Ta kontroll över informationssäkerheten

Relevanta dokument
Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy. Linköpings kommun

Administrativ säkerhet

Policy för informations- säkerhet och personuppgiftshantering

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Policy för informationssäkerhet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Umeå universitet

Policy för informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Ledningssystem för Informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riskanalys och riskhantering

Handlingsplan för persondataskydd

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

Regler och instruktioner för verksamheten

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet

Informationssäkerhetspolicy

Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Riktlinjer för informationssäkerhet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Riktlinjer för informationssäkerhet

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Säkerhetspolicy i Linköpings kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Säkerhetspolicy för Sandvikens kommun

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 3 Säkerhet Dnr: /

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Gemensamma anvisningar för informationsklassning. Motala kommun

FÖRHINDRA DATORINTRÅNG!

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Koncernkontoret Enheten för säkerhet och intern miljöledning

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Metod för klassning av IT-system och E-tjänster

Säkerhetskultur / Gun Sunnerstam

ISO/IEC och Nyheter

RISKHANTERING FÖR SCADA

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Välkommen till enkäten!

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy

Organisation för samordning av informationssäkerhet IT (0:1:0)

Bilaga Från standard till komponent

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

Myndigheten för samhällsskydd och beredskaps författningssamling

Flygplatschefsseminarium

IT-säkerhet Externt och internt intrångstest

Olingo Consulting & Advokatfirman Vinge

AM/QM/CMM/SM-dag Säkerhetskultur: Ledarskap och säkerhetsarbete Solna Konferens

Svensk Standard SS ISO/IEC SS

IT-säkerhetspolicy för Landstinget Sörmland

Riktlinjer för säkerhetsarbetet

IT-relaterad brottslighet

POLICY INFORMATIONSSÄKERHET

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Förändringsstrategi anpassad till just din organisations förutsättningar och förmåga

Så här kan Transportstyrelsen bedöma säkerhetskultur vid tillsyn. Sixten Nolén, Transportstyrelsen

Metodstöd 2

Ledningssystem för IT-tjänster

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Bilaga till rektorsbeslut RÖ28, (5)

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Säkerhetskultur i en organisation

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Hur värnar kommuner digital säkerhet?

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Program Strategi Policy Riktlinje. Digitaliseringsstrategi

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Informationsklassning och systemsäkerhetsanalys en guide

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Transkript:

Ta kontroll över informationssäkerheten Ledningshaveri är inte IT-haveri 2017-11-24 Per Strömsjö Ansvarig för DF Kompetens certifieringsprogram inom informationssäkerhet Utbildare och konsult vid Omegapoint @stromsjo

Hur uppfattas säkerhet? En fråga om teknik? Bra och eftersträvansvärt? Okontroversiellt? Vem vill inte vara säker?

Säkerhet undviker publicitet 2017-11-23 4

Våra avgränsningar Säkerhet för vem/vad? skyddsvärd information systemet, processen, tjänsten Skydd mot vem/vad? misstag eller avsiktliga angripare Vilket slags säkerhet? informationssäkerhet tillit till densamma kundinformationen? journalsystemet? förvaltare? hackers?

Vari består säkerhet? människa process teknologi i den ordningen

Informationssäkerhet - en IT-fråga? IT kan inte avgöra vilka verksamhetsprocesser som är mest kritiska och hur länge de får ligga nere IT kan inte besluta vilka tillgångar som är skyddsvärda IT kan inte styra hur pappersbaserad och annan analog information ska hanteras IT kan inte bestämma vad säkerheten fårkosta (jfr. GDPR) De strategiska överväganden som måste styra säkerhetsarbete kan inte göras av IT

Konventionellt säkerhetsarbete regeldrivet? teknikfokuserat? passivt?

Samtidigt, i en mognare sektor Strategisk informationssäkerhet 9

Vem får acceptera risk? - exempel A Vårt företag produktionssätter ny kod kontinuerligt och kan inte garantera att den är felfri. Någon gång kommer det att leda till en incident som slår på tillgängligheten i våra tjänster och drabbar vår omsättning. Så gör alla. Man hinner inte säkerhetstesta allt. Känns det rimligt? Vem borde ha mandat att acceptera denna risk? Motivera! Strategisk informationssäkerhet 10

Regeldriven säkerhet uppfattas som en pålaga ett nödvändigt ont ligger efter dagens regler (gårdagens hot) lägsta möjliga nivå siktar på (skenbar) efterlevnad

Informationssäkerhetspolicy - vårt interna regelverk anpassad för, handlar om vår verksamhet ledningens viljeyttring kort och kärnfull, <3 sidor relativt statisk organisationsövergripande ska kommuniceras början till ledningssystem SS-ISO/IEC 27000 Strategisk informationssäkerhet 12

Vad ska policyn svara på? vilka är vi? vad betyder informationssäkerhet hos oss? vad ska skyddas? vilka slags säkerhetsansvar behöver tas? på ledningsnivå av medarbetare medarbetares rättigheter Strategisk informationssäkerhet 13

Vad ska policyn svara på? till vilka delegeras vilket säkerhetsledningsansvar? ledtråd: inte CISO de ska mäta och redovisa status för ledningen vår ansvarsmodell informationsägare? systemägare? bra medarbetarskap säkerhetsbeteende påföljd vid avvikelse? Strategisk informationssäkerhet 14

