Att identifiera och hantera IT-risker

Slides:



Advertisements
Liknande presentationer
Säkerställd intern styrning och kontroll
Advertisements

Ett steg in och en ny start Statliga myndigheters skydd mot korruption
Affärsplaner för samhällsentreprenörer?
Serverkampanj för mellanmarknaden – genom partnerpresentation: Bild endast för presentatör: visa inte Talare: Partner Presentationens titel: Kraften att.
En introduktion till Datakommunikation och Säkerhetstänkande
Aktionsforskning Harriet Axelsson
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Menigo ”Vår kunskap — din framgång”
Mjukvara och nätverk Vad är det?.
Informationssäkerhet i Katrineholms kommun
Blogg! Nicklas Lundblad. Agenda •Inledning, ordförklaringar och exempel •Bloggar i politiken •Bloggen och samhället •Att leva i bloggosfären.
Lösningsfokuserat arbetssätt
LSO som verktyg i det kommunala säkerhetsarbetet
Trafiksäkerhet är en arbetsmiljöfråga! (en avgörande utgångspunkt)
Säkerhet i praktiken – med Windows Server 2003 och XP! Marcus Thorén, MCT, MCSE+Security Security Consultant Nexus Security Consultants Technology Nexus.
Virus och skräppost
En introduktion till Datakommunikation och Säkerhetstänkande
Mervärden av internationellt samarbete Vär(l)den i Västerbotten 24 januari 2013 Lisa Hörnström Senior Research Fellow Nordregio.
Övergripande inriktning för samhällsskydd och beredskap
Intressenter OL108A.
FÖRETAGSKULTUR KONKURRENSKRAFT.
Mål- och resultatstyrning
SWAMID Identity Assurance Level 1 Profile Granskningsprocess.
Välkomna! 1. Mobilitet i förändring – privatliv och arbetsliv vävs ihop! Johan Andersson Systems Engineer.
Spam/virus-kontroll 1 Spam/virus-kontroll vid Lunds universitet.
Hur ser världen ut - och vad vill ÅAB vara i den? margita vainio
Presens och imperfekt av have. Translate! Jag har huvudvärk. Hon har en röd Volvo. De har två barn tillsammans.
SOA >> Fast Forward Daniel Akenine, Teknikchef Microsoft AB.
För att uppdatera sidfotstexten, gå till menyfliken: Infoga | Sidhuvud och sidfot Fondbolagsträff 2015.
De 6 största hoten mot din PC. 1. Datorns skydd är för dåligt Kolla virusskyddet Kör fullständig virusgranskning emellanåt Ha en endast ETT virusskydd.
Everything you need to manage your digital media ImageVault is everything you need to securely and easily store, find and use all your digital media.
Säkerhetschef/informationssäkerhetschef
IT-säkerhet Gästföreläsning av Christian Ohlsson 2011.
© Anders Ingeborn IT-säkerhetsprojekt Vinnande strategier.
© Anders Ingeborn, Infosec 2000 Penetrationstester Att bryta sig in i andras datorer.
E-handeln och säkerheten Nordisk konferens i rättsinformatik Nicklas Lundblad Stockholms Handelskammare.
Aktionsforskning Harriet Axelsson Teacher Professionalism Content Knowledge Perspectives on Content (science history, theory and education)
Skriftlig individuell uppgift Interaktionsdesign i digitala medier (A.1) HT-2012, 7,5 hp Lärare: Daniel Nylén.
18-21 augusti 2004 Sociala media för statistik Hur kan nationella statistikbyråer utnyttja sociala medier för intern och extern kommunikation? Omvärldsbevakning.
Daniel Nylén, Institutionen för Informatik Organisation 2 C.1 Systemdesign.
Strategisk ekonomistyrning: Föreläsning Professor Fredrik Nilsson Linköping
1 L U N D S U N I V E R S I T E T Forskningsplattform Förnyelse av tjänstebaserade, komplexa system Gunilla Jönson Fredrik Nilsson Lunds Tekniska Högskola.
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
”Ett ledningssystem är ett verktyg för företaget att nå framgång”
Central eposttjänst 1 Central eposttjänst vid Lunds universitet.
Blogg! Nicklas Lundblad. Agenda Inledning, ordförklaringar och exempel Bloggar i politiken Bloggen och samhället Att leva i bloggosfären.
Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker
A Jump for a Sustainable Future ”Jump” and ”Hope” have the same meaning in swedish.
Stoicism: En filosofi för svåra tider
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Läkarnas fortbildning i Primärvården Jönköpings Sjukvårdsområde
 Who frågar efter en persons (eller personers) identitet (vem dem är).  Who is he?  Who are they?  Who is coming?
To practise speaking English for 3-4 minutes Genom undervisningen i ämnet engelska ska eleverna ges förutsättningar att utveckla sin förmåga att: formulera.
“Be” (vara) i presens 1. I 2. You 3. He, she, it 1. We 2. You 3. They.
NOTIS – Ökad arbetslivsanknytning i utbildningen
Presentation Louise Kihlström
Datasäkerhet 1.Skydda informationen – Ändra, förstöras eller kopieras 2.Säkerställa driften – Se till att program, datorer, servrar, nätverk och kommunikation.
Advice from Bronx Best Real Estate Attorney. Jagiani Law office of New York has been successfully working as divorce attorney & Real estate attorney for.
Why you should consider hiring a real estate attorney!
Vad är informationssäkerhet?
Vägledning 5 steg för att följa Dataskyddsförordningen
Säkerhet - Vad ni kan göra
Informationssäkerhet
PNA i framtiden: Vad kan jag förvänta mig och vad kan förväntas av mig
Mall: Konsekvensanalys (digital)
My role model.
You Must Take Marriage Advice to Stop Divorce! Dontgetdivorced.com.
OL108A // Introduktion till projektledning // Samhällsentreprenör
Kunskapsdagar - GDPR.
Presentationens avskrift:

