Tar du risken? EFFEKTIV INFORMATIONSSÄKERHET GENOM RISKPERSPEKTIVET

Relevanta dokument
RUTIN FÖR RISKANALYS

Riskanalys och riskhantering

Riktlinjer för informationssäkerhet

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Administrativ säkerhet

Nulägesanalys. System. Bolag AB

Riskhantering. Tieto PPS AH006, , Sida 1

Mall för riskbedömning

Riktlinjer för informationssäkerhet

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Intern kontroll - plan för 2017

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Intern kontrollplan Kultur- och fritidsnämnd

Säker programmering - Java

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Säkerhetspolicy för Västerviks kommunkoncern

Internkontrollplan för stadsbyggnads- och miljönämnden 2013

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Koncernkontoret Enheten för säkerhet och intern miljöledning

RIKTLINJER FÖR SOCIALA MEDIER

RIKTLINJER FÖR SOCIALA MEDIER. Bakgrund. Syfte. Användning av sociala mediekanaler. Ansvar för publicering. Sida 1(5)

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Plan för intern kontroll 2019

Riktlinjer för informationssäkerhet

Riskanalys. Version 0.3

Bilaga 7 Intern kontrollplan 2015

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Metodstöd 2

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Säkerhet i fokus. Säkerhet i fokus

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Vetenskapsrådets informationssäkerhetspolicy

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Dataskyddshandbok för mindre- och medelstora företag

Plan för intern kontroll 2017

Intern kontrollplan Kultur- och fritidsnämnd

Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

Instruktion för riskhantering

Användning av sociala linköpings universitet

Sociala medier+juridik=sant. Lena Olofsson E-delegationen

Säkerhet i fokus. Säkerhet i fokus

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Tillträdeskontroll och säkerhetsbevisning

Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

SÅ HÄR GÖR VI I NACKA

GDPR. General Data Protection Regulation

Säkra trådlösa nät - praktiska råd och erfarenheter

Service och PR via sociala medier i Vellinge kommun

Hur ett aktivt styrelsearbete utvecklar mitt företag. - Hur bedrivs ett framgångsrikt styrelsearbete? Föreläsare

Systemförvaltningshandbok

Nämndledamöters ansvar. Oxelösund

L U N D S U N I V E R S I T E T. Riskanalys och riskhantering

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

UNDERVISNINGSPLAN INTRODUKTIONSUTBILDNING B BEHÖRIGHET NC NUTIDENS TRAFIKSKOLA

Juridik och informationssäkerhet

Riktlinjer för sociala medier

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhet Externt och internt intrångstest

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Åtgärder och aktiviteter

LUNDS UNIVERSITET. Riskanalys och riskhantering

Hantering av osäkerheter

Region Skåne Granskning av IT-kontroller

Staffanstorps kommun. Öppen kommentarsfunktion

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Informationssäkerhetsmånaden 2018

EBITS Arbetsgruppen för Energibranschens Reviderad informationssäkerhet

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Välkommen Expertanvändarträff Siebel och Phoniro

Bilaga Från standard till komponent

Riskanalys till miljönämndens internkontroll Miljökontoret. Rapport

UTBILDNINGSPLAN. Marknadsföringsprogrammet, 180 högskolepoäng. The Marketing Programme, 180 Higher Education Credits

Så här gör du. om du vill genomföra en framgångsrik innovationstävling

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

Stöd för ifyllnad av formuläret för itincidentrapportering

Policy för informationssäkerhet

Plan för riskhantering

Intrångstester SIG Security, 28 oktober 2014

Myndigheten för samhällsskydd och beredskaps författningssamling

Sydkraft AB - Koncern IT

Intensiv nederbörd och hydrologisk risk: mot högupplösta flödesprognoser Jonas Olsson

Intern styrning och kontroll Policy

Praktisk riskhantering en tulipanaros?*

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Frågor att ställa om IK

C A R N E G I E F O N D E R. Mifid II Överlevnadsguide i 6 steg

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Välkomna! FOKUS-seminarium Kompetensbehov och kompetensförsörjning inom informationssäkerhetsområdet

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Säkerhetspolicy för Tibro kommun

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Din personlig cybersäkerhet

POLICY FÖR HANTERING AV ETISKA FRÅGOR

Policy för samt dokumentation av det systematiska brandskyddsarbetet inom Timrå kommun-koncernen

Transkript:

Tar du risken? EFFEKTIV INFORMATIONSSÄKERHET GENOM RISKPERSPEKTIVET

Tar du risken?

Tar du risken?

Tar du risken?

Tar du risken? Innehåll Varför ska man tänka risk? Olika slags riskbegrepp Vad är informationsrisk? Hur kan man arbeta systematiskt med risk? Vem ska göra det och när?

Följer du regler? Väglaget följer inte regler!

Tar du risken? Risk med uppsida Positiv inverkan på våra mål Exempel: lyckad investering Risk med nedsida Negativ inverkan på våra mål Exempel: dataintrång

Tar du risken? Informationsrisk Inte detsamma som projektrisk Potentialen att en specifik händelse inverkar negativt på något av våra säkerhetsmål. Med risk avser vi informationsrisk. Sekretess Riktighet Tillgänglighet

Informationsrisk illasinnad hacker hotkälla tillgång företagets kundregister sårbarhet risk svaga lösenord i affärssystemet

Övning: Är detta en risk? En illasinnad hacker? en hotkälla Känslig finansiell information? en tillgång hotkälla tillgång sårbarhet risk Okrypterad datatransport över oskyddat nät en sårbarhet En illasinnad hacker får del av och säljer vidare känslig information genom att avlyssna oskyddad nätverkstrafik. en risk!

Samma ord olika betydelser hotkälla Risk i dagligt tal vi möter den intuitivt något läskigt något sannolikt risk för regn ofta starkt subjektivt beror av individens riskperception tillgång sårbarhet risk Risk i specifik bemärkelse vi möter den metodiskt representation av osäkerhet kontext och definition inte ett objekt högre grad av objektivitet flera personer ser samma risk

Hantera en risk Identifiera Beskriva Kvantifiera Rapportera Behandla risk

Identifiera en risk Avgränsa systemet Identifiera riskkomponenter hotkälla tillgång sårbarhet risk Vad är skyddsvärt? Vem eller vad kan skada? Vilka brister finns det? Kombinera! Identifiera Beskriva Kvantifiera Rapportera Behandla

Övning: kombinera komponenter a bokslutsrapport som ännu ej publicerats tillgång b publik webbsida c verksamhetskritisk applikation a slarvig testare hotkälla b ohederlig systemadministratör c illasinnad hacker a bristande säkerhetsloggning sårbarhet b standardlösenord i publiceringsmiljö c bristande systematik i acceptanstestning

Beskriva en risk hotkälla Kunna förklara för utomstående tillgång Inget internt fikonspråk risk Få med alla komponenterna Hur går angreppet/missödet till? Vad kan verksamhetskonsekvensen bli? Varför ska någon bry sig? Identifiera En eller ett par meningar Beskriva Kvantifiera Rapportera Behandla sårbarhet

En riskbeskrivning förklara för utomstående inget internt fikonspråk få med komponenterna hur går angreppet/missödet till? vad blir konsekvensen? varför ska någon bry sig? ett par meningar det blir ofta fel i dbc_arcit när erfarna personer inte är med hotkälla tillgång sårbarhet risk

En riskbeskrivning förklara för utomstående inget internt fikonspråk få med komponenterna hur går angreppet/missödet till? vad blir konsekvensen? varför ska någon bry sig? ett par meningar en operatör kasserar av misstag fel media pga dåliga förkunskaper. detta leder till förlust av arkiverad information för system X. hotkälla tillgång sårbarhet risk

Kvantifiera en risk Konsekvens Sannolikhet Är hotkällan motiverad? Finns kompenserande kontroll? När det hänt Hur påverkas verksamheten? Identifiera Beskriva Kvantifiera Rapportera Behandla

Kvantifiera en risk konsekvens låg mellan sannolikhet hög mellan hög hög risk: behandla skyndsamt medium risk: planera behandling låg låg risk: bevaka

Rapportera en risk riskbeskrivning risknivå vilket system/scope? vilka gjorde riskbedömning? när, hur, varför gjordes den? vad har gjorts åt risken? vad är planen? organisation/process varierar kunskap viktigare än formalism hotkälla tillgång sårbarhet risk Identifiera Beskriva Kvantifiera Rapportera Behandla

Behandla en risk Undvika Mitigera Överföra Acceptera välj och motivera en strategi vad behöver göras av vem? följ upp och rapportera Identifiera Beskriva Kvantifiera Rapportera Behandla

Hantera risk i systemet avgränsa rapportera risk behandla bedöma kvalificera

Hantera risk i systemet avgränsa Vad gör vi? Hur går det? När är vi klara? rapportera Vad ingår? Teknik? Process? bedöma Workshop med flera perspektiv Åtgärda risken! behandla kvalificera Feedback från risk/säkerhetsfunkt ion

Vem ska arbeta med risk? kvalitet byggs inifrån riskglasögon hjälper ägarskap och ansvar sourcing en utmaning! risk behöver bli synlig transparens kvalificering ansvaret på rätt nivå

Varför ska vi arbeta med risk? risk finns i varje system kostnadseffektiv säkerhet reglerna ligger alltid efter

Tar du risken? Checklista Genomfört riskworkshop Skapat vår risklista med Avgränsningar Viktigaste riskerna beskrivna och kvantifierade strategi för behandling Fått riskbilden kvalificerad Behandlar risk Rapporterar

Tack! johan.ostman@konsultbolag1.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss