Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Informasjonssikkerhet på reisen

PublisertÅse Bakken Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Informasjonssikkerhet på reisen"— Utskrift av presentasjonen:

1 Informasjonssikkerhet på reisen

2 Direktoratet for forvaltning og IKT
Om Difi Visjon: utvikle offentlig sektor Digitalisering Anskaffelser Organisering og ledelse 240 Oslo Leikanger Direktoratet for forvaltning og IKT

3 Seksjon for informasjonssikkerhet
Difi etablerte i 2013 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Prioriterte områder i 2014: økt risikoforståelse økt bruk av styringssystemer for informasjonssikkerhet mer systematisk arbeid med sikkerhet i utvikling av digitale tjenester Direktoratet for forvaltning og IKT

4 Direktoratet for forvaltning og IKT
Litt om meg Riksrevisjonen IT-revisor Korttidsrådgiver – kapasitetsbygging av riksrevisjoner i utviklingsland – Malawi og Sør-Afrika Statens vegvesen vegdirektoratet Internrevisjonen Direktoratet for forvaltning og IKT

5 Direktoratet for forvaltning og IKT
Hva er informasjon? Hva er informasjonssikkerhet? Hva er internkontroll? KIT – trusler og sårbarheter Informasjonssikkerhet på reisen Direktoratet for forvaltning og IKT

6 Hva er (digital)informasjon?
Består av data I seg selv har data ofte ingen mening Kan være spredt og komme fra flere kilder Kombineres data og «oversettes» til noe vi forstår, blir det informativt og det kalles informasjon Dessuten: Muntlig og papirbasert informasjon Direktoratet for forvaltning og IKT

7 Direktoratet for forvaltning og IKT
Informasjon har en verdi – ulik informasjon har ulik verdi for ulike personer og organisasjoner Informasjon og informasjonsbehandling har blitt ryggraden i samfunnet og er integrert i nesten alle samfunnsprosesser Direktoratet for forvaltning og IKT

8 Hva er informasjonssikkerhet? 1/2
Sikring av informasjonens Tilgjengelighet Konfidensialitet Integritet Er informasjonen tilgjengelig når vi trenger den? Er informasjonen sikret mot uautorisert innsyn? Er informasjonen sikret mot uautorisert og utilsiktet endring eller manipulering? Direktoratet for forvaltning og IKT

9 Tap av tilgjengelighet og integritet
Betyr at ansatte, ledere og eksterne brukere av virksomhetens tjenester ikke får tilgang til relevant og riktig informasjon. Direktoratet for forvaltning og IKT

10 Tap av konfidensialitet
Gjelder i hovedsak brudd på lovpålagt taushetsplikt eller brudd på virksomhetsinterne føringer om hva som skal unntas offentlighet Direktoratet for forvaltning og IKT

11 Hva er informasjonssikkerhet? 2/2
Ofte motstrid mellom tilgjengelighet og konfidensialitet God informasjonssikkerhet er balansert sikkerhet God informasjonssikkerhet skal være en muliggjører Direktoratet for forvaltning og IKT

12 God (balansert) informasjonssikkerhet
Bidrar til måloppnåelse Sikringstiltak er kostnadseffektive Bidrar til etterlevelse av regelverk Direktoratet for forvaltning og IKT

13 Direktoratet for forvaltning og IKT
Hva er internkontroll? Handler om at ledelsen skal ha tilstrekkelig styring og kontroll for at virksomheten skal nå sine mål Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler Direktoratet for forvaltning og IKT

14 Hvorfor har vi bremser på en bil?
For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko Direktoratet for forvaltning og IKT

15 Alle virksomheter har internkontroll
(i større eller mindre grad) På informasjonssikkerhetsområdet er modenheten lav (internkontrollen er lite repeterbar, ansatte forstår lite av hensikten, osv) God informasjonssikkerhet betinger Ledelsesforankring Sikkerhetskultur Risikoforståelse Direktoratet for forvaltning og IKT

16 Hvorfor internkontroll på informasjonssikkerhetsområdet?
Medvirke til at informasjonsbehandlingen på best mulig måte bidrar til realisering av virksomhetsmålene Dagens bruk av informasjonsteknologi har gjort at tilstrekkelig og balansert sikring av KIT er kritisk for å nå disse målene Direktoratet for forvaltning og IKT

17 Direktoratet for forvaltning og IKT
Trusler Tjenestenektangrep Man in the middle(Wifi, blåtann) Tyveri av utstyr og dokumenter Brukerfeil, både bevisste og ubevisste …. Direktoratet for forvaltning og IKT