Delegering genom policy! anpassat redskap för effektiv delegering av ansvar för mätbar säkerhet Strategisk informationssäkerhet 15

Vem får acceptera risk? - exempel B Vår kommun har inte full kontroll på lagrade persondata i mejl men vi jobbar på det. Blir vi granskade så kan vi förklara hur vår åtgärdsplan ser ut. Vi är inte sämre än andra. Det finns alltid en risk att persondata (även känsliga) läcker till fel part. Vårt mål är att efterleva alla regler. Känns det rimligt? Vem borde ha mandat att acceptera denna risk? Motivera! Strategisk informationssäkerhet 16

Teknikfokuserad säkerhet produkter i centrum skaffa den här lösningen och bli säker svagt processperspektiv processer saknas eller definieras av tekniken bygger inte en kvalitetskultur medarbetare ses som "svagaste länken

Hur grundlägga beteende? regler gör inte sådär!

Hur grundlägga beteende? regler gör inte sådär! därför att riskperspektiv

Hur grundlägga beteende? regler gör inte sådär! därför att riskperspektiv såhär gör vi! kvalitetskultur

Vad innebär beteende? Eftersträvad säkerhetsnivå Kan förbättras med förändrat beteende Administrativa skydd Brister som ej täcks av administrativa eller tekniska skydd Regelverk som inte efterföljs Tekniska skydd Tekniska skydd som används felaktigt/kringgås Operativ informationssäkerhet 21

Varför gör vi inte rätt? - några vanliga hinder vi gör rätt! regel jobbig att efterleva regel omöjlig att efterleva regel okänd regel saknas 22

Öka viljan! ägarskap engagemang samtycke förståelse medvetenhet 23

Indikatorer på säkerhetskultur - efter Jan Skriver stark kultur öppenhet och ifrågasättande vilja att lära av vad som gått fel ledningen prioriterar säk. i ord och handling ansvar och befogenheter tydliga produktionspress: säkerhet senareläggs saknar helikopterperspektiv det har ju gått bra hittills riskförståelsen är inte gemensam svag kultur

Kultur för tillit och kvalitet! beteende engagemang lokalt ägarskap medarbetaren er starkaste länk Strategisk informationssäkerhet 25

Vem får acceptera risk? - exempel C Vårt bolag hanterar betalningar. Vi krypterar datatrafik. En gång stannade tjänsten pga att giltighetstiden för ett certifikat gått ut. Produktägaren beordrade (mot driftens vilja) att tillfälligt stänga av krypteringen för att inte tappa tillgänglighet under det att certifikatsproblemet löstes. Under ett par timmar gick datatrafiken i klartext. Känns det rimligt? Vem borde ha mandat att acceptera denna risk? Motivera! Strategisk informationssäkerhet 26

Passivt förhållningssätt reaktivt omvärlden definierar vår ambition bygger inte tillit varför lita på en organisation som inte vill säkerhet? missar konkurrensfördel kvalitet/säkerhet som möjlighet att stärka affären

När byggs säkerhet? Proaktivt Reaktivt

It s the economy, stupid! - Bill Clinton, 1992 Strategisk informationssäkerhet 29

Motståndaren

Varför vill vissa illa? pengar politik makt

Koll på det skyddsvärda? informationssäkerhet handlar om att skydda information fokus på de (mest) skyddsvärda informationsobjekten klassificera erinformation, säger regelverken vanligen en isolerad projektaktivitet om det alls görs information ofta mer statisk än organisation och rutiner

Er informationsmodell! kartan över era skyddsvärda tillgångar, återanvändbar ledstång för projekt och styrning Strategisk informationssäkerhet 33

Specifikt Hur är ett bra säkerhetskrav? Mätbart funktionalitet testbar negativa krav kan verifieras Accepterat Realistiskt Tidsatt

Varför mäta informationssäkerhet? Det övergripande syftet är att ge underlag för beslutsfattande inom ramen för riskhantering Vad kostar konsekvenserna av incidenter? Vad kostar våra säkerhetsåtgärder? Är det rätt säkerhetsåtgärder, till rätt kostnad? Hur förhåller vi oss gentemot jämförbara organisationer? Operativ informationssäkerhet 35

Kan vi mäta incidenter och hot? Känd incident Okänd incident Okänt hot överraskade av att incident inträffat vet ingenting! Känt hot känner till att väntad incident inträffat vet att incident kan inträffa, men inte att det har hänt Strategisk informationssäkerhet 36

Vad vill vi mäta (och varför)? vad vi gjort? vad vi åstadkommit? vad som hänt? vad som kan hända?

Börja mäta informationssäkerhet! börja pröva börja enkelt börja nu Strategisk informationssäkerhet 38

Säkerhet som kvalitet Kvalitet byggs med krav och test Säkerhet en form av kvalitet Är säkerhet annorlunda? Borde säkerhet vara annorlunda?

Skalbarhet, någon? kontroll tillit Strategisk informationssäkerhet 40

Att ta med hem!

Ny kurs - Premiär Stockholm 15 dec! Informationssäkerhet för ledare

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss