Rettighedsstyring i federeret miljø. Jesper Gerved

Størrelse: px
Starte visningen fra side:

Download "Rettighedsstyring i federeret miljø. Jesper Gerved"

Transkript

1 Rettighedsstyring i federeret miljø Jesper Gerved Kongens Lyngby 2008

2 Technical University of Denmark Informatics and Mathematical Modelling Building 321, DK-2800 Kongens Lyngby, Denmark Phone , Fax

3 Abstract Technologies such as web services and SOA have contributed to the development of information technology (IT), making integration of IT systems across organisations significantly easier in terms of implementation. As a result, a number of barriers relating to the establishment of cross-disciplinary systems have been broken down. The increased possibilities of cooperation across several organisations and system interaction, however, give rise to new security related issues, since the need for strong management of rights across IT systems also increases. Accordingly, an access control model is needed which is easily integrated across company boundaries while also being suited for handling systems far more dynamic than previously. The security level should suffer no consequences, though, considering that the increased interaction at the same time increases the need for protection of confidential data. In order to establish which model would be best suited for handling rights, this project has, on the basis of two very different approaches, the role based (RBAC) and the attribute based (ABAC), performed a theoretical assessment of which model best supports contemporary and, in particular, future needs. As a basis for the assessment, a detailed technical review has been performed for each of the two models of the most common scenarios in connection with use of an access control model. The review illustrates the theoretical advantages to using the mindset behind ABAC as opposed to the more traditional RBAC. It is, however, also evident that with ABAC representing a relatively new way of thinking, documentation of this approach is far more incomplete than that of RBAC. In the report, it is concluded that ABAC is better suited for access management across numerous organisations and that ABAC supports the flexibility and dynamics necessary for technologies such as SOA and web services - at least if an optimal situation is desired. Still, ABAC remains a new model, and practical experience is limited. Additionally, from my work in PricewaterhouseCoopers, I have learned that in connection with actual implementation, certain issues may arise which are not always apparent in relation to a theoretical review. This means that the ABAC approaches may have to be employed in an adjusted form, and in this connection it may be a good idea to combine the mindsets behind RBAC and ABAC. In closing, suggestions have been made in terms of further research which can be performed in support of and as a test of the results of this report. iii

4 Resume Teknologier som web-services samt SOA-begrebet har været medvirkende til at udvikle informationsteknologien, så integrering af it-systemer på tværs af organisatorisk skel er blevet væsentligt simplere at implementere. Dette har nedbrudt en række barrierer vedrørende etablering af tværgående systemer. De øgede muligheder for samarbejde på tværs af flere organisationer samt systemmæssig interaktion medfører dog også nye sikkerhedsmæssige problematikker, da behovet for en stærk styring af rettigheder på tværs af it-systemerne øges. Derfor er der behov for at finde en rettighedshåndteringsmodel, som er nem at integrere på tværs af virksomhedsgrænser, samtidig med at den er velegnet til at håndtere systemer, der er langt mere dynamiske end tidligere. Sikkerhedsniveauet skal dog være uændret, da den øgede interaktion medfører øget behov for beskyttelse af fortrolige data. For at finde frem til, hvilken model der bedst udfører rettighedshåndteringsopgaven, har dette projekt på grundlag af to vidt forskellige tilgange - den rollebaserede (RBAC) samt den attributbaserede (ABAC) - foretaget en teoretisk evaluering af, hvilken model der bedst understøtter tidens og ikke mindst fremtidens behov. Som grundlag for evalueringen er der for hver af de to tilgange foretaget en detaljeret teoretisk gennemgang af de mest almindelige scenarier i forbindelse med anvendelse af en rettighedshåndteringsmodel. Gennemgangen viser fordelene ved at anvende tankegangen bag ABAC frem for den mere traditionelle RBAC, men det fremgår ligeledes, at ABAC er en forholdsvis ny tankegang, og at dokumentationen af denne derfor er langt mere ufuldstændig end dokumentationen af RBAC. Rapporten konkluderer, at ABAC er bedre egnet til rettighedsstyring på tværs af flere organisationer samt understøtter den fleksibilitet og dynamik, teknologier som SOA samt web-services efterspørger. ABAC er dog fortsat en ny model, og praktisk erfaring er en mangel. Fra mit praktiske arbejde hos PricewaterhouseCoopers har jeg ydermere fået indsigt i, at der i forbindelse med en faktisk implementering kan være nogle problemstillinger, som ikke umiddelbart kommer til udtryk i forbindelse med en teoretisk gennemgang. Dette betyder, at der kan være behov for at anvende ABAC-tilgange i en lettere tilpasset form. I den forbindelse kan det være en idé at kombinere tankegangen bag RBAC og ABAC. Afslutningsvis er der opstillet forslag til yderligere research, der kan foretages for at underbygge samt afprøve denne rapports resultater. iv

5 Forord Dette projekt er udført som afsluttende eksamensprojekt på civilingeniørstudiet på Danmarks Tekniske Universitet. Projektet er udført ved Institut for Informatik og Matematisk Modellering, Computer Science & Engineering - Safe and Secure IT Systems under vejledning af Christian D. Jensen. Projektets omfang repræsenterer 40 ECTSpoint og er udført i perioden fra den 9. november 2007 til den 4. juli Jeg vil meget gerne benytte lejligheden til at takke min vejleder, Christian D. Jensen, for deltagelse i dette projekt og ikke mindst for gode råd og vejledning undervejs i processen. Derudover vil jeg gerne rette en stor tak til mine kollegaer hos PricewaterhouseCoopers, for værdifuld vejledning samt korrekturlæsning. Kongens Lyngby, den 4. juli 2008 Jesper Gerved s v

6 Læsevejledning I rapporten er der anvendt fagudtryk og forkortelser. Forkortelserne introduceres første gang sammen med det udtryk, de forkorter. Fagudtrykkene derimod defineres kun i begrænset omfang, da læserne af dette projekt formodes at have grundlæggende kendskab til emnet og herved kendskab til de mest grundlæggende begreber. I forbindelse med Der er benyttet opløftede tal ( 1 ) som henvisning til fodnoter, der vises nederst på den aktuelle side. Fodnoterne er primært anvendt til at angive det engelske udtryk i de tilfælde, hvor der har været usikkerhed omkring, hvorvidt den anvendte oversættelse er alment kendt. Der er ligeledes anvendt tal i kantede parenteser [1] eller [1 - afsnit x], hvor [1] henviser til litteraturlisten bagerst i rapporten mens [1 - afsnit x] tilsvarende henviser til litteraturlisten, men blot samtidig angiver mere eksakt hvilket afsnit i den pågældende kilde der henvises til. Rapporten er overordnet inddelt i seks kapitler med tilhørende underafsnit: Kapitel 1 Den grundlæggende problemstilling beskrives, hvorefter der foretages en afgrænsning af projektet. Ydermere beskrives fremgangsmåden for det udførte arbejde, hvor bl.a. brugen af kilder gennemgås i en kildekritik. Kapitel 2 Der stilles skarpt på behovet for it-sikkerhed, hvor fokus er på de elementer, som er vigtige i forbindelse med dette projekt om rettighedsstyring. Kapitel 3 Der fokuseres på den udvikling, som er sket i virksomhederne, teknologien samt den gældende lovgivning gennem de seneste år. Denne beskrivelse indikerer, hvilke elementer en god rettighedsstyringsmodel bør understøtte og kridter herigennem banen op for den afsluttende evaluering. Kapitel 4 Den rollebaserede adgangskontrolmodel (RBAC) 1 beskrives i grundlæggende termer. Ydermere fokuseres der på, hvordan denne model anvendes samt vedligeholdes i praksis. 1 På engelsk: Role-Based Access Control vi

7 Kapitel 5 Den attributbaserede adgangskontrolmodel (ABAC) 2 beskrives i grundlæggende termer. Ydermere fokuseres der på, hvordan denne model anvendes samt vedligeholdes i praksis. Kapitel 6 Den rollebaserede model (RBAC) fra kapitel 4 samt den attributbaserede model (ABAC) fra kapitel 5 evalueres op mod hinanden med udgangspunkt i den udvikling, som er beskrevet i kapitel 3. Kapitel 7 Projektets konklusion beskrives. Ydermere foretages en perspektivering samt gives forslag til supplerende arbejde, som kan udføres for en endnu mere dybdegående forståelse af den valgte model. God læselyst! 2 På engelsk: Attribute-Based Access Control vii

8 Indhold Side Abstract Resume Forord Læsevejledning iii iv v vi Kapitel 1 Indledning Problemfelt Problemformulering Afgrænsning Metode Baggrundsinformation Modelbeskrivelse Evaluering Kildekritik 4 Kapitel 2 Sikkerhed i IT-systemer Rettighedsstyring Adgangskontrol Klassiske adgangskontrolmodeller Indførelsen af en abstraktionsmodel 10 Kapitel 3 It til forretningsunderstøttelse Business-driver Kunderne Samarbejdspartnerne 15 viii

9 3.1.3 Medarbejderne Backoffice Sammenfatning Teknologi-driver Autentifikation på tværs af organisationer SOA Sammenfatning Compliance-driver Sarbanes-Oxley DS Sammenfatning 24 Kapitel 4 RBAC Arkitektur NIST RBAC Basis RBAC Hierarkisk RBAC Statisk funktionsadskillelse Dynamisk funktionsadskillelse Anvendelsen af RBAC-model Modeladministration Rettighedsadministration Kontrol og opfølgning 40 Kapitel 5 ABAC Arkitektur Yuan og Tongs ABAC-model Definition af attributter Valg af attributter Regelsæt Anvendelsen af ABAC-model Modeladministration 45 ix

10 5.3.2 Rettighedsadministration Kontrol og opfølgning 49 Kapitel 6 RBAC vs. ABAC Kortlægning af model på tværs af organisationer Administration Administrationens placering Tilpasning til ændringer Minimering af fejl Tidsmæssige besparelser Forskellige adgangsbehov Nuanceret adgangstildeling Ukendte adgangsbehov Efterlevelse af compliancekrav Funktionsadskillelse Uafviselighed 58 Kapitel 7 Konklusion Perspektivering Delvis ABAC implementering Eksempel på delvis ABAC implementering Fremtidssikring Forslag til videre arbejde 61 Litteratur 63 x

11 Figurer Side Figur 1.1 Model- og rettighedsadministration 4 Figur 2.1 Forholdet mellem fortrolighed, integritet og tilgængelighed [24]. 6 Figur 2.2 Adgangskontrolforløb [13 - figur 4.2]. 8 Figur 2.3 Tildeling af rettigheder direkte til brugerne. 10 Figur 2.4 Abstraktion vha. roller. 11 Figur 2.5 Tildelinger af rettigheder direkte til brugerne. 12 Figur 2.6 Tildeling af rettigheder til brugerne via roller. 13 Figur 3.1 Værdikæde med interessenterne i mælkeproduktion. 16 Figur 3.2 Interessenternes adgange til virksomhedens it-systemer 18 Figur 3.3 Kontrolmiljø. 21 Figur 3.4 Compliance vejviser [16 - figur 6] 22 Figur 4.1 RBAC-arkitektur. 25 Figur 4.2 Referencemodellens opbygning jf. [10 - figur 7] 26 Figur 4.3 RBAC-relationer jf. [9- figur 1.3]. 27 Figur 4.4 RBAC-tildelingsmuligheder. 27 Figur 4.5 Basis RBAC jf. [10 - figur 1]. 28 Figur 4.6 Hierarkisk RBAC. 29 Figur 4.7 Livscyklus for model. 31 Figur 4.8 Elementer som skal kombineres ved indførelse af RBAC-model. 32 xi

12 Figur 4.9 Livscyklus for ansættelsesperiode. 34 Figur 4.10 Rettighedsadministrationsproces ved ansættelse og reorganisering. 35 Figur 4.11 Rettighedsadministrationsproces ved systemændring. 37 Figur 4.12 Rettighedsadministrationsproces ved indførelse af nyt system. 38 Figur 4.13 Rettighedsadministrationsproces ved orlov samt pensionering. 39 Figur 4.14 Rettighedsadministrationsproces ved afskedigelse. 40 Figur 5.1 ABAC-arkitektur. 42 Figur 5.2 ABAC-Rettighedsadministrationsproces. 47 xii

13 Kapitel 1 Indledning Et af de vigtigste aktiver, i de fleste virksomheder så snart de når en vis størrelse, er itsystemerne. Dette skyldes, at it-systemer er velegnet (til at placere) som et centralt element, der binder virksomhedens forskellige aktiviteter sammen. Denne udbredte anvendelse af it, har den effekt, at den kan understøtte centrale forretningsprocesser, så de relevante medarbejdere ved brugen af it, kan udføre deres del af forretningsprocessen. At it anvendes til at understøtte forretningsprocesser medfører, at virksomhedernes forretningsdata er placeret på it-systemerne. Det er derfor nødvendigt at sikre it-systemerne mod eksterne såvel som interne trusler. En af de mest fundamentale mekanismer til beskyttelse af it-systemer er anvendelsen af adgangskontrol. Anvendelsen af adgangskontrol på it-systemer er et begreb, der har eksisteret i flere årtier. Der er dog med tiden sket en modning af adgangskontrollen, idet der er blevet introduceret modeller der nemt og hurtigt kan tildele nuancerede adgangsrettigheder [9 - afsnit 1]. Der har gennem årene været foreslået samt anvendt forskellige adgangskontrolmodeller. Men siden starten af 1990 erne har anvendelsen af roller som abstraktion i forbindelse med håndtering af adgangsprivilegier, været meget omdiskuteret i litteraturen [9 - afsnit 1]. Begrebet rollebaseret adgangskontrol (RBAC) blev beskrevet første gang af Ferraiolo & Kuhn i 1992 [8]. Siden har flere forfattere ytret sig om netop dette emne [8], [9], [10], [14], [18], [21], [26], [27]. Tankegangen bag RBAC anvendes i mange systemer, men typisk i en tilpasset og mere lempelig form, da RBAC i nogle tilfælde er for omfattende og besværlig at implementere i dens fulde form. I de seneste år er der dog igen kommet fokus på adgangskontrolmodeller, da virksomhedernes øgede samarbejde på tværs af organisationer samt introduktionen af den serviceorienterede arkitektur 3 (SOA). Målet er en fælles SOA-begrebsmodel [19], [32], og betyder, at der er identificeret en række uhensigtsmæssigheder ved RBAC. 1.1 Problemfelt Problemfeltet for dette speciale, bygger på den udfordring der er forbundet med at håndtere brugers rettigheder i it-miljøer, der går på tværs af organisatoriske skel. Det er vigtigt at tildele brugerne de rettigheder som skal til, for at de kan udføre deres arbejde. Samtidig er det også vigtigt at holde et højt it-sikkerhedsniveau, hvilket kan opnås ved, 3 På engelsk: Service-Oriented Architecture 1

