SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Relevanta dokument
Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Säkerhet i fokus. Säkerhet i fokus

Hur värnar kommuner digital säkerhet?

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Katrineholms kommun

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Anders Mårtensson Säkerhetschef

Ta kontroll över informationssäkerheten

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy KS/2018:260

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy IT (0:0:0)

Ledningssystem för Informationssäkerhet

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

IT-säkerhetspolicy för Landstinget Sörmland

Ledningssystem för Informationssäkerhet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Kapitel 8 Personalresurser och säkerhet

BUMERANG 360 ID: visar om din uppfattning stämmer med kollegornas

Handledning i informationssäkerhet Version 2.0

Bilaga 1 - Handledning i informationssäkerhet

SÅ HÄR GÖR VI I NACKA

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhet, Linköpings kommun

Administrativ säkerhet

Informationssäkerhetspolicy för Ånge kommun

Hållbar stad öppen för världen

BUMERANG 360 ID: visar om din uppfattning stämmer med kollegornas

Sammanfattning av riktlinjer

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Utveckla företaget med bättre säkerhetskultur

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Boomerang 360 ID: 2. Ensize International AB (dev) Henrik Wigh Sofielundsvägen Sollentuna

Policy för informationssäkerhet

SÄKERHETSKULTUR. Transportstyrelsens definition och beskrivning av viktiga aspekter för god säkerhetskultur

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 1 LS 77/07 LS-LED Arbetsmiljöpolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Uppförandekod. Dokumentägare: Datum upprättat dokument: 2010 Datum senast reviderat:

Riktlinjer för informationssäkerhet

Boomerang 360 ID: Ensize International AB (dev) Henrik Wigh Sofielundsvägen Sollentuna

Säkerhet i fokus. Säkerhet i fokus

En hållbar stad öppen för världen

Regler för användning av Riksbankens ITresurser

Stockholms stads personalpolicy

Dale Carnegie Training Whitepaper

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Boomerang 360 ID: Demo. Ensize AB Peter Karlsson

Aprinova Sweden AB Ferkens gränd 1, Stockholm Medskapande förändringskraft

ISO/IEC och Nyheter

1(6) Informationssäkerhetspolicy. Styrdokument

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

RZ Gruppens Uppförandekod

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Lönepolicy med riktlinjer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhet

E-strategi för Strömstads kommun

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhet - en översikt. Louise Yngström, DSV

Informationssäkerhetspolicy

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy för Ystads kommun F 17:01

Kommunikationspolicy. Antagen av Kf 56/2015

Personalvision Polykemi AB

Varför är vår uppförandekod viktig?

Göran Engblom IT-chef

Riktlinjer för användning av applikationer i mobila enheter

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Säkerhetsklassning och säkerhetsprövning inom exploateringsnämndens verksamhet

IT-Säkerhetsinstruktion: Förvaltning

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

BUMERANG 360 ID: visar om din uppfattning stämmer med kollegornas

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

AFFÄRSETISKA BESTÄMMELSER

Myndigheten för samhällsskydd och beredskaps författningssamling

Riskanalys och riskhantering

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Transkript:

SSF Säkerhetschef Informationssäkerhet 2016-12-01 Per Oscarson

Innehåll Onsdag Introduktion till informationssäkerhet Hotbild Styrning av informationssäkerhet Organisation Incidenter Torsdag LSF (Tommy Svensson) Personalsäkerhet/ säkerhetsmedvetande Sammanfattning och övriga frågor Dataskyddsförordningen Statens styrning Stöd och resurser

Personal och säkerhetsmedvetande

Personal och säkerhetsmedvetande Den mänskliga faktorn Före, under, avslut och ändring av anställning Utbildning och säkerhetsmedvetande Åtgärder för att förbättra Lärande riktlinjer och instruktioner Verktyg, DISA Extern personal

Informationssäkerhet handlar om mänskliga aktiviteter

Same, same, but different

Medarbetare hot, tillgång och skydd Hotobjekt Skydd Tillgång Människa Oavsiktliga Avsiktliga Teknik Fel, haverier Natur Översvämning Storm Administrativa Policyer Riktlinjer Rutiner etc. Tekniska Brandväggar Kryptering m.m. Fysiska Lås, larm osv. Kunskapsmässiga Medvetande Kompetens Information Lagrad på papper I IT-system I människors huvuden Informationshanterande resurser Människor IT Analoga verktyg Administration

Den mänskliga faktorn Fokus på teknik och administration räcker inte Människor finns i hotbild, skydd och tillgångar Det är människor som Utvecklar, installerar, konfigurerar och använder teknik Formulerar, kommunicerar och efterföljer regler Utbildning och information måste vara en integrerad del i all utveckling och implementation av tekniska och administrativa lösningar

