationer T.ex. Säkerhetens dag Nyhetsbrev Tävlingar och belöningar Självstudier Deltagande i säkerhetsarbete Trycksaker

30 Lärande och motiverande regelverk Obligatoriska regler kan med fördel varvas med motiv, förklaringar och tips För att logga in i system används användar-id och lösenord. Lösenorden är personliga och får inte göras kända för andra. Om en obehörig kommer över ditt lösenord och får tillgång till ditt användar-id, kan den personen utföra aktiviteter i ditt namn. Ett lösenord ska vara starkt, det vill säga svårt att gissa för någon annan. Det ska därför inte kunna förknippas med dig som person, och dessutom ha en viss längd och komplexitet. Krav på lösenord: Riktlinjer för utformning av lösenord A.1.1 A.1.2 Lösenord ska vara minst X tecken långt, gärna längre. Lösenord ska innehålla minst en gemen, en versal och en siffra. Tips på bra lösenord som är enkla att minnas är att tänka ut en mening. Justera sedan stora och små bokstäver och bilda lösenordet. Exempel:

31 Pedagogiska tips Förklara bakgrund och kontext Inte bara vad och hur, utan också varför Multipla sändare Vissa har större förtroende för högsta ledningen, andra för lokala chefer och vice versa Multipla media Människor är olika mottagliga för olika presentationsformer Texter, bilder, ljud, video m.m.

32 Pedagogiska tips (forts.) Doing stronger than saying Folk gör som andra gör hellre än vad de är tillsagda att göra! Särskilt viktigt när det gäller ledare som måste vara goda förebilder Mixa positiva and negativa mekanismer (morot och piska) Ex. Positiva: utnämningar, uppmuntran, goda exempel Ex. Negativa: kontroll, straff, dåliga exempel

33 European Cyber Security Month Syftar till att öka medvetenheten om vikten av informationssäkerhet Oktober varje år Arrangerades i Sverige 2016 av MSB och Polisens Nationella bedrägericenter (NBC) Temat 2016 var id-kapning Stödmaterial i form av filmer, podcasts m.m.

34 DISA Datorstödd InformationsSäkerhetsutbildning för Användare Kostnadsfri utbildning från MSB Innehåller 10 avsnitt som var och ett innehåller information, filmer och frågor Kan köras via webben eller driftas i egen regi Kan anpassas till den egna organisationen

35 Innehåll i DISA Lösenord Mobila enheter Skadlig kod Sociala medier E-post Säkerhetskopiering Spårbarhet och loggning Smarta telefoner Surfplattor Säkert beteende