Informasjonssikkerhet – en forutsetning for elektronisk forretningsdrift “Sikkerhet i programvareindustrien” Guttorm Nielsen Utviklingsdirektør SuperOffice ASA
SuperOffice •Programvarehus etablert ansatte, 200 MNOK i oms. •Customer Relationship Management (CRM). MS utviklingsmiljø. Horisontal markedsorientering både mhp. teknologi, bransje og bedriftstørrelse. •Ca bedriftskunder, brukere. •470 av Norges største bedrifter benytter SuperOffice. •Ca. 70% eksportandel •Ekstrem fokus på brukskvalitet •All utvikling i Norge (+/- 10% av oms) •IKT-Norge; Daim, Families, Familier •Spesielle utfordringer •Mobilitet •Geografi/teknologi •Nye brukergrupper •Elektronisk handel •Brukskvalitet Award for Usability
LAN WAN WEB Mobilitet og En ny type brukere/programvare
Fra fysisk til elektronisk forretningsdrift KUNDE PORTAL ”e-SELVBETJENING” www ERP Telefon – Møter Brev – Fax SMS - epost ANSATTE ERP APPLIKASJONER K U N D E R CRM Telefon – Møter Brev – Fax SMS - epost ANSATTE CRM APPLIKASJONER Mail CMS PORTAL SERVER
A12358’;delete * from products
Hva er sikkerhet og hvor god kan den være? ”My Home is my Castle” # ”My Business is my customers Palace” # ”My web-sites are my customers Nirvana” #
Karakteristika •Systemere er ikke enten sikre eller usikre, men... •Sikkerhet representerer et bevegelig mål •Det er en sammenheng mellom brukskvalitet og sikkerhet •Det er en sammenheng mellom risiko og sikkerhetsnivå •På samme måte som for begrep som f.eks. ”strategi”, ”integrasjon”, ”politikk” og ”programvareutvikling” trenger vi en definisjon og et metodeverk for å jobbe strukturert med ”sikkerhet”. •Konklusjon: •Vi trenger klare begrepsdefinisjoner •Vi trenger et forbedret metodeverk
Begrepsapparat GjenstandNoe av verdi som er verdt å beskytte. TrusselEn trussel mot en gjenstand. SvakhetEn svakhet i beskyttelsen av en gjenstand som en trussel kan utnytte (sikkerhetshull). SannsynlighetSannsynligheten for at en trussel inntreffer innenfor et tidsintervall. KonsekvensKonsekvensen, d.v.s. kostnaden, ved at en trussel inntreffer. MottiltakTiltak som settes i verk for å redusere risiko. Risiko = Konsekvens x Sannsynlighet
Risikoen sin størrelse •Konsekvens - måles i verdi [kr] •Sannsynlighet – sannsynlighet innenfor et tidsintervall [1/år] •Risiko – kan måles i verdi/tid [kr/år] •Det er vanskelig å estimere kostnaden ved at en trussel inntreffer: •Hva er verdien til alle SuperOffice’ kunders kundedata? •Det er like vanskelig å estimere sannsynligheten for at disse dataene blir utsatt for en trussel: •Hva er sannsynligheten for at en trussel inntreffer mot noe av disse dataene neste år? •Vet disse kundene om noen av dataene ble utsatt for en trussel i fjor? •Hvis de visste det, ville de fortelle oss om det?
Forenklet risiko •Det er ofte enklere å definere en skala og legge betydning i verdiene •Definer hvilke verdier som er •Aksepterbare •Bør adresseres •Er uholdbare
Redusering av risiko •Risiko blir redusert av mottiltak. •Ha et bevisst forhold til hva man ønsker å oppnå med et mottiltak og vurder alternativene. •Redusere konsekvensen: •Gjøre det mulig, eventuelt mindre kostbart, å reparere skaden vha logging. •Redusere verdien på gjenstanden eller bytt den ut med en like funksjonell gjenstand med lavere verdi. •Overføre kostnaden til noen andre vha forsikring eller outsourcing. •Redusere sannsynligheten •Beskytte gjenstanden bedre og introduser flere barrierer. •Begrens sikkerhetshull etter hvert som de blir kjent. •Monitorer hva som skjer så man oppdager nye sikkerhetshull.
Bedrftens Visjon og Mål
SuperOffice Solution Universe Integrated Solutions
Å eie data forplikter...
Bedre integrasjonsverktøy og nye brukergrupper CRM 5 for Windows CRM 5.web SuperOffice CRM 5 Database Bedriftens ansatte Kunder Partnere Leverandører Besøkende SuperOffice NetServer WebServices / XML Ansatt portal Intranet Kundeportal / Partnerportal Hjemmesider Add-ons EAI Systemer