Att identifiera och hantera IT-risker Nicklas Lundblad Riskmanagementdagen 02004-11-24

Föredraget Några exempel på IT-risker idag Att arbeta med IT-risker Något om framtiden

Fråga: Vad är IT-risker? IT-risker i dag Fråga: Vad är IT-risker? Svar: Alla risker som berör eller följer av användningen av informations- och kommunikationsteknik.

Mål med arbetet med IT-risker Sekretess/Konfidentialitet Kontroll över vem som får access till vad Integritet Kontroll över vem som förändrar vad Tillgänglighet Säker tillgång till informationssystem Spårbarhet Vem har gjort vad?

Hur arbetar vi med IT-risker? Genomför en riskanalys Utforma en informationssäkerhetspolicy Undersök försäkringar och avtal

Riskanalys Resursidentifiering. De resurser som skall skyddas måste först identifieras. Vad är det som företaget skall skydda? Hotidentifiering. Vilka hot kan dessa resurser utsättas för? Sannolikhetsuppskattning. Vilken är sannolikheten för att de olika hoten realiseras? Konsekvensanalys. Vad sker om hoten realiseras? (LIS – ISO 17799)

Kritiska resurser – några exempel Kommunikation Webbplats Affärssystem Produktdatabaser Kunddata Med mera!!!

Olika IT-sårbarheter Externa hot Interna hot Fysiska hot Tiden

Externa hot – exempel Hackers Konkurrenter Terrorister och främmande makt Virus, maskar m.m.

Hackers – hur tänker de? Onel de Guzman Onel De Guzman: I am not a hacker; I am a programmer. CNN Host: Question from: [There] What do you think a virus writer's motivation is? Onel De Guzman: They want to learn. They want to be creative. Angriparnas psykologi är en viktig del av varje säkerhetsarbete. De bästa informationssäkerhetsexperterna är inte nödvändigtvis gamla crackare, men de vet hur crackare tänker, och hur andra angripare tänker. Här är ett dialog utbyte med Onel de Guzman, som skrev lovebug men inte kunde föras till rätta för att det då inte var olagligt i Filippinerna. Notera att en mycket enkel psykologisk analys ger vid handen att det rör sig om en person som vill upplevas som kreativ, intelligent och seriös – tre saker som vi inte normalt associerar med crackers. Ett svagt ego är sannolikt en stor drivkraft för många av de som arbetar med att bygga virus m.m.

Konkurrenter! Vad gör svenska företag på nätet (SCB 2003)

Främmande makt Spaningsplansincidenten Ett exempel på attackmönster som kan vara svåra att förutse är de händelser som följde på att ett amerikanskt spaningsplan tvingades landa i Kina. Incidenten ledde till kraftigt ökade attacker mellan ländernas hackers. Ett låg-intensivt cyberkrig bröt ut. När avtalet som löste incidenten väl var påskrivet slutade attackerna att flöda. De amerikanska enligt rykten pö om pö, men de kinesiska med en gång…

Terrorism Irakkriget ”mi2g has noticed a pattern pertaining to politically motivated digital attacks and the mounting threat of war, as research indicates a rise in attacks against the UK and Italy and a decline against France. The UK has risen from the 8th most attacked country worldwide in February 2002 to the rank of 2nd one year later, and Italy has moved up from the 14th position to 4th, while France's ranking plunged from 4th to 16th. Furthermore, the verifiable and successful digital attacks against the U.S. remain at an all time high of 43,802 with the UK at 7,516, Italy at 4,945 and France at 2,920. I samband med irakkriget har vi sett förändringar i attackmönstren som också kan vara svåra att förbereda sig på.

Virus m.m. Svagheter i program som gör dem känsla för virus m.m. Buggar i system Svagheter i kryptografi m.m.

Kostnader (Källa: Trend Micro 2004)

Virusangrepp

Interna hot – några exempel Anställda Misstag vanliga Medvetet sabotage Före detta anställda Hämndaktioner

Ron Rivest problem Usability Security Ron Rivest, R:et i RSA, menar till och med att detta är det största återstående säkerhetsproblemet. Under en konferens nyligen tog han upp det som en av de sista väghindren på väg mot ett säkrare samhälle. Security

De dansande grisarnas dilemma The user's going to pick dancing pigs over security every time. — Bruce Schneier Bruce Schneier, säkerhetsguru extraordinaire, är mer tydligt skeptisk mot användarna. Han menar att det här är våra fiender: de dansande grisarna. Och varför? Jo i valet mellan dansande grisar och säkerhet så kommer användarna att välja dansande grisar, klicka på bilagor och ladda ned skadlig kod varenda gång (om de inte hejdas).

Typiska problem Lösenord på post-it notisar Nedladdad musik m.m. ”poisoned content” Missad säkerhetskopiering Installerade program som inte är kompatibla Bilagor…

Social ingenjörskonst

Fysiska hot – några exempel Brand Stöld Översvämning

Hur förvarar du dina säkerhetskopior?

Tiden som säkerhetshot Skyddets styrka Tiden är ett hot rent trivialt eftersom säkerheten blir sämre över tiden. Nya datorer, nya metoder och mer kunskap gör att system som var säkra för femton år sedan inte är säkra i dag. Hur snabbt den processen går är det mycket få som vågar ha en åsikt om, men det kan antas att många lever i den falska tryggheten med gamla system som upplevdes som säkra för två år sedan, men som i dag inte ens klarar av en attack från en finnig fjortonåring. Tid Trygg period Falsk trygghet

Patch och hot 331 180 151 25 17 SQL Slammer Nimda Welchia/ Nachi Sasser 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer 17

Information ruttnar! Ett mer komplext problem är att information faktiskt ruttnar. Precis som allt annat. Den säkerhet vi talar om nu är mer fundamental än annan säkerhet, men inte mer oviktig. Vi vet till exempel att många organisationer är närmast kroniskt amnesiska – de har drabbats av minnesförluts kring nästan allt som skedde för fem år sedan. Ingen e-post finns kvar, och inga dokument heller om de inte skrivits ut. Det här är inte bara trist för kommande historiker (som kanske kommer att kalla vår kultur den första skriftlösa efter det att skriften uppfanns), utan också rent rättsligt. Vi har ett ansvar för att säkert förvara och bevara dokument som kan ha ekonomisk eller rättslig betydelse. Ofta mycket längre än fem år.

