Presentation laddar. Vänta.

Presentation laddar. Vänta.

Att identifiera och hantera IT-risker Nicklas Lundblad Riskmanagementdagen 02004-11-24.

Liknande presentationer


En presentation över ämnet: "Att identifiera och hantera IT-risker Nicklas Lundblad Riskmanagementdagen 02004-11-24."— Presentationens avskrift:

1 Att identifiera och hantera IT-risker Nicklas Lundblad Riskmanagementdagen

2 Föredraget Några exempel på IT-risker idag Att arbeta med IT-risker Något om framtiden

3 IT-risker i dag Fråga: Vad är IT-risker? Svar: Alla risker som berör eller följer av användningen av informations- och kommunikationsteknik.

4 Mål med arbetet med IT-risker Sekretess/Konfidentialitet –Kontroll över vem som får access till vad Integritet –Kontroll över vem som förändrar vad Tillgänglighet –Säker tillgång till informationssystem Spårbarhet –Vem har gjort vad?

5 Hur arbetar vi med IT-risker? Genomför en riskanalys Utforma en informationssäkerhetspolicy Undersök försäkringar och avtal

6 Riskanalys 1.Resursidentifiering. De resurser som skall skyddas måste först identifieras. Vad är det som företaget skall skydda? 2.Hotidentifiering. Vilka hot kan dessa resurser utsättas för? 3.Sannolikhetsuppskattning. Vilken är sannolikheten för att de olika hoten realiseras? 4.Konsekvensanalys. Vad sker om hoten realiseras? (LIS – ISO 17799)

7 Kritiska resurser – några exempel Kommunikation Webbplats Affärssystem Produktdatabaser Kunddata Med mera!!!

8 Olika IT-sårbarheter Externa hot Interna hot Fysiska hot Tiden

9 Externa hot – exempel Hackers Konkurrenter Terrorister och främmande makt Virus, maskar m.m.

10 Hackers – hur tänker de? Onel de Guzman Onel De Guzman: I am not a hacker; I am a programmer. CNN Host: Question from: [There] What do you think a virus writer's motivation is? Onel De Guzman: They want to learn. They want to be creative.

11 Konkurrenter! Vad gör svenska företag på nätet (SCB 2003)

12 Främmande makt Spaningsplansincidenten

13 Terrorism Irakkriget ”mi2g has noticed a pattern pertaining to politically motivated digital attacks and the mounting threat of war, as research indicates a rise in attacks against the UK and Italy and a decline against France.mi2g The UK has risen from the 8th most attacked country worldwide in February 2002 to the rank of 2nd one year later, and Italy has moved up from the 14th position to 4th, while France's ranking plunged from 4th to 16th. Furthermore, the verifiable and successful digital attacks against the U.S. remain at an all time high of 43,802 with the UK at 7,516, Italy at 4,945 and France at 2,920.

14 Virus m.m. Svagheter i program som gör dem känsla för virus m.m. Buggar i system Svagheter i kryptografi m.m.

15 Kostnader (Källa: Trend Micro 2004)

16 Virusangrepp

17 Interna hot – några exempel Anställda –Misstag vanliga –Medvetet sabotage Före detta anställda –Hämndaktioner

18 Ron Rivest problem Usability Security

19 De dansande grisarnas dilemma The user's going to pick dancing pigs over security every time. — Bruce Schneier

20 Typiska problem Lösenord på post-it notisar Nedladdad musik m.m. ”poisoned content” Missad säkerhetskopiering Installerade program som inte är kompatibla Bilagor…

21 Social ingenjörskonst

22 Fysiska hot – några exempel Brand Stöld Översvämning

23 Hur förvarar du dina säkerhetskopior?

24 Tiden som säkerhetshot Skyddets styrka Tid Trygg period Falsk trygghet

25 Patch och hot Sasser Blaster Welchia/ Nachi Nimda 25 SQL Slammer 17

26 Information ruttnar!

27 Det långa perspektivet

28 Riskanalysens resultat 1 Resurs/HotExternaInternaFysiskaTiden WebbplatsDoS-attackMisstag som raderar information BrandInga arkiv E-postVirusKedjebrevServerstöldInga arkiv …

29 Riskanalysens resultat 2 Resurs/HotExternaInternaFysiskaTiden WebbplatsDoS-attackMisstag som raderar information BrandInga arkiv E-postVirusKedjebrevServerstöldInga arkiv … Kostnad & sannolikhet

30 Riskarbete Kostnad Sannolikhet Förebygg Åtgärda! Acceptera Förebygg

31 Efter riskanalysen: utforma en informationssäkerhetspolicy Vad är en policy? Hur utformas en säkerhetspolicy? –Formulera –Förankra! –Kommunicera! –Uppdatera!

32 Stöd för riskanalys och policyarbete Standarder –Ex. vis ISO LIS Metoder –OCTAVE m.fl. Mjukvara för scenarioanalys –Ex.vis SBA Scenario Breda referensgrupper och förankringsarbete

33 En policy bör… …vara övergripande (komplettera med konkreta anvisningar om det behövs) …inte vara för lång och omfattande (två pärmar?) …läsas! …utformas för att hantera och inte eliminera risker …kopplas till anställningen rättsligt

34 Policyns innehåll - exempel Behörighetsadministration/åtko mststyrning Behörighetskontroll Loggning och spårbarhet Informationsklassning Införande Systemssäkerhetsplan IT-säkerhetsinstruktioner Skydd mot skadlig programkod IT-nätverk (internt) IT-nätverk (externt) Brandväggar E-post Distansarbete och mobildatoranvändning Kontinuitetsplanering Incidenthantering Säkerhetskopiering och lagring Källa: PTS

35 Avtal och försäkringar Ofta glöms avtalen bort i riskanalysen –Vad ansvarar din ISP egentligen för? Försäkringar –Ännu en ganska outvecklad marknad

36 Nya risker och säkerhetsutvecklingen Moln av teknik Ny teknik – nya risker Säkerhetsutvecklingen - trender

37 Ett moln av teknik IT-säkerhetschef

38 Ny teknik – nya risker

39 Säkerhetsutvecklingen

40

41

42 Slutpunkten?

43 Presentationsdata Presentationen finns på Frågor? Tack!


Ladda ner ppt "Att identifiera och hantera IT-risker Nicklas Lundblad Riskmanagementdagen 02004-11-24."

Liknande presentationer


Google-annonser