18 Direktoratet for forvaltning og IKT
Sårbarheter Mangelfull bevissthet og opplæring Manglende overvåking av systemer, etc Mangelfulle eller manglende retningslinjer, policyer, etc Dårlig kontinuitetsplanlegging Direktoratet for forvaltning og IKT

19 Trusler og sårbarheter
Trusselaktører utnytter sårbarheter. Motivasjon kan være: Personlig gevinst (penger, «cred») Politiske overbevisninger Andre lands etterretning (spionasje) Direktoratet for forvaltning og IKT

20 Direktoratet for forvaltning og IKT
Eksempel Ansatt i Finanstilsynet surfer på åpent Wifi på konferanse Trusselaktør avlytter alle wifi-tilkoblinger ved bruk av egnet programvare Trusselaktør utnytter sårbarhet i nettverkskonfigurasjonen på PCen til den ansatte Trusselaktør får tilgang til børssensitiv informasjon Direktoratet for forvaltning og IKT

21 Direktoratet for forvaltning og IKT
Direktoratet for forvaltning og IKT

22 Direktoratet for forvaltning og IKT
Direktoratet for forvaltning og IKT

23 Hvordan oppnås balansert sikkerhet?
Risikovurderinger Sannsynligheten for at «noe» kan skje Konsekvensene av at «noe» skjer Mange forskjellige metoder, men formålet er å identifisere situasjoner og hendelser som kan true virksomhetens måloppnåelse Hvilken betydning har tap av konfidensialitet for vår måloppnåelse? For brukerne våre? For samarbeidspartnere? Hvilken betydning har tap av tilgjengelighet? Hvilken betydning har tap av integritet? Direktoratet for forvaltning og IKT

24 Direktoratet for forvaltning og IKT
Identifiserte risikoer som er over det nivået ledelsen i virksomheten har bestemt at er akseptabelt, må gjøres noe med Tiltak utformes, planlegges og implementeres Direktoratet for forvaltning og IKT

25 Informasjonssikkerhetstiltak
Pedagogiske Eks opplæring og bevisstgjøring av ansatte Organisatoriske Roller og ansvar Administrative Retningslinjer, prosedyrer, rutiner, veiledninger, etc) Tekniske IKT og andre verktøy Fysiske Bygninger, rom, dører, skap, mv Direktoratet for forvaltning og IKT

26 Direktoratet for forvaltning og IKT
Tiltakene vil (bør) med andre ord reflektere ledelsens risikoappetitt Men… Er tiltakene forståelige og fremstår de fornuftige? Oppleves de som hindre? Spesielt på reisen? Direktoratet for forvaltning og IKT

27 Alle virksomheter har internkontroll
(i større eller mindre grad) På informasjonssikkerhetsområdet er modenheten lav (internkontrollen er lite repeterbar, ansatte forstår lite av hensikten, osv) God informasjonssikkerhet betinger Ledelsesforankring Sikkerhetskultur Risikoforståelse Direktoratet for forvaltning og IKT

28 Informasjonssikkerhetspolicy
Legger rammene for arbeidet med informasjonssikkerhet i virksomheten Bør inneholde krav til ansatte Må ha bevissthet omkring virksomhetens sikkerhetsmål og betydningen disse har for virksomheten Vite hvilken type informasjon man behandler Etterlevelse av krav, retningslinjer, rutiner som gjelder og for arbeidet som utføres Eks. «Retningslinjer for informasjonssikkerhet på reisen» Direktoratet for forvaltning og IKT

29 Direktoratet for forvaltning og IKT
På reisen Situasjonsavhengig hva som er viktig for den enkelte Tilgjengelighet oppleves ofte som avgjørende for at den reisende får utført nødvendige oppgaver Ønsket om tilgjengelighet, og eventuelle brudd på retningslinjene, kan medføre uante konsekvenser «Overdrevent» fokus på konfidensialitet kan samtidig medføre unødvendige kostnader Direktoratet for forvaltning og IKT

30 Direktoratet for forvaltning og IKT
Noen reiseråd 1/3 Hva sier NSM, PST, UD, osv? Tenk gjennom hva slags type informasjon du har med deg Nordmenn er attraktive mål Informasjon har en verdi – hva skjer dersom din informasjonen havner i gale hender? Tenk gjennom hvordan du ellers gjør det på private reiser Direktoratet for forvaltning og IKT

31 Direktoratet for forvaltning og IKT
Noen reiseråd 2/3 Vurdér egne reise-PCer som er «tomme» Kjør ikke oppdatering på PC når du er utenlands, i alle fall ikke dersom du ikke kan stole 100% på kilden Oppdater PC før du reiser Sørg for at virussignaturbasen er oppdatert og at antivirus er AKTIV Brannmur påslått Direktoratet for forvaltning og IKT

32 Direktoratet for forvaltning og IKT
Noen reiseråd 3/3 Gå aldri fra PCen. Lån aldri minnepinner. Lån heller aldri bort minnepinner Skru av Wifi og blåtann på offentlige steder (tlf, nettbrett og PC) Vurdér om PC skal avleveres IT-drift før denne kobles til jobbnettverk når du har kommet hjem Tenk gjennom hva slags informasjon du har med deg. Må alt være med? Sørg for at fjernsletting er aktivert for mobile enheter Direktoratet for forvaltning og IKT

33 Direktoratet for forvaltning og IKT
Dersom ulykken er ute: For all del gi beskjed til rette instans der du jobber! Direktoratet for forvaltning og IKT

34 Direktoratet for forvaltning og IKT
Tenk som en trusselaktør - og forstå hvordan angrep utføres og hva som gjør det mulig, samt hva det kan føre til. Direktoratet for forvaltning og IKT

35 Direktoratet for forvaltning og IKT
Kontaktinformasjon infosikkerhet.difi.no Internkontroll.infosikkerhet.difi.no Direktoratet for forvaltning og IKT

36

Laste ned ppt "Informasjonssikkerhet på reisen"

Liknende presentasjoner

IK-Bygg på web: Formål IK-Bygg web skal bidra til å avdekke avvik i forhold til helse, miljø og sikkerhet. Det stilles strenge krav til hvilken forfatning.

IK-Bygg på web: Formål IK-Bygg web skal bidra til å avdekke avvik i forhold til helse, miljø og sikkerhet. Det stilles strenge krav til hvilken forfatning.
Veiledning i gevinstrealisering ved innføring av elektronisk handel

Veiledning i gevinstrealisering ved innføring av elektronisk handel
Håndtering av problematferd - bruk av konsekvenser

Håndtering av problematferd - bruk av konsekvenser
- Avslutningsseminar prosjekt Fallende gjenstander

- Avslutningsseminar prosjekt Fallende gjenstander
Risikovurdering Systematisk HMS – arbeid dreier seg om mestring av risiko, for å unngå skader og sykdom Mestring av risiko- redusere eller fjerne.

Risikovurdering Systematisk HMS – arbeid dreier seg om mestring av risiko, for å unngå skader og sykdom Mestring av risiko- redusere eller fjerne.
Kan det lages et felles internkontrollsystem i kommunen. Åre

Kan det lages et felles internkontrollsystem i kommunen. Åre
Tips og råd for praktisk kompetansearbeid

Tips og råd for praktisk kompetansearbeid
Styring og ledelse av anskaffelser i din virksomhet

Styring og ledelse av anskaffelser i din virksomhet
Difi-strategien Erfaringer og resultater av strategiprosessen

Difi-strategien Erfaringer og resultater av strategiprosessen
Risikovurdering for e-handelsprosjekt - mal med eksempler

Risikovurdering for e-handelsprosjekt - mal med eksempler
Internkontroll i kommuner

Internkontroll i kommuner
Ledelse i ny organisasjon Innspill til mellomlederne i Levanger kommune 21.09.01 Oddbjørn Vassli KPMG.

Ledelse i ny organisasjon Innspill til mellomlederne i Levanger kommune Oddbjørn Vassli KPMG.
HTV- konferanse 5. – 6. desember 2011

HTV- konferanse 5. – 6. desember 2011
Levende HMS-system – hva betyr det i praksis?

Levende HMS-system – hva betyr det i praksis?
Er farlig avfallsbransjen kvalitetsbevisst nok

Er farlig avfallsbransjen kvalitetsbevisst nok
eksempler på HMS-faktorer:

eksempler på HMS-faktorer:
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt. 2013 Eva Henriksen, Eva Skipenes,

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
«Sammen om Kvalitet» Informasjon om kvalitet, kvalitetssystem og avvikssystem Kurs tillitsvalgte Utdanningsforbundet 23.mai 2013 Kjell Meen, kvalitetssjef.

«Sammen om Kvalitet» Informasjon om kvalitet, kvalitetssystem og avvikssystem Kurs tillitsvalgte Utdanningsforbundet 23.mai 2013 Kjell Meen, kvalitetssjef.

Liknende presentasjoner

Annonser fra Google