Helhetssyn krävs Människa Administration/ organisation Teknik

Personalsäkerhet i SS-ISO/IEC 27002 Livscykelperspektiv : Före anställning Under anställning Avslut eller ändring av anställning

Före anställning Bakgrundskontroller Referenser Verifiering av CV Förstärkt kontroll, t.ex. kreditupplysning, brottsregister Säkerhetsklassade tjänster, registerkontroll Säpo Anställningsvillkor och information Organisationens värdegrunder Informationssäkerhetspolicy och riktlinjer Instruktioner och ansvar för specifika system m.m. Utbildning Hantering av konfidentiell information tystnadsplikt

Under anställning Program för säkerhetsmedvetande Alla medarbetare bör erhålla lämplig utbildning vad gäller informationssäkerhetspolicy, regelverk och rutiner i den omfattning som är relevant för deras befattning Även extern personal, t.ex. leverantörer, kan behöva omfattas av programmet Disciplinära processer Det bör finnas en formell och kommunicerad process för överträdelser av gällande informationssäkerhetsregler Åtgärder kan graderas utifrån allvarlighet, om det är återkommande, brott mot affärsavtal m.m. Kan även belöna gott beteende och innehålla positiva utmärkelser

Avslut eller ändring av anställning Rutiner för att avsluta/ändra åtkomst till tillgångar Återlämning av utrustning som dator, mobil, nycklar Avslut/ändring av konton, e-post m.m. Medtag av information, t.ex. till konkurrent, skriftlig försäkran, loggar Rutiner vid längre frånvaro Tjänstledighet, föräldraledighet, sjukdom osv. Ansvar efter avslut eller ändring av anställning Tystnadsplikter Externa aktörer Exempelvis konsulter

Medvetande, beteende och kultur Medvetande Beteende Kultur En individs kunskap och attityd En individs handlande En grupps gemensamma medvetande och beteende

Vad påverkar medarbetares beteende? Kunskap och medvetenhet Styr handlingsutrymme Administrativa system och skydd Tekniska system och skydd Personlig attityd och privata förhållanden Kollegors och chefers beteende

Handlingsutrymme Det utrymme som inte täcks av administrativa och tekniska skydd Kan innebära både skydd, sårbarhet och hot Verksamheter har olika behov av handlingsutrymme: Säkerhetskultur Verksamhetens säkerhetskrav/ säkerhetsmål Administrativa skydd Handlingsutrymme Behov av medarbetares frihet Organisationsstruktur, t.ex. mobilitet, lokalisering, decentralitet, hierarki Tekniska skydd

Handlingsutrymme (forts.) Åtkomsthantering styrs ofta av vilken information man behöver i arbetet Gränsområden finns alltid Skäl till dess storlek: Oförutsedda uppgifter, t.ex. vårdpersonal Flexibel organisation och arbetsförhållanden Kreativitetskapande Alla informationstillgångar Informationstillgångar man har åtkomst till Informationstillgångar man behöver

Regelverk Inga regelverk Behov av regelverk Befintliga regelverk Regelverk som inte efterlevs Regelverk som efterlevs

Varför efterlevs inte regler? En regel efterföljs ej Regeln är okänd Regeln är känd Man förstår inte regeln Man förstår regeln Man vill inte verksamhetens bästa (illojalitet) Man bryr sig inte (likgiltighet) Man vill verksamhetens bästa (lojalitet) Skada verksamheten Egen vinning Regeln är inte anpassad till verksamheten Andra delar i verksamheten prioriteras (tid, ekonomi ) Man gör som alla andra (särskilt som överordnade)

Orsaker till illojalitet Individuella Utebliven karriär Löneutveckling Brist på uppskattning Privata problem Dyrt leverne/skulder Skilsmässa Missbruk Kontakter Konkurrenter Kriminella Organisatoriska Lågkonjunktur Permitteringar Uppsagd personal Negativ kultur Bristande ledning Missnöjd personal Avhopp Destruktiv spiral Uppvigling Ökad risk för incidenter, oavsiktliga och avsiktliga

Motivationsfaktorer Generella, t.ex. Arbetsmiljö (fysisk o social) Lön och andra villkor Arbetet i sig Arbetsledning Erkännande av omgivningen Ansvar Befordran Informationssäkerhet Koppling till ens arbetsuppgifter Förbättrar kvaliteten? I motsats till andra regler? Enkelt eller betungande och svårt? Intressant och spännande eller tråkigt? Relatering till privatlivet T.ex. Internetbank

Analys av medvetande och beteende Kunskapstester Vad man vet och kan göra Attitydundersökningar Vad man anser och vill göra Beteendeundersökningar Vad man faktiskt gör

Analysmetoder Användning av befintligt material Medarbetarundersökningar, riskanalysrapporter, incidentrapporter, loggar m.m. Enkäter/tester Kan kopplas till utbildning och befogenheter Intervjuer Individuella eller i grupp Observationer och scenarier Öppen eller dold, annonserad eller oannonserad

Analys och mätning påverkar i sig Frågorna kommer på agendan Man skärper till sig Jfr. poliskontroller Man får förståelse och blir engagerad

Problem, orsaker och åtgärder Orsaker Problem Åtgärder Bristande beteende Brister i säkerhetsmedvetande Utbildning och information Brister i administrativa skydd/system Förändring av administrativa skydd/system Brister i tekniska skydd/system Förändring av tekniska skydd/system

Program för säkerhetsmedvetande Åtgärder för att över tid uppnå och upprätthålla säkerhetsmedvetande/ säkerhetskultur Bygga på kunskapsbehov Kategorier av personal, målgrupper T.ex. årlig cykel med roller och aktiviteter Målgrupp Övergripande Avdelning X Avdelning Y Roll 3 Roll 2 Roll 1 Aktiviteter Tid

Kategorier av personal Informationssäkerhet måste kunna kopplas till sin egen situation Insatser måste ofta anpassas till målgrupper Exempel på kategorier: Ledning Chefer Personuppgiftsombud Tekniker Projektledare Samhälle Organisation Avdelning Individ

Engagemang och motivation Utbildning och information kräver resurser Ledningen är de första som bör engageras Fokusera på verksamhetsnyttan, d.v.s. inte bara vad och hur, utan främst varför Alla måste förstå behovet av informationssäkerhet Delaktighet ökar acceptans och engagemang Engagemang och motivation kan användas som komplement till skriftliga avtal

Konkreta åtgärder, exempel E-utbildning på intranätet Föredrag och seminarier Manifestationer T.ex. Säkerhetens dag Nyhetsbrev Tävlingar och belöningar Självstudier Deltagande i säkerhetsarbete Trycksaker

Lärande och motiverande regelverk Obligatoriska regler kan med fördel varvas med motiv, förklaringar och tips För att logga in i system används användar-id och lösenord. Lösenorden är personliga och får inte göras kända för andra. Om en obehörig kommer över ditt lösenord och får tillgång till ditt användar-id, kan den personen utföra aktiviteter i ditt namn. Ett lösenord ska vara starkt, det vill säga svårt att gissa för någon annan. Det ska därför inte kunna förknippas med dig som person, och dessutom ha en viss längd och komplexitet. Krav på lösenord: Riktlinjer för utformning av lösenord A.1.1 A.1.2 Lösenord ska vara minst X tecken långt, gärna längre. Lösenord ska innehålla minst en gemen, en versal och en siffra. Tips på bra lösenord som är enkla att minnas är att tänka ut en mening. Justera sedan stora och små bokstäver och bilda lösenordet. Exempel:

Pedagogiska tips Förklara bakgrund och kontext Inte bara vad och hur, utan också varför Multipla sändare Vissa har större förtroende för högsta ledningen, andra för lokala chefer och vice versa Multipla media Människor är olika mottagliga för olika presentationsformer Texter, bilder, ljud, video m.m.

Pedagogiska tips (forts.) Doing stronger than saying Folk gör som andra gör hellre än vad de är tillsagda att göra! Särskilt viktigt när det gäller ledare som måste vara goda förebilder Mixa positiva and negativa mekanismer (morot och piska) Ex. Positiva: utnämningar, uppmuntran, goda exempel Ex. Negativa: kontroll, straff, dåliga exempel

European Cyber Security Month Syftar till att öka medvetenheten om vikten av informationssäkerhet Oktober varje år Arrangerades i Sverige 2016 av MSB och Polisens Nationella bedrägericenter (NBC) Temat 2016 var id-kapning Stödmaterial i form av filmer, podcasts m.m.

DISA Datorstödd InformationsSäkerhetsutbildning för Användare Kostnadsfri utbildning från MSB Innehåller 10 avsnitt som var och ett innehåller information, filmer och frågor Kan köras via webben eller driftas i egen regi Kan anpassas till den egna organisationen

Innehåll i DISA Lösenord Mobila enheter Skadlig kod Sociala medier E-post Säkerhetskopiering Spårbarhet och loggning Smarta telefoner Surfplattor Säkert beteende

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss