Presentation laddar. Vänta.

Presentation laddar. Vänta.

Att identifiera och hantera IT-risker

Publicerades avAgneta Henriksson

Liknande presentationer

En presentation över ämnet: "Att identifiera och hantera IT-risker"— Presentationens avskrift:

1 Att identifiera och hantera IT-risker
Nicklas Lundblad Riskmanagementdagen

2 Föredraget Några exempel på IT-risker idag Att arbeta med IT-risker
Något om framtiden

3 Fråga: Vad är IT-risker?
IT-risker i dag Fråga: Vad är IT-risker? Svar: Alla risker som berör eller följer av användningen av informations- och kommunikationsteknik.

4 Mål med arbetet med IT-risker
Sekretess/Konfidentialitet Kontroll över vem som får access till vad Integritet Kontroll över vem som förändrar vad Tillgänglighet Säker tillgång till informationssystem Spårbarhet Vem har gjort vad?

5 Hur arbetar vi med IT-risker?
Genomför en riskanalys Utforma en informationssäkerhetspolicy Undersök försäkringar och avtal

6 Riskanalys Resursidentifiering. De resurser som skall skyddas måste först identifieras. Vad är det som företaget skall skydda? Hotidentifiering. Vilka hot kan dessa resurser utsättas för? Sannolikhetsuppskattning. Vilken är sannolikheten för att de olika hoten realiseras? Konsekvensanalys. Vad sker om hoten realiseras? (LIS – ISO 17799)

7 Kritiska resurser – några exempel
Kommunikation Webbplats Affärssystem Produktdatabaser Kunddata Med mera!!!

8 Olika IT-sårbarheter Externa hot Interna hot Fysiska hot Tiden

9 Externa hot – exempel Hackers Konkurrenter
Terrorister och främmande makt Virus, maskar m.m.

10 Hackers – hur tänker de? Onel de Guzman
Onel De Guzman: I am not a hacker; I am a programmer. CNN Host: Question from: [There] What do you think a virus writer's motivation is? Onel De Guzman: They want to learn. They want to be creative. Angriparnas psykologi är en viktig del av varje säkerhetsarbete. De bästa informationssäkerhetsexperterna är inte nödvändigtvis gamla crackare, men de vet hur crackare tänker, och hur andra angripare tänker. Här är ett dialog utbyte med Onel de Guzman, som skrev lovebug men inte kunde föras till rätta för att det då inte var olagligt i Filippinerna. Notera att en mycket enkel psykologisk analys ger vid handen att det rör sig om en person som vill upplevas som kreativ, intelligent och seriös – tre saker som vi inte normalt associerar med crackers. Ett svagt ego är sannolikt en stor drivkraft för många av de som arbetar med att bygga virus m.m.

11 Konkurrenter! Vad gör svenska företag på nätet (SCB 2003)

12 Främmande makt Spaningsplansincidenten
Ett exempel på attackmönster som kan vara svåra att förutse är de händelser som följde på att ett amerikanskt spaningsplan tvingades landa i Kina. Incidenten ledde till kraftigt ökade attacker mellan ländernas hackers. Ett låg-intensivt cyberkrig bröt ut. När avtalet som löste incidenten väl var påskrivet slutade attackerna att flöda. De amerikanska enligt rykten pö om pö, men de kinesiska med en gång…

13 Terrorism Irakkriget ”mi2g has noticed a pattern pertaining to politically motivated digital attacks and the mounting threat of war, as research indicates a rise in attacks against the UK and Italy and a decline against France. The UK has risen from the 8th most attacked country worldwide in February 2002 to the rank of 2nd one year later, and Italy has moved up from the 14th position to 4th, while France's ranking plunged from 4th to 16th. Furthermore, the verifiable and successful digital attacks against the U.S. remain at an all time high of 43,802 with the UK at 7,516, Italy at 4,945 and France at 2,920. I samband med irakkriget har vi sett förändringar i attackmönstren som också kan vara svåra att förbereda sig på.

14 Virus m.m. Svagheter i program som gör dem känsla för virus m.m.
Buggar i system Svagheter i kryptografi m.m.

15 Kostnader (Källa: Trend Micro 2004)

16 Virusangrepp

17 Interna hot – några exempel
Anställda Misstag vanliga Medvetet sabotage Före detta anställda Hämndaktioner

18 Ron Rivest problem Usability Security
Ron Rivest, R:et i RSA, menar till och med att detta är det största återstående säkerhetsproblemet. Under en konferens nyligen tog han upp det som en av de sista väghindren på väg mot ett säkrare samhälle. Security

19 De dansande grisarnas dilemma
The user's going to pick dancing pigs over security every time. — Bruce Schneier Bruce Schneier, säkerhetsguru extraordinaire, är mer tydligt skeptisk mot användarna. Han menar att det här är våra fiender: de dansande grisarna. Och varför? Jo i valet mellan dansande grisar och säkerhet så kommer användarna att välja dansande grisar, klicka på bilagor och ladda ned skadlig kod varenda gång (om de inte hejdas).