14 at den enkelte bruger får så få rettigheder som muligt, dog uden at blive hæmmet i udførelsen af sit job. Samarbejde på tværs af organisationer er langt mere udbredt end tidligere, hvor der i det offentlige f.eks. er behov for information hos andre offentlige instanser, for at kunne træffe de nødvendige afgørelser. Dette har øget udfordringen i at håndtere brugernes rettigheder, idet adgangen til hinandens systemer betyder, at der er behov for, at it understøtter en fælles rettighedshåndtering. Den rollebaserede tilgang til rettighedshåndteringen er ikke umiddelbart velegnet til denne situation, da virksomhederne i fællesskab skal finde en struktur, som passer på tværs af alle de implicerede virksomheder. Dette er yderst vanskeligt grundet virksomhedernes forskellige interne strukturer. Et af de nye alternativer til den rollebaserede tilgang (RBAC), er den attributbaserede tilgang (ABAC), som via sin arkitektur undgår problemstillingen om struktureringen af roller på tværs af flere organisationer. Der er yderligere udfordringer forbundet med at udføre rettighedsstyring, hvor introduktionen af SOA og en fælles SOA-begrebsmodel er en indikation af, at der er behov for en dynamisk og fleksibel rettighedsstyringsmodel [19], [32]. Fokus for dette projekt vil derfor være at undersøge, hvilken model der bedst muligt løser de udfordringer, som virksomhederne står overfor Problemformulering Hvilken af rettighedstildelingsmodellerne RBAC og ABAC understøtter bedst en sikker og pålidelig tildeling af rettigheder, i et miljø som spænder flere organisationer? Afgrænsning Der er i litteraturen forskellige rettighedstildelingsalternativer, men de generelle tendenser peger i retning af modeller, hvor man enten støtter sig til anvendelsen af roller i form af RBAC eller anvendelsen af attributter i form af ABAC. Dette er to modeller, som er meget forskellige og derfor interessante at sammenligne, da de håndterer tingene vidt forskelligt. Baseret på ovenstående vil projektet kun fokusere på disse to modeller, men da der findes flere forskellige fortolkninger af henholdsvis RBAC og ABAC, tager projektet udgangspunkt i NIST s RBAC-standardiseringsforslag [10] samt Yuan og Tongs beskrivelse af ABAC [33]. Begrundelsen for at tage udgangspunkt i netop disse to modeller fremgår af afsnit 1.3, omhandlende kildekritik. Projektets fokus ville være på at evaluere tankegangen bag de to modeller, frem for de små spidsfindige detaljer. 2

15 1.2 Metode For en få en dybere forståelse af dette projekt, kan det være relevant at beskrive opdeling af den resterende del af rapporten. Rapporten er overordnet set opdeles i tre: Baggrundsinformation Modelbeskrivelse Evaluering Hvor det selvfølgelig er beskrivelsen af modellerne samt den efterfølgende evaluering, som danner grundlag for besvarelse af problemformuleringen Baggrundsinformation For at danne et grundlag for beskrivelsen af de valgte modeller er der nogle grundlæggende ting, som skal på plads, såsom forklaring af hvorfor man i det hele taget skal beskæftige sig med rettighedsstyring, begrebet adgangskontrol samt fordelene ved at anvende en abstraktionsmodel. Disse elementer bliver beskrevet i kapitel 2 Sikkerhed i itsystemer. Kapitel 3 It til forretningsunderstøttelse giver også en form for baggrundsinformation, da det beskriver den udvikling, der sker af virksomhedernes struktur samt arbejdsfacon. Endvidere er lovgivningsændringer samt den teknologiske udvikling afgørende faktorer i virksomhedernes arbejdsgange. Kapitlet indikerer, at der er sket meget, siden RBAC blev introduceret i 90 erne, og beskrivelsen fokuserer på de elementer, som bør have indflydelse, når der skal foretages et valg af rettighedsstyringsmodel. Kapitel 3 It til forretningsunderstøttelse er derfor med til at indikere, i hvilken retning udviklingen bevæger sig, hvilket medfører, at kapitlet bliver centralt for evalueringen af RBAC- og ABAC-modellerne Modelbeskrivelse Da der, som beskrevet i afsnit 1.1.2, er flere forskellige fortolkninger af de to adgangskontrolmodeller, vil kapitlerne 4 og 5 indeholde en beskrivelse af de fortolkninger, som er brugt som grundlag for dette projekt. Den grundlæggende beskrivelse af modellerne er selvfølgelig vigtig for dette projekt, men mere relevant er det at undersøge, hvordan modellerne finder anvendelse, da dette er grundlaget for evalueringen af modellerne. For at danne grundlag for en god evaluering er modellernes forskellige anvendelsesmuligheder beskrevet ud fra følgende fire kategorier: Modeladministration Rettighedsadministration Kontrol og opfølgning For bedre at kunne forklare, hvad de to første kategorier dækker over, er det forsøgt illustreret ved hjælp af figur

16 Brugere Model Figur 1.1 Model- og rettighedsadministration Som det fremgår af figur 1.1 har man - uanset om det er RBAC eller ABAC - nogle brugere, som via en model skal tilknyttes nogle rettigheder. Administration, som er forbundet med at indføre, vedligeholde eller slette i den underliggende del af figuren - også kaldet modellen - er det, som beskrives under modeladministrationsafsnittene. Administration i form af indførelse, vedligeholdelse eller afskaffelse af relationerne mellem brugerne og modellen, hvilket er indikeret med røde pile i figuren, beskrives under rettighedsadministrationsafsnittene. I RBAC består denne relation af tilknytningen mellem brugere-roller, mens relationen i ABAC består i at vedligeholde brugernes attributter Der er ifølge lovgivningen også behov for, at der udføres kontrol af, at rettighedsstyringsmodellen afspejler det forventede. Kontrol- og opfølgningsafsnittene vil beskrive, hvordan de to modeller håndterer dette Evaluering Det helt centrale element i denne rapport er at foretage en evaluering af de to modeller, hvilket er udført i kapitel 6. Evalueringens fokus vil være på at afdække, hvilken af de to modeller som bedst kan afspejle virkeligheden, som den ser ud i dag og i fremtiden, hvor den overordnede målsætning må være at kunne varetage rettighedstildeling samt vedligeholdelse så nemt og bekvemt som muligt. Da der i beskrivelsen af modellerne er taget udgangspunkt i de teoretiske modeller og ikke en egentlig implementering, vil evalueringen tilsvarende være teoretisk baseret. Evalueringen vil tage udgangspunkt i de tre kategorier, som blev beskrevet i afsnit Kildekritik Da den anvendte litteratur danner grundlaget for den evaluering, som foretages i dette projekt, er det relevant at stille spørgsmålstegn ved de benyttede kilder. 4

17 Det fremgår af litteraturlisten bagerst i rapporten, at det i høj grad er de samme personer, som har skrevet litteraturen inden for et emne som RBAC. Specielt er forfattere som Sandhu, Kuhn og Ferraiolo repræsenteret i næsten alt skrevet inden for emnet. Samtidig henviser den øvrige litteratur på området til disse personers arbejde, og alle tre har været medvirkende til udarbejdelsen af de artikler [10], [27], som man ifølge National Institute of Standards and Technology (NIST) hjemmeside (http://csrc.nist.gov/groups/sns/rbac/) i 2004 anerkendte som en ANSI/INCITSstandard på området. Baseret på dette bør man kunne stole på kvaliteten af disse personers arbejde. Ved beskrivelsen af ABAC er situationen lidt en anden, da der egentlig ikke er skrevet særlig meget brugbart om emnet, hvilket kan skyldes, at ABAC-begrebet fortsat er forholdsvis nyt. Jeg har valgt at basere min beskrivelse på artiklen af Yuan og Tong [33], der foreslår anvendelsen af attributter som et alternativ til de rollebaserede løsninger, da denne ligger vægt på at gennemgå tankegangen bag ABAC-modellen, og den samtidig er skrevet af de forfattere, der har ytret sig mest om emnet. Som tidligere nævnt er ABAC-begrebet forholdsvist nyt, hvilket betyder, at litteraturen fokuserer på tankegangen frem for en egentlig beskrivelse af specifik funktionalitet, hvilket dog er en meget normal tilgang, som også blev brugt, da RBAC-begrebet opstod. Dengang gik der flere år, før en formel implementering fandt sted. Det betyder imidlertid, at jeg i nogle situationer har været nødsaget til at gøre nogle antagelser om, hvordan ABAC håndterer en given situation. I forbindelse med evalueringen af modellerne har jeg forsøgt at være ekstra opmærksom på at stille spørgsmålstegn ved litteraturens argumentation, da litteraturen bærer tydeligt præg af, at forfatterne er tilhængere af enten RBAC eller ABAC og derfor nok er en smule farvede i deres vurdering. 5