Det långa perspektivet I det riktigt långa perspektivet kan vi fråga oss hur vi bygger system som kan vara i många, kanske tiotusentals år. En lärdom kan vi dra av Danny Hillis som byggt den klocka som syns på bilden. Klockan går ett varv på tiotusen år, där den står i Kensington Science Museum i London. Hur löste Danny Hillis då problemet med att bygga en klocka som skall gå i tiotusen år? Jo, han byggde en hållbar klocka, men sedan såg han till att den måste dras upp *varje dag*. Om system skall vara länge måste de ha daglig omsorg.

Riskanalysens resultat 1 Resurs/Hot Externa Interna Fysiska Tiden Webbplats DoS-attack Misstag som raderar information Brand Inga arkiv E-post Virus Kedjebrev Serverstöld …

Riskanalysens resultat 2 Kostnad & sannolikhet Resurs/Hot Externa Interna Fysiska Tiden Webbplats DoS-attack Misstag som raderar information Brand Inga arkiv E-post Virus Kedjebrev Serverstöld …

Riskarbete Kostnad Sannolikhet Förebygg Åtgärda! Acceptera

Efter riskanalysen: utforma en informationssäkerhetspolicy Vad är en policy? Hur utformas en säkerhetspolicy? Formulera Förankra! Kommunicera! Uppdatera!

Stöd för riskanalys och policyarbete Standarder Ex. vis ISO 17799 - LIS Metoder OCTAVE m.fl. Mjukvara för scenarioanalys Ex.vis SBA Scenario Breda referensgrupper och förankringsarbete

En policy bör… …vara övergripande (komplettera med konkreta anvisningar om det behövs) …inte vara för lång och omfattande (två pärmar?) …läsas! …utformas för att hantera och inte eliminera risker …kopplas till anställningen rättsligt

Policyns innehåll - exempel Behörighetsadministration/åtkomststyrning Behörighetskontroll Loggning och spårbarhet Informationsklassning Införande Systemssäkerhetsplan IT-säkerhetsinstruktioner Skydd mot skadlig programkod IT-nätverk (internt) IT-nätverk (externt) Brandväggar E-post Distansarbete och mobildatoranvändning Kontinuitetsplanering Incidenthantering Säkerhetskopiering och lagring Källa: PTS

Avtal och försäkringar Ofta glöms avtalen bort i riskanalysen Vad ansvarar din ISP egentligen för? Försäkringar Ännu en ganska outvecklad marknad

Nya risker och säkerhetsutvecklingen Moln av teknik Ny teknik – nya risker Säkerhetsutvecklingen - trender

Ett moln av teknik IT-säkerhetschef Ett annat exempel på detta är den enorma explosion av bärbar teknik som vi sett de senaste åren. Även inom ett företags perimeter blir det alltså oerhört svårt att kontrollera vad som sker. Ägandeskapet av den teknik som används i företagens system har splittrats: användarna har egna hem-PC, små flashminnen med USB-kontakter, bärbara hårddiskar, klockor med minneskapacitet, telefoner, PDA:s, mp3-spelare m.m.

Ny teknik – nya risker

Säkerhetsutvecklingen För det första lever vi med ett nät som tycks bli ständigt mer osäkert. Samverkan mellan ständigt billigare attackmedel och den större skada dessa medel kan orsaka ger ett växande säkerhetsgap. Detta gap är svårt att överbrygga och det är osäkert vad konsekvenserna kommer att bli.

Säkerhetsutvecklingen

Säkerhetsutvecklingen

Slutpunkten? Är det hit vi är på väg? Kanske. När Bruce Schneier kastade ur sig att man snart kommer att kunna stänga av Internet på en webbsida var det visst några som tog honom på orden.

Presentationsdata Presentationen finns på http://www.kommenterat.net Frågor? nicklas@skriver.nu Tack!