20 Typiska problem Lösenord på post-it notisar
Nedladdad musik m.m. ”poisoned content” Missad säkerhetskopiering Installerade program som inte är kompatibla Bilagor…

21 Social ingenjörskonst

22 Fysiska hot – några exempel
Brand Stöld Översvämning

23 Hur förvarar du dina säkerhetskopior?

24 Tiden som säkerhetshot
Skyddets styrka Tiden är ett hot rent trivialt eftersom säkerheten blir sämre över tiden. Nya datorer, nya metoder och mer kunskap gör att system som var säkra för femton år sedan inte är säkra i dag. Hur snabbt den processen går är det mycket få som vågar ha en åsikt om, men det kan antas att många lever i den falska tryggheten med gamla system som upplevdes som säkra för två år sedan, men som i dag inte ens klarar av en attack från en finnig fjortonåring. Tid Trygg period Falsk trygghet

25 Patch och hot 331 180 151 25 17 SQL Slammer Nimda Welchia/ Nachi
Sasser 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer 17

26 Information ruttnar! Ett mer komplext problem är att information faktiskt ruttnar. Precis som allt annat. Den säkerhet vi talar om nu är mer fundamental än annan säkerhet, men inte mer oviktig. Vi vet till exempel att många organisationer är närmast kroniskt amnesiska – de har drabbats av minnesförluts kring nästan allt som skedde för fem år sedan. Ingen e-post finns kvar, och inga dokument heller om de inte skrivits ut. Det här är inte bara trist för kommande historiker (som kanske kommer att kalla vår kultur den första skriftlösa efter det att skriften uppfanns), utan också rent rättsligt. Vi har ett ansvar för att säkert förvara och bevara dokument som kan ha ekonomisk eller rättslig betydelse. Ofta mycket längre än fem år.

27 Det långa perspektivet
I det riktigt långa perspektivet kan vi fråga oss hur vi bygger system som kan vara i många, kanske tiotusentals år. En lärdom kan vi dra av Danny Hillis som byggt den klocka som syns på bilden. Klockan går ett varv på tiotusen år, där den står i Kensington Science Museum i London. Hur löste Danny Hillis då problemet med att bygga en klocka som skall gå i tiotusen år? Jo, han byggde en hållbar klocka, men sedan såg han till att den måste dras upp *varje dag*. Om system skall vara länge måste de ha daglig omsorg.

28 Riskanalysens resultat 1
Resurs/Hot Externa Interna Fysiska Tiden Webbplats DoS-attack Misstag som raderar information Brand Inga arkiv E-post Virus Kedjebrev Serverstöld

29 Riskanalysens resultat 2
Kostnad & sannolikhet Resurs/Hot Externa Interna Fysiska Tiden Webbplats DoS-attack Misstag som raderar information Brand Inga arkiv E-post Virus Kedjebrev Serverstöld

30 Riskarbete Kostnad Sannolikhet Förebygg Åtgärda! Acceptera

31 Efter riskanalysen: utforma en informationssäkerhetspolicy
Vad är en policy? Hur utformas en säkerhetspolicy? Formulera Förankra! Kommunicera! Uppdatera!

32 Stöd för riskanalys och policyarbete
Standarder Ex. vis ISO LIS Metoder OCTAVE m.fl. Mjukvara för scenarioanalys Ex.vis SBA Scenario Breda referensgrupper och förankringsarbete

33 En policy bör… …vara övergripande (komplettera med konkreta anvisningar om det behövs) …inte vara för lång och omfattande (två pärmar?) …läsas! …utformas för att hantera och inte eliminera risker …kopplas till anställningen rättsligt

34 Policyns innehåll - exempel
Behörighetsadministration/åtkomststyrning Behörighetskontroll Loggning och spårbarhet Informationsklassning Införande Systemssäkerhetsplan IT-säkerhetsinstruktioner Skydd mot skadlig programkod IT-nätverk (internt) IT-nätverk (externt) Brandväggar E-post Distansarbete och mobildatoranvändning Kontinuitetsplanering Incidenthantering Säkerhetskopiering och lagring Källa: PTS

35 Avtal och försäkringar
Ofta glöms avtalen bort i riskanalysen Vad ansvarar din ISP egentligen för? Försäkringar Ännu en ganska outvecklad marknad

36 Nya risker och säkerhetsutvecklingen
Moln av teknik Ny teknik – nya risker Säkerhetsutvecklingen - trender

37 Ett moln av teknik IT-säkerhetschef
Ett annat exempel på detta är den enorma explosion av bärbar teknik som vi sett de senaste åren. Även inom ett företags perimeter blir det alltså oerhört svårt att kontrollera vad som sker. Ägandeskapet av den teknik som används i företagens system har splittrats: användarna har egna hem-PC, små flashminnen med USB-kontakter, bärbara hårddiskar, klockor med minneskapacitet, telefoner, PDA:s, mp3-spelare m.m.

38 Ny teknik – nya risker

39 Säkerhetsutvecklingen
För det första lever vi med ett nät som tycks bli ständigt mer osäkert. Samverkan mellan ständigt billigare attackmedel och den större skada dessa medel kan orsaka ger ett växande säkerhetsgap. Detta gap är svårt att överbrygga och det är osäkert vad konsekvenserna kommer att bli.

40 Säkerhetsutvecklingen

41 Säkerhetsutvecklingen

42 Slutpunkten? Är det hit vi är på väg? Kanske. När Bruce Schneier kastade ur sig att man snart kommer att kunna stänga av Internet på en webbsida var det visst några som tog honom på orden.

43 Presentationsdata Presentationen finns på http://www.kommenterat.net
Frågor? Tack!

Ladda ner ppt "Att identifiera och hantera IT-risker"

Liknande presentationer

Säkerställd intern styrning och kontroll

Säkerställd intern styrning och kontroll
Ett steg in och en ny start Statliga myndigheters skydd mot korruption

Ett steg in och en ny start Statliga myndigheters skydd mot korruption
Affärsplaner för samhällsentreprenörer?

Affärsplaner för samhällsentreprenörer?
Serverkampanj för mellanmarknaden – genom partnerpresentation: Bild endast för presentatör: visa inte Talare: Partner Presentationens titel: Kraften att.

Serverkampanj för mellanmarknaden – genom partnerpresentation: Bild endast för presentatör: visa inte Talare: Partner Presentationens titel: Kraften att.
En introduktion till Datakommunikation och Säkerhetstänkande

En introduktion till Datakommunikation och Säkerhetstänkande
Aktionsforskning Harriet Axelsson 2006-02-06.

Aktionsforskning Harriet Axelsson
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4

Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Menigo ”Vår kunskap — din framgång”

Menigo ”Vår kunskap — din framgång”
Mjukvara och nätverk Vad är det?.

Mjukvara och nätverk Vad är det?.
Informationssäkerhet i Katrineholms kommun

Informationssäkerhet i Katrineholms kommun
Blogg! 02005-04-21 Nicklas Lundblad. Agenda •Inledning, ordförklaringar och exempel •Bloggar i politiken •Bloggen och samhället •Att leva i bloggosfären.

Blogg! Nicklas Lundblad. Agenda •Inledning, ordförklaringar och exempel •Bloggar i politiken •Bloggen och samhället •Att leva i bloggosfären.
Lösningsfokuserat arbetssätt

Lösningsfokuserat arbetssätt
LSO som verktyg i det kommunala säkerhetsarbetet

LSO som verktyg i det kommunala säkerhetsarbetet
Trafiksäkerhet är en arbetsmiljöfråga! (en avgörande utgångspunkt)

Trafiksäkerhet är en arbetsmiljöfråga! (en avgörande utgångspunkt)
Säkerhet i praktiken – med Windows Server 2003 och XP! Marcus Thorén, MCT, MCSE+Security Security Consultant Nexus Security Consultants Technology Nexus.

Säkerhet i praktiken – med Windows Server 2003 och XP! Marcus Thorén, MCT, MCSE+Security Security Consultant Nexus Security Consultants Technology Nexus.
Torgny.Hallenmark@ldc.lu.se Magnus.Persson@ldc.lu.se Virus och skräppost http://www.ldc.lu.se/ Torgny.Hallenmark@ldc.lu.se Magnus.Persson@ldc.lu.se.

Virus och skräppost
En introduktion till Datakommunikation och Säkerhetstänkande

En introduktion till Datakommunikation och Säkerhetstänkande
Mervärden av internationellt samarbete Vär(l)den i Västerbotten 24 januari 2013 Lisa Hörnström Senior Research Fellow Nordregio.

Mervärden av internationellt samarbete Vär(l)den i Västerbotten 24 januari 2013 Lisa Hörnström Senior Research Fellow Nordregio.
Övergripande inriktning för samhällsskydd och beredskap

Övergripande inriktning för samhällsskydd och beredskap
Intressenter OL108A.

Intressenter OL108A.

Liknande presentationer

Google-annonser