18 Kapitel 2 Sikkerhed i IT-systemer For at drive en sund og rentabel forretning er virksomhedernes ledelse tvunget til at tage stilling til sikkerheden på deres it-systemer. It-systemerne er som det blev beskrevet indledningsvis i denne rapport, det centrale element i virksomheden, der binder de forskellige aktiviteter sammen. Der er altså opstået et behov for at beskytte virksomhedernes computerrelaterede aktiver i form af forretningsdata, it-systemer og lignende. Virksomhederne er - for at kunne beskytte deres aktiver - nødsaget til at have en grundlæggende forståelse for de risici, der er forbundet med anvendelsen af it-systemer til håndtering af forretningsdata. På grundlag af disse risici kan virksomhederne opstille de nødvendige kontroller samt foretage modforanstaltninger, så deres it-systemer er bedst muligt beskyttet mod de forestående trusler [2], [3], [13], [15], [24]. Adressering af it-sikkerhedsproblematikken tilgås typisk ud fra det, der på engelsk er bedst kendt som CIA-princippet [24 - afsnit 1.3] eller i nogle tilfælde AIC-princippet [13 - afsnit 3], som beskriver tre vigtige aspekter i forbindelse med computerrelaterede systemer. Fortrolighed Sikkerhed Integritet Tilgængelighed Figur 2.1 Forholdet mellem fortrolighed, integritet og tilgængelighed [24]. Figur 2.1 viser forholdet mellem de tre vigtige aspekter i forbindelse med sikring af itsystemer: fortrolighed, integritet samt tilgængelighed 4, hvor en af udfordringerne ved at bygge et sikkert system er at finde den korrekte balance mellem disse. 4 På engelsk: Confidentiality, integrity og availability 6

19 Der er mange aspekter i at finde denne balance, da de tre begreber gør sig gældende for såvel systemerne som de underliggende data. Formålet med at finde balancen er at få sikret sine data samt systemer bedst muligt. 2.1 Rettighedsstyring Et af de emner, virksomhederne skal tage stilling til i forbindelse med sikring af deres it-systemer, er håndteringen af, hvem der skal have adgang til de forskellige informationer på systemerne. Dette er helt elementært for at kunne opfylde CIA-princippet og samtidig emnet for dette projekt. Man kan ikke stole på fortroligheden samt integriteten af data, hvis man ikke har styr på, hvem data er tilgængelige for, da det i princippet kan betyde, at alle har adgang til data samt lov til at manipulere med data. Hele problematikken omkring styringen af rettigheder på it-systemerne handler altså om at gøre det muligt at skelne mellem, hvem der skal have adgang til hvad, da man herved kan sikre fortroligheden såvel som integriteten af data. Derfor er der også nogle lovgivningsmæssige aspekter forbundet med rettighedsstyring. Da regnskaber og lignende også er placeret på it-systemerne, er rettighedsstyringen en nødvendighed, for at virksomhedernes revisorer kan stole på regnskabsdata [3], [11], [15]. Basalt set kan man sige, at det, man ønsker at håndtere ved hjælp af rettighedsstyring, er at kunne kontrollere brugernes færden på systemerne, hvilket typisk håndteres ved hjælp af adgangskontrol Adgangskontrol For at kunne beskrive adgangskontrolmodellerne RBAC og ABAC indgående er det vigtigt at forstå det grundlæggende behov for adgangskontrol. Formålet med adgangskontrol er at beskytte noget, der er værdifuld for dig. Det kan være smykker i en bankboks eller som i dette tilfælde data på en virksomheds it-systemer, som man ikke ønsker at andre skal få fingre i. Adgangskontrol er samtidig som beskrevet et vidt begreb, som dækker over mange forskellige måder at foretage adgangskontrol på. Det kan være en fysisk adgangskontrol i form af nøgler til en dør, tremmer for vinduerne eller lignende, men der kan også være tale om systemmæssig adgang til en ressource på et it-system, hvilket er den type adgangskontrol, som beskrives i dette projekt [12], [13 - afsnit 4], [24]. 7

20 Figur 2.2 Adgangskontrolforløb [13 - figur 4.2]. Som figur 2.2 viser, er der tre skridt, som skal udføres, for at en bruger får adgang til den ønskede ressource. Ydermere illustrerer figuren, at man ønsker at kunne holde brugeren ansvarlig for de operationer, han/hun har udført på systemet, hvilket dog ikke er så relevant i denne sammenhæng, men vil blive beskrevet nærmere i afsnit For at bestemme en brugers adgang til en ressource skal der altså udføres tre ting: 1. Brugeren skal identificeres, hvilket typisk gøres ved brugeren selv oplyser et brugernavn, CPR-nr. eller lignende. 2. Identifikationsinformationerne verificeres for at sikre, at brugeren rent faktisk er den, han/hun udgiver sig for at være, hvilket typisk udføres ved, at brugeren har noget viden i form af f.eks. et kodeord, som kombineret med brugernavnet danner grundlag for verificeringen. 3. Virksomhedens it-sikkerhedspolitik indeholder informationer om hvem der må hvad på systemerne, derfor er skridt 1 og 2 nødvendige for at finde ud af hvem den pågældende bruger og herefter ud fra politikken afgøre, hvilke operationer denne bruger har lov at udføre. Man kan altså sige, at der foretages adgangskontrol ved grænsen til applikationen i form af step 1-2, hvor det afgøres, om brugeren i det hele taget skal have adgang til applikationen. Ydermere foretages der efterfølgende adgangskontrol i form af step 3, som afgør, hvilke data samt operationer den pågældende bruger har lov til at udføre i applikationen [13 - afsnit 4]. Det betyder, at der for hver enkelt ressource på et it-system skal tages stilling til, hvem der må få adgang, samt hvad de må udføre Klassiske adgangskontrolmodeller At der foretages adgangskontrol er et skridt på vejen, men det helt elementære i forbindelse med rettighedsstyring er, at rettighederne tildeles ud fra nogle faste koncepter, da sikkerheden på et it-system aldrig er stærkere end det svageste led [28]. 8

21 Indførelsen af en adgangskontrolmodel til håndhævelse af, hvordan rettigheder tildeles, er derfor helt centralt for at højne datasikkerheden. Overordnet kan modeller til tildeling af rettigheder på it-systemer, inddeles i to kategorier: discretionary-adgangskontrol 5 (DAC) samt mandatory-adgangskontrol 6 (MAC) [13 - afsnit 4], [24 - afsnit 5]. Discretionary Access Control Grundprincippet i DAC er, at det er ejeren af en ressource, der afgør, hvem der skal have adgang til ressourcen. Ejerskab af en ressource tildeles som udgangspunkt til den person, som opretter ressourcen. Men ejerskab kan også tildeles en navngiven person, hvilket f.eks. kunne være en afdelingsleder, manager eller lignende, som tildeles ejerskab til filer og ressourcer inden for en afdeling. Der er altså tale om en dynamisk adgangskontrolmodel, hvor der decentralt kan tages stilling til, hvem der skal have adgang til hvad. Den mest almindelige implementering af DAC er ved hjælp af adgangskontrollister 7 (ACL), hvor der for hver ressource er en liste, som specificerer, hvilke brugere der har adgang til denne ressource. Problematikken ved anvendelsen af DAC er, at virksomhederne ikke har mulighed for at håndhæve et grundlæggende sikkerhedsniveau, idet de enkelte ressourceejere kan tildele rettigheder til deres ressourcer. Derfor kan sikkerhedsniveauet variere meget på tværs af en organisation [13 - afsnit 4], [24 - afsnit 5]. Mandatory Access Control MAC er i princippet modsætningen til DAC, da der foretages en centraliseret styring af rettighederne, hvor systemadministrationen opstiller en generel adgangspolitik, som ikke kan tilsidesættes af den enkelte ressourceejer. Der er altså tale om en langt mere struktureret samt streng adgangskontrol, hvor der centralt tages stilling til, hvem der skal have adgang til hvad. Problematikken ved anvendelse af MAC er, at den er meget firkantet og svær at tilpasse til de eksakte behov i en virksomhed. MAC kan dog i modsætning til DAC sikre et ensartet sikkerhedsniveau hele vejen på tværs af en organisation [13 - afsnit 4], [24 - afsnit 5]. Opsummering Fællesnævner for de klassiske adgangskontrolmodeller har imidlertid intet at gøre med, hvem der står for tildelingen af rettigheder, men er, at både MAC og DAC tildeler rettigheder individuelt til brugerne, hvilket kan blive uhåndterligt på et system med mange brugere. De nye adgangskontrolmodeller RBAC og ABAC er faktisk ikke så forskellige fra MAC og DAC, da de fortsat arbejder ud fra en kombination af principperne bag MAC 5 På engelsk: Discretionary Access Control 6 På engelsk: Mandatory Access Control 7 På engelsk: Access Control List 9

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

EA3 eller EA Cube rammeværktøjet fremstilles visuelt som en 3-dimensionel terning:

EA3 eller EA Cube rammeværktøjet fremstilles visuelt som en 3-dimensionel terning: Introduktion til EA3 Mit navn er Marc de Oliveira. Jeg er systemanalytiker og datalog fra Københavns Universitet og denne artikel hører til min artikelserie, Forsimpling (som også er et podcast), hvor

Læs mere

UDSNIT 8. februar 2008

UDSNIT 8. februar 2008 UDSNIT 8. februar 2008 Dette udsnit indeholder indeholder en introduktion til hvad begrebet brugerstyring dækker over Kolofon: OIO Referencemodel for tværgående brugerstyring Dette baggrundsdokument kan

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Identity Access Management

Identity Access Management Identity Access Management Traditionel tilgang til Identity & Access Governance-projekter, udfordringer og muligheder Alex Sinvani ais@dubex.dk Dubex A/S Formålet Opbygge en god konceptuel baggrund for

Læs mere

Forslag til implementering af ResearcherID og ORCID på SCIENCE

Forslag til implementering af ResearcherID og ORCID på SCIENCE SCIENCE Forskningsdokumentation Forslag til implementering af ResearcherID og ORCID på SCIENCE SFU 12.03.14 Forslag til implementering af ResearcherID og ORCID på SCIENCE Hvad er WoS s ResearcherID? Hvad

Læs mere

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov. På dansk/in Danish: Aarhus d. 10. januar 2013/ the 10 th of January 2013 Kære alle Chefer i MUS-regi! Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov. Og

Læs mere

IDENTITY SECURITY MANAGER INTEGRATION MELLEM MENNESKER OG SIKKERHED

IDENTITY SECURITY MANAGER INTEGRATION MELLEM MENNESKER OG SIKKERHED INTEGRATION MELLEM MENNESKER OG SIKKERHED SIDE 2/6 INTRODUKTION AVIOR Identity Security Manager (ISM) er en omfattende løsning og koncept til håndtering af identiteter og integration til eksisterende bruger-

Læs mere

Prisoverrækkelser af C20+ Regnskabspriserne 2016

Prisoverrækkelser af C20+ Regnskabspriserne 2016 Prisoverrækkelser af C20+ Regnskabspriserne 2016 1 Dommerkomiteen uddeler en pris for: Den bedste årsrapport for en C20-virksomhed Den bedste årsrapport for en unoteret virksomhed Prisvinderne vurderes

Læs mere

Velkommen. Program: Oplæg om emnet baseret på Best Practice (ITIL) Refleksion

Velkommen. Program: Oplæg om emnet baseret på Best Practice (ITIL) Refleksion Driftskontrakter Hvordan sikrer man sig, at man får en ordentlig driftskontrakt? Hvad skal man være opmærksom på, og hvornår begynder man egentlig at tænke den ind? Velkommen Program: Oplæg om emnet baseret

Læs mere

E-sundhedsobservatoriet. Sådan sikrer du en effektiv håndtering af brugere i EPJ

E-sundhedsobservatoriet. Sådan sikrer du en effektiv håndtering af brugere i EPJ E-sundhedsobservatoriet Sådan sikrer du en effektiv håndtering af brugere i EPJ Hvem er jeg? Dennis Mølkær Jensen Region Nordjylland Teamkoordinator - Udviklingsafsnit Teknisk projektleder OneSystem Integration

Læs mere

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB Det er Web Services, der rejser sig fra støvet efter Dot Com boblens brag. INTRODUKTION Dette dokument beskriver forslag til fire moduler, hvis formål

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

FREMTIDENS MEDARBEJDER I FINANSSEKTOREN

FREMTIDENS MEDARBEJDER I FINANSSEKTOREN FREMTIDENS MEDARBEJDER I FINANSSEKTOREN 1 1 INDLEDNING Finanssektorens Arbejdsgiverforening (FA) har taget et kig ud i fremtiden for at se nærmere på de toneangivende tendenser, der påvirker arbejdsgivernes

Læs mere

Dagens tema. Kompetencemæssigt begiver vi os ud i de teknologiske forventninger fra Cloud computing til Robotteknologi og programmering

Dagens tema. Kompetencemæssigt begiver vi os ud i de teknologiske forventninger fra Cloud computing til Robotteknologi og programmering Digital revolution Torben Stolten Thomsen Projektleder og kvalitetskonsulent Medlem af NMC ekspertpanelet 2014-2015 tt@hansenberg.dk Telefon 79320368 eller 21203610 Dagens tema Hvilken revolution? Her

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

E-markedspladser et springbræt for dansk eksport

E-markedspladser et springbræt for dansk eksport E-markedspladser et springbræt for dansk eksport Reimer Ivang, Morten Rask og Erik A. Christensen Reimar Ivang, Morten Rask og Erik A. Christensen E-markedspladser et springbræt for dansk eksport 1. udgave

Læs mere

IT-Universitetet, Projekt- og Programledelse November 2013 AGIL PROGRAMLEDELSE 13-11-2013 1

IT-Universitetet, Projekt- og Programledelse November 2013 AGIL PROGRAMLEDELSE 13-11-2013 1 IT-Universitetet, Projekt- og Programledelse November 2013 AGIL PROGRAMLEDELSE 1 AGENDA Hvem snakker? De betydende faktorer Agil forretningsudvikling D60 leverancemodel - Bedrock Opsamling og? 2 Hvem snakker?

Læs mere

Certifikat i Risk Management

Certifikat i Risk Management Certifikat i Risk Management Et grundlæggende onlinekursus i risk management Certifikat i Risk Management Certifikat i Risk Management (CRM) henvender sig til personer med en professionel interesse i moderne

Læs mere

DEN LILLE SKARPE OM RAMMEARKITEKTUREN

DEN LILLE SKARPE OM RAMMEARKITEKTUREN DEN LILLE SKARPE OM RAMMEARKITEKTUREN HVORFOR EN FÆLLESKOMMUNAL RAMME ARKITEKTUR? Digitalisering er afgørende for udviklingen af de kommunale kerneopgaver, fordi Borgerne skal møde en nær og sammenhængende

Læs mere

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010. It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud Region Midtjylland 2010. 1 1 Indledning 1.1 Versionshistorie Version Dato Ansvarlig Status Beskrivelse 1.0 2010-05-04 HENSTI Lukket Definition

Læs mere

Politiske og organisatoriske barrierer ved implementering af EPJ

Politiske og organisatoriske barrierer ved implementering af EPJ Politiske og organisatoriske barrierer ved implementering af EPJ Morten BRUUN-RASMUSSEN mbr@mediq.dk E-Sundhedsobservatoriets årsmøde 12. oktober 2010 Projektet EHR-Implement Nationale politikker for EPJ

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Øjnene, der ser. - sanseintegration eller ADHD. Professionshøjskolen UCC, Psykomotorikuddannelsen

Øjnene, der ser. - sanseintegration eller ADHD. Professionshøjskolen UCC, Psykomotorikuddannelsen Øjnene, der ser - sanseintegration eller ADHD Professionshøjskolen UCC, Psykomotorikuddannelsen Professionsbachelorprojekt i afspændingspædagogik og psykomotorik af: Anne Marie Thureby Horn Sfp o623 Vejleder:

Læs mere

ET GODT PSYKISK ARBEJDSMILJØ NÅR KOLLEGAER SKAL INKLUDERES PÅ ARBEJDSPLADSEN

ET GODT PSYKISK ARBEJDSMILJØ NÅR KOLLEGAER SKAL INKLUDERES PÅ ARBEJDSPLADSEN ET GODT PSYKISK ARBEJDSMILJØ NÅR KOLLEGAER SKAL INKLUDERES PÅ ARBEJDSPLADSEN UDGIVET MAJ 2013 2 Nedslidningen som følge af et dårligt psykisk arbejdsmiljø er et væsentligt tema for både samfund, virksomheder

Læs mere

Harmoni. Med SAP PI. Når tingene går op i en højere enhed. Kort & Godt. January 2012

Harmoni. Med SAP PI. Når tingene går op i en højere enhed. Kort & Godt. January 2012 January 2012 3. årgang, nummer 1 Harmoni Med SAP PI Når tingene går op i en højere enhed Godt nytår! Vi er kommet ind i 2012 med fuld fart, og vi glæder os til et fortsat godt samarbejde med kunder og

Læs mere

Projektledelse i praksis

Projektledelse i praksis Projektledelse i praksis - Hvordan skaber man (grundlaget) for gode beslutninger? Martin Malis Business Consulting, NNIT mtmi@nnit.com 20. maj, 2010 Agenda Project Governance Portfolio Management Project

Læs mere

Guide 7 tips til organisatorisk implementering.

Guide 7 tips til organisatorisk implementering. Guide 7 tips til organisatorisk implementering www.infosuite.dk 1 Den organisatoriske forankring er vigtig hvis du skal opnå succes med dit BI-projekt. Organisatorisk forankring af Business Intelligence

Læs mere

Dialoger i Projekter

Dialoger i Projekter For at ville må du vide! Demokrati i Projekter Bind I Dialoger i Projekter Nils Bech Indhold Bevar og forny! 3 To s-kurver og 14 dialoger Formål og mål, metoder og midler er ingredienser til at skabe RETNING.

Læs mere

UNDGÅ DÅRLIGE IT-LØSNINGER

UNDGÅ DÅRLIGE IT-LØSNINGER UNDGÅ DÅRLIGE IT-LØSNINGER ARKITEKTURPRINCIPPER 1. Skab sammenhængende digitale oplevelser for borgere og virksomheder 2. Forretningens behov skal drive og definere løsningerne 3. Understøt digitalt samarbejde

Læs mere

Informationsforvaltning i det offentlige

Informationsforvaltning i det offentlige Informationsforvaltning i det offentlige 1 Baggrund Den omfattende digitalisering af den offentlige sektor i Danmark er årsag til, at det offentlige i dag skal håndtere større og større mængder digital

Læs mere

IT-arkitekturstyring i Syddjurs Kommune

IT-arkitekturstyring i Syddjurs Kommune IT-arkitekturstyring i Syddjurs Kommune Arkitekturprincipper 1. Skab sammenhængende digitale oplevelser for borgere og virksomheder 2. Forretningens behov skal drive og definere løsningerne 3. Understøt

Læs mere

DAFA s. HACCP-guidelines. I henhold til DS 3027. DAFA Side 1 af 9

DAFA s. HACCP-guidelines. I henhold til DS 3027. DAFA Side 1 af 9 s HA-guidelines I henhold til DS 3027 Side 1 af 9 s HA guidelines for Operatører. Afsnit 1 1.1. Hvad er HA? Side 3 1.2. HA-processen Side 4 1.3. Flowdiagram for HA-systemet Side 5 1.4. Kontrol og rapportering

Læs mere

ATP s digitaliseringsstrategi 2014-2018

ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi samler hele ATP Koncernen om en række initiativer og pejlemærker for digitalisering i ATP. Den støtter op om ATP Koncernens målsætning

Læs mere

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0 SmartFraming Et vindue til nationale sundhedssystemer Version 3.0 Infrastruktur i dagens sundheds IT Det sundhedsfaglige personale benytter sig i dag af en række forskellige systemer i forbindelse med

Læs mere

Notat. Brug personas til at leve dig ind i brugernes liv

Notat. Brug personas til at leve dig ind i brugernes liv Notat SEGES P/S Koncern Digital Datadreven informationsformidling, personas og personalisering Ansvarlig JUPO Oprettet 17-03-2016 Projekt: 7464, Digitale relationer og datadreven informationsformidling

Læs mere

Proces orientering af IT organisationer (ITIL - implementering)

Proces orientering af IT organisationer (ITIL - implementering) Proces orientering af IT organisationer (ITIL - implementering) Af Lars Zobbe Mortensen Indholdsfortegnelse 1 Indledning... 3 1.1 Hvorfor bedst practice processer (f.eks. ITIL)?... 3 2 Beslutning om forandring...

Læs mere

Bilag 2 Kundens IT-miljø

Bilag 2 Kundens IT-miljø Bilag 2 Kundens IT-miljø Indholdsfortegnelse 1. GENERELT... 2. KU S SYSTEMLANDSKAB OG INTEGRATIONEN TIL DETTE... 3. DATATILGANG... 4. SSO... 5. ADMINISTRATION AF BRUGERE OG BRUGERRETTIGHEDER... Side 2/5

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Stillings- og personprofil. Administrerende direktør FDC A/S

Stillings- og personprofil. Administrerende direktør FDC A/S Stillings- og personprofil Administrerende direktør FDC A/S Maj 2014 Opdragsgiver FDC A/S Adresse Lautrupvang 3A 2750 Ballerup Tlf.: 44 65 45 00 www.fdc.dk Stilling Administrerende direktør Refererer til

Læs mere

Systematisk Innovation med Enterprise Arkitektur

Systematisk Innovation med Enterprise Arkitektur Systematisk Innovation med Enterprise September 2010 version 1.2 Allan Bo Rasmussen Partner, EA Fellows allan@eafellows.com EA Fellows Enterprise Architecture Professionals En tur i helikopteren Privatliv

Læs mere

Copyright SaaS-it Consult 2011. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Copyright SaaS-it Consult 2011. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13. Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13. september, 2011 Cloud Computing & SaaS Hvor er vi på vej hen? Agenda Definitioner The SaaS-it Evolution

Læs mere

Management of Risks (M_o_R ) Professionel styring af risici

Management of Risks (M_o_R ) Professionel styring af risici Management of Risks (M_o_R ) Professionel styring af risici Indholdsfortegnelse 1. Resume... 3 2. Hvad er en risiko og hvad er Management of Risks... 3 3. Introduktion til M_o_R Management of Risk... 3

Læs mere

Valgfrie moduler inden for uddannelsens faglige område

Valgfrie moduler inden for uddannelsens faglige område Foreløbig kursusbeskrivelse Valgfrie moduler inden for uddannelsens faglige område Teknisk Projektarbejde Udvikling, design, dokumentation og produktion af et valgfrit produkt. - Viden om forskellige videnskabsteoretiske

Læs mere

LEGAL RISK MANAGEMENT

LEGAL RISK MANAGEMENT LEGAL RISK MANAGEMENT GØR UDFORDRINGER TIL MULIGHEDER September 2017 Jens Blomgren-Hansen Partner Mobil: +45 24 86 00 76 Direkte: +45 38 77 43 09 jbh@kromannreumert.com Do you have a proactive approach

Læs mere

Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet

Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet 2 VELKOMMEN Opsamling på resultaterne v/greenet Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet Hvordan kommer vi videre? Matchmaking: Parring

Læs mere

PLAN OG UDVIKLING GIS-STRATEGI 2012-2016

PLAN OG UDVIKLING GIS-STRATEGI 2012-2016 PLAN OG UDVIKLING GIS-STRATEGI 2012-2016 Indhold 1 INDLEDNING 3 2 STRATEGIGRUNDLAGET OG HANDLINGSPLAN 5 3 VISION 6 4 PEJLEMÆRKER OG PRINCIPPER 8 4.1 TEKNOLOGI 8 4.1.1 Principper 8 4.2 KOMMUNIKATION 9 4.2.1

Læs mere

Shared space - mellem vision og realitet. - Lyngby Idrætsby som case

Shared space - mellem vision og realitet. - Lyngby Idrætsby som case Downloaded from orbit.dtu.dk on: Jan 27, 2017 Shared space - mellem vision og realitet. - Lyngby Idrætsby som case Brinkø, Rikke Publication date: 2015 Document Version Peer-review version Link to publication

Læs mere

1. Formål og mål med indførelsen af værktøjet

1. Formål og mål med indførelsen af værktøjet 1. Formål og mål med indførelsen af værktøjet Afdæk og fastlæg, hvad der driver projektet Identificer langsigtede virksomhedsmål Fastlæg implementeringens centrale leverancer Prioriter og planlæg delmål

Læs mere

AFRAPPORTERING AF FASE 3 og 4, PROJEKT FLEKSIBELT ELFORBRUG

AFRAPPORTERING AF FASE 3 og 4, PROJEKT FLEKSIBELT ELFORBRUG AFRAPPORTERING AF FASE 3 og 4, PROJEKT FLEKSIBELT ELFORBRUG Januar 2011 Anders Mønsted, Teknologisk Institut Projektet er støttet af Energi & Klima Center for Køle- og Varmepumpeteknik Indholdsfortegnelse

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

1 s01 - Jeg har generelt været tilfreds med praktikopholdet

1 s01 - Jeg har generelt været tilfreds med praktikopholdet Praktikevaluering Studerende (Internship evaluation Student) Husk at trykke "Send (Submit)" nederst (Remember to click "Send (Submit)" below - The questions are translated into English below each of the

Læs mere

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder.

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder. It-strategi 1.0 Indledning Flere og flere forretningsprocesser i kommunerne stiller krav til it-understøttelse, og der er store forventninger til at den offentlige sektor hænger sammen inden for it-området.

Læs mere

De nye standarder for kundeengagement

De nye standarder for kundeengagement De nye standarder for kundeengagement : Sammenfattende rapport April 2015 www.decisioningvision.com Indledning Hvordan kan du vide, om din forretningsmodel er velegnet i dag, og om fem år? Den teknologiske

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Hassansalem.dk/delpin User: admin Pass: admin BACKEND

Hassansalem.dk/delpin User: admin Pass: admin BACKEND Hassansalem.dk/delpin User: admin Pass: admin BACKEND 1/10 Indledning Dette projekt er den afsluttende del af web udvikling studiet på Erhvervs Lillebælt 1. semester. Projektet er udarbejdet med Del-pin

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

It-sikkerhedstekst ST11

It-sikkerhedstekst ST11 It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016 Fælles login Udtrykket "Login" anvendes om den proces, der giver

Læs mere

SPOR 2 ADGANGSSTYRING. Netværksdage Støttesystemer 11. og 12. marts 2015

SPOR 2 ADGANGSSTYRING. Netværksdage Støttesystemer 11. og 12. marts 2015 SPOR 2 ADGANGSSTYRING Netværksdage Støttesystemer 11. og 12. marts 2015 Hvem er jeg? Rasmus H. Iversen Teknisk Projektleder Teamlead på sikkerhed Har været på STS projektet helt fra starten Mål for dagens

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Arkitekturprincipper for Sundhedsområdet

Arkitekturprincipper for Sundhedsområdet Arkitekturprincipper for Sundhedsområdet - Ved anskaffelse af nye systemer Version 0.91 DIGITAL SUNDHED SAMMENHÆNGENDE DIGITAL SUNDHED I DANMARK Nationale principper ved anskaffelse af it-systemer At indføre

Læs mere

Business Consulting New manager programme

Business Consulting New manager programme Business Consulting New manager programme Velkommen som manager i Business Consulting Faglig specialisering, bred orientering Vi søger talentfulde managere med lederkompetencer, der trives med udfordringer,

Læs mere

E-markedspladser. Med baggrund i et cand. merc. speciale der blev til et par bøger. E-markedspladser. Digital Aktør. Morten Rask 2

E-markedspladser. Med baggrund i et cand. merc. speciale der blev til et par bøger. E-markedspladser. Digital Aktør. Morten Rask 2 E-markedspladser Med baggrund i et cand. merc. speciale der blev til et par bøger E-markedspladser Virtuelt produkt Virtuel Proces Digitalt produkt Fysisk produkt Fysisk Digital Digital Proces Virtuel

Læs mere

Den bedste løsning er den som bliver anvendt

Den bedste løsning er den som bliver anvendt Den bedste løsning er den som bliver anvendt RISMA Vi er dedikeret til din succes Pålidelig rettidig information spiller en nøglerolle for succes i dagens omskiftelige forretningsverden. Samtidigt har

Læs mere

Seminar d. 19.9.2013. Klik for at redigere forfatter

Seminar d. 19.9.2013. Klik for at redigere forfatter Seminar d. 19.9.2013 Klik for at redigere forfatter M_o_R En risiko er en usikker begivenhed, der, hvis den indtræffer, påvirker en målsætning Risici kan dele op i to typer Trusler: Der påvirker målsætningen

Læs mere

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK Mission Critical o Projekt Information management o Processer, metoder & værktøjer. Side 1 of 11 Projekt information Projekt information management inkluderer alle de processer, som er nødvendige for at

Læs mere

Anbefaling vedrørende brug af RBAC standard til rollebaseret adgangskontrol

Anbefaling vedrørende brug af RBAC standard til rollebaseret adgangskontrol Anbefaling vedrørende brug af RBAC standard til rollebaseret adgangskontrol Kolofon: OIO Referencemodel for tværgående brugerstyring Denne anbefaling kan frit anvendes af alle. Citeres der fra anbefalingen

Læs mere

KRISENS SPOR. Fra før krisen i 2008 til midt i krisen 2010

KRISENS SPOR. Fra før krisen i 2008 til midt i krisen 2010 CIOViewpoint 2010 KRISENS SPOR Fra før krisen i 2008 til midt i krisen 2010 Den verserende krises nøjagtige omfang og betydning for danske virksomheder kendes formentlig først, når krisen engang er veloverstået.

Læs mere

Side 1. Databaser og SQL. Dagens gang. Databasebegreber. Introduktion til SQL Kap 1-5

Side 1. Databaser og SQL. Dagens gang. Databasebegreber. Introduktion til SQL Kap 1-5 Databaser og SQL Introduktion til SQL Kap 1-5 1 Dagens gang Databaser Database begreber Mapning af klasser til relationel model Normalisering Opgaver til næste gang 2 Databasebegreber A database is a:

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Serviceorienteret Arkitektur

Serviceorienteret Arkitektur Serviceorienteret Arkitektur Seniorkonsulent, forfatter og Ekstern Konsulent Henrik Hvid Jensen Enterprise Architecture, Dansk IT, København 1. juni 2006 C O N N E C T I N G B U S I N E S S & T E C H N

Læs mere

User Experience metoder i fødevarebranchen

User Experience metoder i fødevarebranchen User Experience metoder i fødevarebranchen Rådgivning i produktudvikling, innovation og brugerinvolvering til primært fødevarebranchen Helle Heiselberg, Cand.ling.merc. og projektleder for forbrugerplatformen

Læs mere

Digitaliseringsstrategi 2011-2015

Digitaliseringsstrategi 2011-2015 Digitaliseringsstrategi 2011-2015 Dokumentnr.: 727-2011-34784 side 1 Dokumentnr.: 727-2011-34784 side 2 Resume: Digitaliseringsstrategien for Odder Kommune 2011-2015 er en revidering af Odder Kommunes

Læs mere

Make it work! En Quick-guide til integration af virtuel mobilitet i internationale praktikophold

Make it work! En Quick-guide til integration af virtuel mobilitet i internationale praktikophold Make it work! En Quick-guide til integration af virtuel mobilitet i internationale praktikophold Hvad? Internationale praktikophold får større og større betydning i forbindelse med internationaliseringen

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Service Orienteret Arkitektur

Service Orienteret Arkitektur Service Orienteret Arkitektur Datalogisk Institut 22. november 2004 v/ Vidensleverandør Henrik Hvid Jensen, SOA Network henrikhvid@soanetwork.dk (c) SOA Network, 2004 1 Indførelse af et servicelag (c)

Læs mere

Erfaringer fra MDM projekt hos Region Syd. Ivan Bergendorff 13. marts 2013 ibe@dubex.dk

Erfaringer fra MDM projekt hos Region Syd. Ivan Bergendorff 13. marts 2013 ibe@dubex.dk Erfaringer fra MDM projekt hos Region Syd Ivan Bergendorff 13. marts 2013 ibe@dubex.dk Agenda: Region Syd En strategisk beslutning Forventede gevinster? Udvælgelses processen Region Syd mobillity Projektet,

Læs mere

Anvendelse af BPT til manuel test

Anvendelse af BPT til manuel test DIAS 1 Konference HP Test brugergruppen Anvendelse af BPT til manuel test Agenda DIAS 2 _ Præsentation af mig selv _Manuel BPT _ Manuel BPT i KMD _Konklusion _ Diskussion og spørgsmål Præsentation DIAS

Læs mere

Systematiseret tilgang til Virksomhedskontakt - executive summary

Systematiseret tilgang til Virksomhedskontakt - executive summary Systematiseret tilgang til Virksomhedskontakt - executive summary Jobcenter Randers PricewaterhouseCoopers, CVR-nr. 16 99 42 94, Gentofte 1. Baggrund for projektet Hvert år gør Jobcenter Randers en stor

Læs mere

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Vejledning om avanceret afhentning. i Digital Post på Virk.dk. Vejledning om avanceret afhentning og sortering i Digital Post på Virk.dk. Denne vejledning beskriver, hvordan virksomheder, foreninger m.v. med et CVR-nummer kan modtage Digital Post, herunder hvordan

Læs mere

Informationsteknologi B Forsøgslæreplan, december 2010

Informationsteknologi B Forsøgslæreplan, december 2010 Informationsteknologi B Forsøgslæreplan, december 2010 1.1 Identitet Informationsteknologi bygger på abstraktion og logisk tænkning. Faget beskæftiger sig med itudvikling i et samspil mellem model/teori

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Af produktivitetschef Bjarne Palstrøm, Dansk Industri

Af produktivitetschef Bjarne Palstrøm, Dansk Industri Faldgruber i Lean Af produktivitetschef Bjarne Palstrøm, Dansk Industri Erfaringerne med indførelse af Lean-tankegangen viser, at virksomhederne fra tid til anden ikke får det forventede udbytte. Denne

Læs mere

Rapport Analyse af offentlig-privat samarbejde

Rapport Analyse af offentlig-privat samarbejde Rapport Analyse af offentlig-privat samarbejde Finansministeriet bestilte i begyndelsen af 2014 en rapport om offentlig-privat samarbejde. Formålet med rapporten blev drøftet i pressen i foråret 2014.

Læs mere

EDI til Microsoft Dynamics

EDI til Microsoft Dynamics EDI til Microsoft Dynamics EDI til Microsoft Dynamics Anvend EDI og udnyt potentialet fuldt ud i økonomisystemer fra Microsoft Dynamics herved opnår din virksomhed et mindre ressourceforbrug og færre fejl.

Læs mere

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 Security as a Service hvorfor, hvornår og hvordan Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 SecaaS hvorfor, hvornår og hvordan hvad Hvorfor.. Hvornår.. Hvordan.. Disclamer: Dubex er MSSP og leverer

Læs mere

Aalborg Universitet. Banker i Danmark pr. 22/3-2012 Krull, Lars. Publication date: 2012. Document Version Pre-print (ofte en tidlig version)

Aalborg Universitet. Banker i Danmark pr. 22/3-2012 Krull, Lars. Publication date: 2012. Document Version Pre-print (ofte en tidlig version) Aalborg Universitet Banker i Danmark pr. 22/3-2012 Krull, Lars Publication date: 2012 Document Version Pre-print (ofte en tidlig version) Link to publication from Aalborg University Citation for published

Læs mere

Det Rene Videnregnskab

Det Rene Videnregnskab Det Rene Videnregnskab Visualize your knowledge Det rene videnregnskab er et værktøj der gør det muligt at redegøre for virksomheders viden. Modellen gør det muligt at illustrere hvordan viden bliver skabt,

Læs mere

ARBEJDET MED UDVIKLING AF EN AGIL STANDARDKONTRAKT

ARBEJDET MED UDVIKLING AF EN AGIL STANDARDKONTRAKT Executive summary 1. ARBEJDET MED UDVIKLING AF EN AGIL STANDARDKONTRAKT Regeringen har et mål om, at den offentlige sektor skal være blandt de mest effektive og mindst bureaukratiske i verden, og for at

Læs mere

Afdækning af digitale kompetencer 2013

Afdækning af digitale kompetencer 2013 Afdækning af digitale kompetencer 2013 Sådan kan du bruge nedenstående skema til at vurdere dine digitale kompetencer Når du skal vurdere dine personlige it og digitale kompetence i forhold til kategorien

Læs mere

Fra intern service til ekstern leverandør - globale løsninger

Fra intern service til ekstern leverandør - globale løsninger Fra intern service til ekstern leverandør - globale løsninger DFM præsentation Søren Andersen Facility Management Director Novozymes A/S 6. oktober 2011 2 Summary og anbefaling FM Deep Dive fra McKinsey

Læs mere

Strategi for Telepsykiatrisk Center ( )

Strategi for Telepsykiatrisk Center ( ) Område: Psykiatrien i Region Syddanmark Afdeling: Telepsykiatrisk center Dato: 30. september 2014 Strategi for Telepsykiatrisk Center (2014-2015) 1. Etablering af Telepsykiatrisk Center Telepsykiatri og

Læs mere

Forretning med mening og effekt

Forretning med mening og effekt Jasper Steinhausen Sustainable Business Developer COWI A/S Parallelvej 2 DK-2800 Lyngby Telefon 4597 2211 Direkte 4597 1812 Mobil 2135 1029 E-mail jase@cowi.dk http://www.cowi.dk Forretning med mening

Læs mere

Formålet med forvaltningsrevisionen er således at verificere, at ledelsen har taget skyldige økonomiske hensyn ved forvaltningen.

Formålet med forvaltningsrevisionen er således at verificere, at ledelsen har taget skyldige økonomiske hensyn ved forvaltningen. Forvaltningsrevision Inden for den offentlige administration i almindelighed og staten i særdeleshed er det et krav, at der som supplement til revisionen af regnskabet, den finansielle revision, foretages

Læs mere

Vidensdeling. om - og med - IKT. Bo Grønlund

Vidensdeling. om - og med - IKT. Bo Grønlund Vidensdeling om - og med - IKT Denne workshop vil give indblik i, hvordan lærere på gymnasiet kan fremme og systematisere vidensdeling omkring brug af IKT i undervisningen, samt hvordan gymnasiers ledelser

Læs mere

Mobility-strategi Hvordan kommer du i gang?

Mobility-strategi Hvordan kommer du i gang? Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz 13. marts 2013 kro@dubex.dk Agenda Kort opsummering Hvad bør en Mobility Strategi indeholde? Virksomhedens modenhed Hvordan kommer du i gang?

Læs mere

MARITIME PROFESSIONALS, ASHORE AND AT SEA. Online Identitet. 29-03-2011 www.job2sea.com 1

MARITIME PROFESSIONALS, ASHORE AND AT SEA. Online Identitet. 29-03-2011 www.job2sea.com 1 Online Identitet 2011 29-03-2011 www.job2sea.com 1 Online Identity The social web, i.e. the usage of the web to support the social process, represents a space in which people have the possibility to express

Læs mere

Hvem er vi? Kursus Introduktion. Kursuslærerne. Agenda for i dag

Hvem er vi? Kursus Introduktion. Kursuslærerne. Agenda for i dag Hvem er vi? Kursus Introduktion Anne Haxthausen ah@imm.dtu.dk Informatics and Mathematical Modelling Technical University of Denmark 100 studerende med forskellig baggrund: software teknologi It og Kom

Læs mere