SSF Säkerhetschef Informationssäkerhet 2016-11-30 Per Oscarson
Per Oscarson Informationssäkerhetsansvarig på Örebro kommun Medlem i SIS TK 318 (SS-ISO/IEC 27000- serien) Fil Dr och Fil Lic vid Linköpings universitet Har tidigare varit CISO/CSO på Folksam Informationssäkerhetsexpert på MSB Informationssäkerhetskonsult på Nexus, Transcendent Group Universitetslärare, Örebro universitet
Introduktion till informationssäkerhet Vad är informationssäkerhet? Varför behövs informationssäkerhet? Centrala begrepp Informationssäkerhet och annan säkerhet
Vad är informationssäkerhet? Tillgänglighet Konfidentialitet Att information inte tillgängliggörs eller avslöjas till obehörig Informationstillgångar Att information är åtkomlig och användbar till behörig Riktighet Att information är korrekt, aktuell och fullständig
Varför informationssäkerhet? Internet!
Varför informationssäkerhet? Digitaliseringen Alla och allt ska vara uppkopplade Samhällets mörka sidor flyttar till nätet Information är en av de viktigaste tillgångarna i organisationer IT-beroendet Ökad reglering
Digitaliseringen PC Webben E-handel Outsourcing E-förvaltning Molnet Sociala medier Digitalisering Öppna data Internet of everything???? 1990 2000 2010 2016 2030
Digitaliseringen Framväxandet drivs av Teknikutveckling och marknader, Av politiska strategier, t.ex. Digital agenda Medborgares och organisationers förväntan Man är ständigt online oh sociala medier är always on Information sprids hela tiden, utan att man alltid tanker på säkerhet och personlig integritet
Mörka sidor på nätet
Mörka sidor flyttar till nätet Samhällets avigsidor har sedan länge flyttat ut på nätet Från hackers till resursstarka aktörer med agendor och avsikter Billigare, enklare och säkrare att begå bedrägerier via nätet än att råna banker Kunskap finns, eller kan enkelt skaffas eller köpas
Information en strategisk resurs Information handlar om allt i en organisation och är kritisk för att nå dess mål För alla organisationer är informationen ett viktigt medel, liksom IT och Internet För många organisationer är själva informationen produkten Vilka klarar sig utan en god informationssäkerhet?
IT-beroendet De flesta organisationer är idag helt beroende av IT Få klarar längre avbrott Reservrutiner finns inte Alla organisationer är beroende av IT och Internet för sin administration, men vissa även för produktionen Industriella styrsystem (SCADA) Vatten, transport, el, tillverkning osv.
Ökad reglering Utvecklingen kräver en ökad reglering Organisationer måste efterleva fler och fler lagar, förordningar och föreskrifter Exempel: MSB:s föreskrifter för statliga myndigheter Finansinspektionens nya föreskrifter för banker Socialstyrelsens nya föreskrifter EU:s nya Dataskyddsförordning (GDPR)
Informationssäkerhet Konfidentialitet Riktighet Tillgänglighet Spårbarhet, oavvislighet, ansvarskyldighet, autentisering, auktoriation Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Formell säkerhet Informell säkerhet IT-säkerhet Fysisk säkerhet Extern Intern Datasäkerhet Kommunikationssäkerhet Källa: SIS-TR 50
Definition av informationssäkerhet Att uppnå eller upprätthålla konfidentialitet, riktighet och tillgänglighet (KRT) hos informationstillgångar i enlighet med organisationens krav Konfidentialitet: Att information inte tillgängliggörs eller avslöjas till obehörig Riktighet: Att information är korrekt, aktuell och fullständig Tillgänglighet: Att information är åtkomlig och användbar till behörig
Informations-, IT- och datasäkerhet ITsäkerhet Datasäkerhet Informationssäkerhet Teknik Verksamhet/ samhälle Fokusering
Andra centrala begrepp Hotkälla (hotobjekt) Ligger bakom Hot (tänkt händelse) Kan realiseras till Incident (inträffad händelse) Kan leda till Skada Försämrar Infotillgångar (KRT) Tid
Informationstillgångar Informationstillgångar Informationshanterande resurser Information Hanterar Exempelvis om Medarbetare Kunder Produkter Ekonomi
Information Kan finnas I IT-system (t.ex. databaser) I pappersform I människors huvuden Är tolkad data Kan tolkas olika av olika människor Kan ha olika värde för olika aktörer Kan vara oönskad inte alltid tillgång!
Informationshanterande resurser Informationshanterande resurser Manuell hantering Hantering med verktygsstöd Icke elektroniska verktyg Elektroniska verktyg Analoga verktyg Digitala verktyg (IT)
Informationstillgångar och KRT Tillgänglighet Behörig Informationstillgångar Konfidentialitet Obehörig Riktighet
Säkerhetsåtgärder Syftar till att öka eller bibehålla informationssäkerhet, dvs. KRT Kan vara mer eller mindre inriktade mot konfidentialitet, riktighet eller tillgänglighet Kan vara förebyggande, avvärjande, skadereducerande och återställande
Säkerhetsåtgärder (skydd) Förebyggande skydd Avvärjande skydd Skadereducerande skydd Återställande skydd Avser att påverka Avser att reducera eller eliminera Avser att hindra Avser att begränsa Avser att korrigera/ återställa Hotkälla (hotobjekt) Ligger bakom Hot Incident Skada Infotillgångar (KRT) (tänkt händelse) Kan realiseras till (inträffad händelse) Kan leda till Försämrar I princip kan samtliga typer vara upptäckande och rapporterande Tid
Informationssäkerhet och annan säkerhet Informationssäkerhet en delmängd av säkerhet Områden innehåller delvis informationssäkerhetsaspekter Fysisk säkerhet Personalsäkerhet Risk-, incident-, kontinuitet- och krishantering Andra säkerhetsområden innefattar ofta kritisk information, IT-styrning och Internetanslutningar