Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.



Relevanta dokument
Köpguide för mobila växlar. Modern telefoni till företaget är långt ifrån vad det var för bara några år sedan.

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Datum: Version: Författare: Christina Danielsson Senast ändrad:

256bit Security AB Offentligt dokument

Medvetet företagande i en digitaliserad tid

Lathund för tipsare. Vill du lämna information till media? Läs det här först för att få koll på läget.

Appendix E Intervjuanteckningar

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Mobiltjänster. Vi kan smartphones. den nya mobiltelefonin. Telefon:

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Molntjänster och integritet vad gäller enligt PuL?

Skydda din Dropbox med säker kryptering!

IT-Policy Vuxenutbildningen

VPN tjänst för Stockholm Stad

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Data Sheet - Secure Remote Access

installera din trådlösa router. Installationen tar bara en minut.

Vad roligt att ni har valt att bjuda varandra på den här timmen.

installera din trådlösa router. Installationen tar bara en minut.

Så här kommer du igång med din ipad Årskurs 4 och Version

Slutprojekt 2010 Medieinstitutet. Förstudie Hur Icakuriren ska utveckla sin närvaro i sociala medier för att marknadsföra sig på webben

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

MOLNET REDO FÖR TEMA STRATEGISK KUNSKAP OM FÖRETAGSKOMMUNIKATION LÄS MER PÅ TELEKOM IDAG PRESENTERAR

GDPR. General Data Protection Regulation

Outsourcing och molntjänster

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

Säker e-kommunikation

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Manual för Remote Travel användare Hur Ni använder er av CRM RemoteTravel

En telefon. En lösning. Ett smartare sätt att arbeta. Telenor One

Säkerhetskopiera mobilen

Handledning i informationssäkerhet Version 2.0

molntjänster Logga in med ett klick på alla dina LAJKA-GUIDE

"Content is king" - Vacker Webbdesign & Effektiv Sökmotorsoptimering för företag

Säkra trådlösa nät - praktiska råd och erfarenheter

instruktionsmanual till föräldrar

Internet och sociala medier. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef,.se

Modernt arbete kräver moderna verktyg

Universitetet och Datainspektionen i Molnet

Din guide till en säkrare kommunikation

Instruktion: Trådlöst nätverk för privata enheter

WHAT IF. December 2013

Självhjälpsprogram för ADHD. Del 1 Att hitta din väg

Använd molntjänster på rätt sätt

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Guide till effektivare möten. Världen förändras snabbt. Idag kan du och dina medarbetare hålla effektiva möten oavsett var ni befinner er.

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Lumia med Windows Phone

Kryptering. Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin

Säkerhet vid behandling av personuppgifter i forskning

Storegate MOLNTJÄNSTER FÖR MEDVETNA FÖRETAG. Storegate AB, NetPort Science Park, Pirgatan 13, KARLSHAMN, Sverige

Affärsplanen. Affärsidé.

Kryptering. Krypteringsmetoder

Enkel Säkerhetspolicy för Mobila enheter

Köpguide för molntjänster. Hur fungerar det egentligen och vad innebär det för mig?

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

RIV Tekniska Anvisningar Kryptografi. Version ARK_

Det perfekta mötet med politiker och media finns det? 4 februari 2015

Säker hantering av mobila enheter och portabla lagringsmedia

Svenska kyrkan i Linköpings närvaro i Sociala medier. En lathund

En Lathund. om kyrkans närvaro i Sociala medier. för anställda och förtroendevalda i Svenska kyrkan i Linköping

säkrare webbmejl Tipsen som ger dig LAJKA-GUIDE

Krypteringteknologier. Sidorna ( ) i boken

RISKHANTERING FÖR SCADA

Säkerhet. Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

GDPR ur verksamhetsperspektiv

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

SÄKRA UPP OCH ADMINISTRERA DINA MOBILA ENHETER Freedome for Business

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Snabbguide Hemtelefon i mobilen

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Svenskarnas syn på IT-säkerhet

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Hur gör man ett trådlöst nätverk säkert?

LAJKA-GUIDE. Säkrare Facebook. med10 supersmarta tips. 7 Säkrare inloggning utan krångel 7 Stoppa snokande appar 7 Ta kontroll över din tidslinje

LAJKA-GUIDE. Så totalraderar du. din mobil eller surfplatta. 7 Säker utrensning före försäljning 7 Smidigt och enkelt 7 För Android, Iphone och Ipad

Översikt av GDPR och förberedelser inför 25/5-2018

Grundläggande säkerhet för PC, mobil och läsplatta. Joakim von Braun Säkerhetsrådgivare von Braun Security Consultants Senior Net Danderyd

Guide till projektarbetet

Att installera din trådlösa router. Installationen tar bara en minut.

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Policy för användande av IT

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB

Juridik och informationssäkerhet

En unik plattform för förskola och fritids, utvecklad i Sverige

TeamEngine STYRELSEPLATS DELA STYRELSEMATERIALET SMARTARE OCH SMIDIGARE

Sammanfattning av riktlinjer

Handbok för entreprenörer

Systemkrav och tekniska förutsättningar

e-förslag System för ökad medborgardialog

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Benga s tekniska hörna. Så skapar du ett Vista-nätverk :16 - PC för Alla

Riktlinjer för informationssäkerhet

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

BÄTTRE VI-KÄNSLA MED INTRANÄT

Så här kommer du igång med din Chromebook elevdatorn i Årskurs 4

Riktlinjer för informationssäkerhet

Utbildningsförvaltningen. Spånga gymnasium 7-9 [117]

Transkript:

1

Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter så de slipper bära runt på två olika telefoner. Det här är själva grunden till Consumerazation of IT. Vi kan egentligen inte kämpa emot, eftersom organisationer vill ha nåbara och nöjda användare utan vi måste bara lära oss hantera detta på säkraste möjliga sätt. 2

Jo, det grundläggande problemet är att informationen flyttat hemmifrån. Vi är vana att förlita oss på perimeterskyddet, vi fläskar på med brandväggar runt hela företagsnätverket och så förlitar vi oss på att all information håller sig där. Sedan började vi använda USB minnen och våra anstälda började bära med sig dokumenten hem. Därefter kom det telefoner och nu har väll i princip alla en padda? Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. Vi samarbetar även mer och byter information med våra sammarbetspartners. Ett informationsutbyte som numera ses som nödvändigt. Organisationen måste tänka om, tänka om men inte uppfinna om hur den bygger säkerhet. För att använda publika moln måste organisationen förändra hela sin syn på hur man uppnår säkerhet, för att använda privata eller hybridmoln måste den iaf förändra sin säkerhetsarkitektur. 3

Hur får man då koll på sin information? Vår erfarenhet säger att utgångspunkten är att kartlägga vilken information som finns eller ska finnas i systemet. Gör en bedömning om hur skyddsvärd denna information är, tänk på att all information även inom ett system inte behöver ha samma skydd. De flesta system idag kan hantera olika nivåer av skydd, om inte annat så kan man kryptera viss information men inte annan, ha lösenord på viss info och inte annat. Så identifiera vilken information som behöver vilket skydd, så det inte blir för mycket skydd och därmed ofta krångligt, eller för lite skydd och risk för sårbarheter. En annan viktig fråga som inte alltid är så lätt att svara på är vem som äger information i systemet. Speciellt när det gäller informationen som ska hanteras i en molntjänst är det nödvändigt att få med detta i kontraktet. Vad gäller mobila enheter så måste man ha en bra policy, eller regelverk, kring information speciellt om man tillåter BYOD. Vår erfarenhet och även sunt förnuft säger att detta görs bäst av några som känner systemet och informationen däri väl. Man bör även ha med sig några som är vana att göra informationsanalyser och kan vägleda och dokumentera analysen. 4

När man identifierat vilken information som är viktig i systemet är det dags att gå vidare och göra en risk- och sårbarhetsanalys för att utreda vilka hot som finns mot att denna information ska komma fel händer, ändras eller förstöras. Ett tips kan vara att fundera på hoten i olika kategorier, sekretesshot, dvs information ska bara vara tillgänglig för behöriga, integritetshot, viss information är kanske inte hemlig men man vill absolut inte att den ska ändras och tillgänglighetshot, dvs viss information måste vara tillgänglig för vissa personer vid en viss tidpunkt för att de ska kunna utföra sitt jobb 5

I brainstormningfasen ska det få vara högt till tak och fantasin ska flöda vad det gäller risker.

Sedan kommer sannolikhetsbedömningen också in och ser till så man hittar de mest relevantaste riskerna att fokusera på. När man hittat de relevanta riskerna så är det dags att fundera på åtgärder för att dessa ska elimineras eller åtminstone reduceras. Här kommer ofta en stor del av vårt jobb som informationssäkerhetsexperter in. Vi funderar kring olika säkerhetsfunktioner och dess möjligheter för att reducera riskerna. Tillsammans prioriterar man vilka säkerhetsfunktioner som ger lagom skydd. Även här är det nödvändigt att ha med någon som vet var systemet kommer in i helheten och hur informationen ska användas, detta för att göra riskerna och åtgärderna så anpassade till detta specifika system som möjligt. Allt man diskuterar och kommer fram till ska dokumenteras väl så man kan gå tillbaks och se vad som ledde fram till de beslut som togs om vad som ska åtgärdas och vilka säkerhetsfunktioner som ska användas. 7

Har man hittat rätt nivå på de säkerhetsfunktioner man prioriterat att införa har man mycket att tjäna. Lagom säkra system ger trygga och därmed nöjda kunder, inga incidenter skapar en vassare marknadsföring där man kan hålla vad man lovar. Olika lagar reglerar också hur man ska hantera informationen, tex personuppgiftslagen, och dessa blir lättare att följa med väl genomtänka säkerhetsfunktioner. Inte minst viktigt är att man även får trygga och nöjda anställda, de kan lita på att systemet hjälper dem att skydda informationen som behöver skyddas. 8

Det här är Markus, det är som Markus ser ut här som jag vill att ni ska känna er när ni pratar med era molnleverantörer. Han vet att han kan vara lite besvärlig och det vill jag att ni ska våga vara mot era leverantörer också. Det går faktiskt att ställa krav, diskutera säkerhet med leverantören. Ni kan faktiskt fråga leverantörerna hur de uppnår säkerhet i deras system och ni ska förvänta er att de har någon form av svar. Vi måste förklara för molnleverantörerna att det är en konkurrensfördel att svara på den frågan. Cloudsercurityalliance.org innehåller mycket information om vilka krav man kan ställa, kolla under deras STAR. Man ser på Markus att han inte bara nöjer sig med att någon säger att de är säkra, han kommer kräva bevis och om inte han själv får kontrolera så förväntar sig han att i alla fall att en tredje part får göra det. 9

Combitech har jobbat med många olika system, för kunder med väldigt höga säkerhetskrav och så här brukar vi tänka: Information skall skyddas efter dess känslighet Säkerhetslösningar måste vara skalbara och enkla, både för användaren och för administratören. Enheter och system skall kommunicera med öppna, pålitliga och säkra protokoll. Alla enheter och system måste vara kapabla att skydda sig själva, att uppfylla säkerhetspolicyn själva. Upprätta en förtroendemodell, när litar vi på användare/enheter och när gör vi det inte? 10

Access till data skall styras av metaattribut i datat självt, data skall taggas. Data skall alltid vara skyddat under lagring, transport och användning. Federation är antagligen nödvändigt. Använd kryptering. 11

Kryptering, visst är det häftigt?! Med hjälp av en korrekt implementerad krypteringsalgoritm och bra nyckelhantering kan kryptering hjälp dig med bla: Sekretess eller textskydd, dvs att förhindra att obehöriga läser din information, här används ofta en symmetrisk algoritm tex AES då dessa är snabba för stora textmassor. Det är den jag använt här och jag antar att ni inte förstår någonting. Kryptoalgoritmerna kan även hjälpa dig med integriteten, dvs förhindra att obehöriga ändrar i din information, här är det asymmetriska algoritmer, tex ECC, som hjälper till med detta då du med matematikens hjälp kan se om en text har ändrats. Matematiken och asymmetriska algoritmerna hjälper dig även med autentisering, dvs att knyta informationen till en källa. Ofta pratar man om skydd av data vid transmission, eller i rörelse, och skydd av data vid lagring. Metoderna är ofta desamma men man får tänka till vad gäller nyckelhantering. 12

Några konkreta tips vad gäller kryptering och mobila enheter vid transmission: Precis som för web-browsern i datorn så är det viktigt att se till att mobil-browser, och mobilens appar, använder HTTPS vid överföring av känslig data, som autentiseringsuppgifter och kreditkortsuppgifter. Kan du kryptera informationen själv så gör det, men ibland får man lita till andra och då är det HTTPS som ska gälla. För mobila enheter väljer tillverkarna ibland HTTP för att spara bandbredd. Att gå över från HTTPS till HTTP efter själva autentiseringen skyddar inte tillräckligt då det är lätt att ta över den redan autentiserade webbsidan då. Man får också se upp med vilket nätverk som mobilen skickar information med, om den tappar kontakten med det nätverk man tror man valt väljer den något annat. Tex om man sitter på kontoret uppkopplad mot det krypterade företagsnätet och det går ner av någon anledning så byter telefonen kanske till det okrypterade nätverket i caféet på nedervåningen där du surfat en gång tidigare. Användarvänlig som den är sker detta utan att meddela användare i vissa enheter. 13

När det gäller data vid lagring så är kryptering ett viktigt verktyg i både molnet och den mobila enheten där man inte kan lita till företagets perimeterskydd för att skydda informationen. Systemet ska säga välkommen in bara till de som är behöriga. Det man får tänka på är att om man lägger ett krypterat dokument på Dropbox tex så krävs kryptonyckeln för att du ska kunna läsa det. Information som lagras i smarta telefoner, suftplattor, eller för den delen USBminnen som blir stulna är också ett bra exempel på när kryptering behövs. Enligt en artikel i Computer Sweden den 10 januari så kan man inte heller lita på att informationen försvinner vid en fabriksåterställning. Är dock informationen man vill skydda krypterad så blir det mycket svårare att hitta något. Man får också fundera kring vad som händer med din information om den molnfirma du anlitat går i konkurs, vem får då tillgång till din information? Kryptera och behåll nyckeln. 14

Vad ska man då tänka på när man installerar säkerhetsfunktioner med krypteringsalgoritmer? Mina enkla råd är att använda välkända och vältestade algoritmer som är implementerade av välkända leverantörer. Tex innehåller Suite B's, som är amerikanska säkerhetstjänstens NSAs rekommendationer, bra exempel på hur man ska välja. Här rekommenderas bla AES med GCM, ECDSA, ECDH, SHA-256 och SHA-384. En annan bra källa är European Network of Excellence for Cryptology II, som ger ut EUs kryptorekommendationer vad gäller algoritmer och bra parametrar att använda, detta dokument innehåller mycket nyttig information. Det är också viktigt att implementeringen är korrekt gjord och att nyckelhanteringen sköts på ett bra sätt. En certifiering av en oberoende part, tex med hjälp av Common Criteria, kan garantera detta. Eller så tar man hjälp av en säkerhetsexpert. När det gäller mobila enheter så har fler och fler av dem kryptering inbyggt i olika säkerhetsfunktioner, oftast med välkända och bra algoritmer. Använd dem! 15

Vår slutsats är att det går att skydda den information vi behöver skydda vad gäller sekretess, integritet och tillgänglighet. Se bara till att ni tar initiativet och skapar ett lagom skydd till era molntjänster och mobila enheter. Speciellt de av er som har ett ansvar för informationen inom ert företag, och ska skapa trygga och nöjda kunder och medarbetare. Tanken kanske smyger sig på att detta är överväldigande, med tänk på att det inte är allt eller inget som ska skyddas, utan lagom skydd och prioriteringar! Tveka inte att kontakta oss om ni har några frågor eller funderingar angående detta, ni kan även följa oss på twitter: Johan Thulin@thu1e Tina Lindgren@tinli16 och såklart Combitech@combitech 16

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss