Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Relevanta dokument
Identifierad och igenkänd, men sen då? Anne-Marie Eklund Löwinder Kvalitets- och

Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden

Paketerad med erfarenhet. Tillgänglig för alla.

Bilaga 3c Informationssäkerhet

Guide för säker behörighetshantering

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Praktikfall i vården

Lösenordsregelverk för Karolinska Institutet

Samverka effektivare via regiongemensam katalog

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Syfte Behörig. in Logga 1(6)

Sammanfattning av riktlinjer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Identity and Access Management på LU

Riktlinjer för informationssäkerhet

BILAGA 1 Definitioner

Riktlinjer för informationssäkerhet

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

eduid från IOLR till verktygslåda

Strukturerat informationssäkerhetsarbete

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

IAM NETINFO Verktygsstöd. Rollhantering. Stödprocesser. Information. Användare IT-tjänster. Behörigheter Målgrupper

Skydd av personuppgifter för användare som registrerats av EU-kommissionens identitetshanteringstjänst (Identity Management Service)

IT-säkerhetsinstruktion Förvaltning

Bilaga 3c Informationssäkerhet

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Region Skåne Granskning av IT-kontroller

Nationell Patientöversikt. - Beskrivning och tjänstespecifika villkor

BILAGA 3 Tillitsramverk Version 0.8

Guide för behörighetssystemet i Matilda

IT-riktlinjer Nationell information

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Dyna Pass. Wireless Secure Access

Paraplysystemets säkerhet och ändamålsenlighet

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Gallrings-/bevarandetider för loggar i landstingets IT-system

tisdag 8 november 11

Manual. It s learning. Målgruppen: externa utförare inom Vård och Omsorg

Använda Google Apps på din Android-telefon

EBITS Energibranschens IT-säkerhetsforum

Allmänna villkor för infrastrukturen Mina meddelanden

Introduktion till protokoll för nätverkssäkerhet

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

LEX INSTRUKTION LEX LDAP

Metoder för verifiering av användare i ELMS 1.1

Identity Management för Microsoft

Informationssäkerhetspolicy

BILAGA 1 Definitioner Version: 2.01

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Handledning i informationssäkerhet Version 2.0

Innehåll 1(14) Granskningsdokumentation

Guide - Självbetjäningsportalen

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Vetenskapsrådets informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

HUR VI ANVÄNDER SOCIALA MEDIER

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Granskning av generella IT-kontroller för PLSsystemet

SÄKERHETSLÖSNINGAR BANK OCH FINANS

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 7C Leveranser från GSIT 2.0- leverantören Dnr: /2015 Förfrågningsunderlag

Uppdaterad Dataskyddspolicy

Elektronisk remiss. Beskrivning och tjänstespecifika villkor

ISA Informationssäkerhetsavdelningen

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

komvux Senast uppdaterad, juni 2017 CSN nr 1400A/1706

Instruktion för integration mot CAS

BILAGA 1 Definitioner Version: 2.02

5. TJÄNSTEPRODUKTION. Tjänsteföretag. Sammanfattande bedömning. Gör ni ordentlig beredning inför tillverkningen av nya eller ändrade produkter?

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

BILAGA 1 Definitioner

ETT fönster mot informationen visionen tar form

Hantering av behörigheter och roller

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Styrning av behörigheter

Bilaga 8D Tjänster för Stadens Pedagogiska Verksamheter

4. Lösenordens brister

Överblick IAM. Stefan Thoft. Projektledare IAM

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

AMS utbetalning av statsbidrag till arbetslöshetskassorna

Snabbstartsguide. PC, Mac, ios & Android

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Lösenord och ditt Axxell IT-konto

Migrera från KI Box till KI Cloud

Introduktion av Quality Works 3.0

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Transkript:

Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

.SE

Om mig Monika Ann-Mari Eklund Lövinder Amel 570926-4-barnsmamma Bostadsrättsinnehavare Kattägare Ledamot i SNUS styrelse Ledamot i CENTR:s BoD Medlem i SIG Security Medlem i Dataföreningen ICA-medlem Coop-medlem Hemköps-medlem Kicks-medlem H&M-medlem Bankkund IKEA Family-medlem Medlem i Åhléns-klubben Medlem hos Stadium Medlem i Viking Club Prenumerant hos DN Biblioteksbesökare Landstingsklient Kund på Saga Konto på Svenska Spel Konto på ATG Kund hos Twilfit Gift Frånskild Systemvetare Fil kand Svensk medborgare Åländskt påbrå Använder Facebook Använder LinkedIn Twittrar Säkerhetschef Kvalitetschef Säkerhetsexpert.SE-anställd Trendspanare Domäninnehavare

Vad oroar jag mig för? Rädsla är lidande i förskott, men det finns saker att fundera på

Människor Crowd in Sweden. Photo: Robert Ekegren/Scanpix

Undersökning av PC för alla Fyra av tio kan lösenordet till någon annans mejl. 20 procent förvarar sina lösenord bredvid datorn - på en bit papper. 23 av 34 gav välvilligt bort sitt mest använda lösenord, cirka 67 procent. Nästan alla lösenord hade en personlig koppling till den tillfrågade, lätta att komma ihåg, men därför också lätta att knäcka.

Identitetshantering En normalanvändare inom en större verksamhet har 5-10 lösenord som skall memoreras och kanske bytas med jämna mellanrum. Administrativ personal har ännu fler och personalen på driften har massor. I en stor verksamhet blir hundratals lösenord bortglömda varje dag och byts med mer eller mindre säkra rutiner. Många användare uppfattar inte lösenorden som speciellt känsliga och delar gärna med sig av eller återanvänder dem. Våra lösenord är med andra ord jobbiga, dyra och mycket osäkra.

Identifiering All personal med tillgång till system ska ha en unik identitet. Autentisering innebär att en påstådd identitet verifieras. En person kan styrka sin identitet genom att bevisa innehavet av ett eller flera kreditiv, t.ex. genom att: Veta något (t.ex. ett lösenord) Äga något (t.ex. ett aktivt kort) Vara något (t.ex. ett fingeravtryck).

Information

Behörighet vs. befogenhet Med behörigheter avses tekniska kontroller för styrning av identiteters rättigheter i system och applikationer. Bör lagras centralt i en katalogtjänst, som stödjer ITsystemens behov av verifiering av rättigheter. Befogenhet definieras som den rätt en person har att utföra en operation med stöd av de arbetsuppgifter och det ansvar personen har vid ett givet tillfälle.

Behörighetsadministration Rollbaserade behörigheter bör användas så att inga identiteter tilldelas unika rättigheter. Alla beslut om tilldelning, förändring och spärr av behörigheter bör tas av närmaste chef, uppdragsgivare eller motsvarande. Utgångspunkten är alltid minsta möjliga behörighet för respektive identitet. Tilldelade behörigheter bör granskas regelbundet och efter varje förändring i arbetsuppgifter. Anonyma identiteter ska endast användas då spårbarhet, identifiering och behörighetskontroll upprätthålls på annat sätt.

Lösenordshantering Ställ höga krav på lösenordets styrka. Använd tekniska styrmedel. Lösenord skall aldrig visas, lagras eller överföras i klartext eller annan otillräckligt skyddad form. Lösenord ska inte heller matas in från osäkra terminaler. Fabriksinställda lösenord, standardlösenord och andra allmänt kända lösenord måste ändras.

Finns det behov av IAM-verktyg? Behovet av bra identifieringslösningar har funnits i många år. Idag saknas det enkla och billiga lösningar för tjänsteleverantör som vill utnyttja eid för identifiering av användare i sina respektive lösningar. Befintliga system kräver förutom avtal med certifikatutfärdare även relativt omfattande teknisk infrastruktur.

Finns det behov av IAM-verktyg? I en stor organisation kan det ta flera timmar att skapa de konton en nyanställd behöver. Av samtalen till en vanlig supportavdelning rör sannolikt hälften bortglömda lösenord. Då en medarbetare slutar finns oftast inte något samlat register över vilka system en användare har åtkomsträttigheter till och det är lätt att glömma att ta bort användaren ur systemet. De identiteter som skall hanteras är inte bara medarbetares. Det kan också vara kunder, medlemmar i en förening eller boende i en kommun.

Affärsnyttan med IAM-verktyg För att kunna vidareutveckla våra e-tjänster är vi i stort behov av elektronisk identifiering som Är enkel för våra användare (medarbetare eller kunder). Fungerar i många miljöer. Är spridd bland våra användargrupper. Har en förutsägbar kostnad. Kan administreras centralt.

Vad ska ett bra verktyg kunna klara av? Ha stöd för att automatiskt skapa och ta bort konton. Ha funktioner för synkronisering av kontoinformation mellan olika system. Erbjuda kiosklösningar för bortglömda lösenord. Ha stöd för policyhantering. Vara enkelt att använda. Ha anpassningsbart användargränssnitt. Utnyttja befintlig infrastruktur och resurser. Snabbt implementerat. Inte kräva några kostsamma investeringar. Vara flexibelt.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss