Prosjekt oppgave 15E OPPDRAGSREGISTER OG RISIKOANALYSE MED TILTAKSPLAN Utarbeidet av student Irene Husa

SSB, Steffensen & Skaflestad Betongsaging Holder til i Arna, Bergen Har ca. 14 ansatte SSB påtar seg oppdrag i Bergen og omegn. Tjenester og produktene er: betongsaging kjerneboring graving riving maskinriving og manuellriving masseforflytning forskaling og støping transport sprengning asfaltsaging meisling

Problemstilling – dagens situasjon Daglig leder sitt ansvar er å: Gi pris tilbud Ta i mot oppdrag Avtale tidspunkter med oppdragsgivere Fordele oppdrag videre til arbeiderne Sørge for at nødvendig utstyr er tilgjengelig Lage fakturagrunnlag Kunde kontakt Verktøy: MS Word MS Excel Outlook Express Internett Explorer Arbeidsmetode: Kopiering og editering av dokumenter. Diverse lister over kunder, priser, telefonnummer osv. Kunder Oppdrag/forespørsler Oppdrag Utført oppdrag Fakturagrunnlag SSB-Regnskap Faktura Pristilbud

Problemstilling – behov Ett system som kan håndtere Kundeinformasjon Pristilbud Ordreseddel Fakturagrunnlag Produkter og priser Sikkerhet Råd om hvordan SSB kan ivareta system og informasjonssikkerheten på en fornuftig måte. Eventuelt forslag om tiltak som kan bidra til å redusere truslene mot informasjonssikkerheten i bedriften. Ett system som kan bidra til: Tidsbesparende rutiner Bedre oversikt over oppdrag Bedre profilering, samme layout hver gang på faktura grunnlaget. Redusere faren for feil, (samme informasjon som skal registreres flere steder)

Hvorfor denne oppgaven Jeg har tidligere hjulpet SSB med IT-relaterte problemer: Brukerstøtte, råd og veiledninger, drift og oppsett Høsten 2007 kontaktet SSB meg: Kan du lage ett system som kan håndtere: Kunde informasjon, produkter, priser, ordreseddel, fakturagrunnlag Etter litt undersøkelser, konkluderte jeg med at jeg kan lage en løsning for dem. Jeg inngikk følgende avtale med SSB: Jeg lager ett system for dem og jeg gjennomfører prosjektet som en hovedprosjektoppgave ved HiST vårsemesteret 2008. Som en del av hovedprosjektoppgaven skal jeg gjennomføre en risikovurdering av SSB sitt IT-system og de faktorene/truslene som trolig har mest innvirkning på informasjonssikkerheten i bedriften, og foreslå eventuelle tiltak for å redusere truslene. (Ofte ett forsømt område i små bedrifter) Siden dette er ett student prosjekt slipper SSB å betale for løsningen.

Gjennomføring av prosjektet Prosjektet er gjennomført etter fossefallsmetoden og selvsagt hele tiden i tett samarbeid med SSB Forstudiefase Forstudierapport Analysefase Brukerkravrapport Systemkravrapport Prototype Risikoanalyse og tiltaksrapport Design og programmerings fase Program Brukermanual Innføringsfase og forvaltningsfase Systemdokumentasjon Prosjektavslutning Eventuelle revisjoner av dokumenter Presentasjon og sluttrapport

Hvordan problemet ble løst: Forutsetninger og krav Det er ikke aktuelt for bedriften å investere i IT-maskinvare eller programvare hvis det ikke er helt nødvendig. Derfor ble det gitt følgende krav i systemkonstruksjonen: Systemer må kunne installeres på eksisterende utstyr Det må kunne kjøre på Office 2003 Datasikkerheten må i varetas, foreslå tiltak. Valg av løsning: MS Access 2003 Løsningen er to databaser som er koblet: Data.mdb (kun tabeller) SSBOppdragsregister.mdb (spørringer, skjema, rapporter) Risikoanalyse med tiltaksplan for å redusere truslene mot informasjonssikkerheten

Resultat – Oppdragsregister 1. MAI 2008 SYSTEMET ER TATT I BRUK

Resultat – Risikoanalyse, tiltak - Rutine for sikkerhetskopiering Sikkerhetskopiering kan gjennomføres på flere måter og nivåer. Uansett løsning må en ta kopien med seg ut av bygningen. Gjerne ha to enheter som en bytter, slik at det alltid befinner seg en kopi uten for bygningen. Minimumsløsningen: Kun ta kopi av database filene hver dag, kan for eksempel benytte USB minne pinner. Ulempen er at det er kun oppdragsregisteret som blir sikkerhetskopiert. Fordelen er at løsningen er billig og at en USB pinne er enkel å bære med seg. Mer omfattende løsning er å ta kopi av hele arbeidsstasjonen, kan benytte eksterne harddisker. Fordelen er at en får sikkerhetskopi av alle dataene Ulempen er at det er en litt dyrere løsning, og at eksterne harddisker er større å håndtere.

Resultat – Risikoanalyse, tiltak - Opplæring og bevisstgjøring En av de største truslene mot Informasjonssikkerheten i en bedrift er ofte kunnskap hos brukerne og hvordan brukerne håndterer informasjonssikkerheten. Risikoanalysen viser at dette gjelder også hos SSB. Bedriften trenger to typer opplæring, generell IT-opplæring og opplæring på IT-sikkerhet. Opplæringen må minst omfatte to personer (duplisering av kunnskap). Generell IT-opplæring kan gjennomføres med eksterne kurs. Det er mange muligheter, en kan også ta nettkurs gjennom friundervisningen. Datakort bør være en målsetting. IT-sikkerhets kan en sette seg inn i ved hjelp av informasjon på nettet. Der er mange gode nettsteder som har gode råd for hvordan en bør håndtere IT-sikkerhet: www.datatilsynet.no www.norsis.no

Videre arbeid Konventene systemet til MS Office 2007 Optimalisere spørringer, kan de lages enda bedre. Dårlige spørringer kan føre til at systemet blir unødvendig tregt. Utvikle tabellene slik at de tilfredsstiller normalform krav, spesielt tabellene for produkt og produktlinje. Lage flere søk, når systemet blir fylt med mer informasjon vil det bli behov for flere søkemuligheter: Hvilke oppdrag hadde SSB i mai 2008? Hvilke oppdrag har ”Knut” utført?