Den Sikre Mobile Medarbejder

Størrelse: px
Starte visningen fra side:

Download "Den Sikre Mobile Medarbejder"

Transkript

1 Den Sikre Mobile Medarbejder Kenny Magnusson Kongens Lyngby 2007 IMM-THESIS

2 Technical University of Denmark Informatics and Mathematical Modelling Building 321, DK-2800 Kongens Lyngby, Denmark Phone , Fax

3 Abstract The modern business trend is for employees to use a variety of mobile devices to assist them in a wide spectrum of activities. A typical executive, salesperson or engineer may, for example, travel round with a laptop PC, a PDA and a mobile smartphone, all of which may contain information that is important, perhaps even vital, for his or her company. These devices may be extensively used outside the company premises, for example at home, in conference rooms, at the airport, in hotels and so on - locations where security is not under the company s control and may be very poor. In this thesis, the situation above has been analyzed by evaluating the security risks associated with employees whose work involves a degree of mobility. The thesis also involves an investigation of the level of security awareness among employees of a concrete company, evaluating the security risks which this form of working creates and making proposals for how the company can mitigate these security risks. As a part of this investigation, an internet-based survey regarding the use of wireless networks has been developed. The survey is designed as a combination of normal text-based questions and animated pictures which allows the respondents to interact on known scenarios and hopefully get a better understanding of the question even though it might be of a complex technological matter.

4 ii

5 Resume Det bliver i dag mere og mere almindeligt for virksomheder at udstyre deres medarbejdere med en række forskellige mobile apparater til at hjælpe dem med et bredt spektrum af aktiviteter. En typisk leder, salgsperson eller ingeniør kan for eksempel rejse rundt med en laptop, en PDA og en smartphone, der alle kan indeholde informationer som er vigtige, eller måske endda vitale for vedkomnes virksomhed. Disse apparater kan i stor udstrækning benyttes udenfor virksomhedens lokaliteter, for eksempel hjemme, i konferencerum, i lufthavnen, på hoteller osv. - alle steder hvor sikkerheden ikke er under virksomhedens kontrol og kan være ganske dårlig. I denne afhandling analyseres denne situation ved at se på en række af de sikkerhedsproblemer der er forbundet med medarbejdere hvis arbejde involvere en hvis grad af mobilitet. Afhandlingen involverer også en undersøgelse af sikkerhedsbevidstheden blandt medarbejdere fra en konkret virksomhed, en evaluering af de sikkerhedsproblemer som opstår ved denne form for arbejde, samt udarbejder forslag til hvordan virksomheden kan undgå disse sikkerhedsproblemer. Som en del af undersøgelsen er der udarbejdet et internetbaseret spørgeskema omhandlende brugen af trådløst netværk. Spørgeskemaet er designet som en kombination af almindelige tekstbaserede spørgsmål og animerede billeder så svarpersonerne på mange af de mere komplekse teknologiske begreber får opstillet et velkendt scenarie og dermed sikre en forhåbentlig forøget forståelse af spørgsmålet.

6 iv

7 Forord Dette projekt er udført som afsluttende eksamensprojekt på civilingeniørstudiet på Danmarks Tekniske Universitet. Projektet er udført ved instituttet Informatik og Matematisk Modellering under vejledning af Robin Sharp. Projektet er udført i perioden mellem 1.Juni og 1.December Jeg vil gerne rette en tak til Robin Sharp der i forbindelse med udarbejdelsen af dette projekt har været meget åben og hjælpsom. Jeg vil også gerne rette en tak til de personer i virksomheden som jeg har haft kontakt med. Både til dem der har svaret på spørgeskemaet og til dem der har kunnet svare på spørgsmål af mere teknisk karakter. Til sidst en stor tak til familie og venner for støtte og korrekturlæsning på rapporten. Lyngby, December 2007 Kenny Magnusson

8 vi

9 Indhold Abstract Resume Forord i iii v 1 Indledning Motivation Problemformulering Rapport struktur Beskrivelse af virksomheden Risikoanalyse Risikoanalyse Risikovurdering Opsummering Sikkerhedspolitik Best practices og Standarder Informationssikkerhedspolitik Opsummering

10 viii INDHOLD 4 Sikkerhedsproblemer ved mobile medarbejdere Generelle problemer Sikkerhedsproblemer ved trådløse netværk Udbredte teknologier i forbindelse med fjernadgang Vurdering af virksomheden Beslutningsgrundlag Udstyr Opkobling til virksomhedens netværk Forslag til forbedringer Opsummering Sikkerhedsbevidsthed IT Sikkerhedsbevidsthed Udvikling af IT Sikkerhedsbevidstheds programmer Opsummering XAware - hjemmeside Adobe Captivate Udvikling af spørgeskema Resultater Forbedringer Udvikling af nye spørgeskemaer Opsummering Konklusion Fremtidigt arbejde A Ordbog 105 B OSI-Modellen 111

11 INDHOLD ix C Bevidsthedsfremmende tekniker 115 D Xaware 123 D.1 Kildekode D.2 Skærmbilleder af XAware Bibliography 271

12 x INDHOLD

13 Kapitel 1 Indledning 1.1 Motivation At arbejde hjemmefra eller fra en anden lokalitet uden for virksomheden er i dag en stor del af hverdagen for mange mennesker. Den fortsatte stigende brug af IT systemer har ændret den måde vi opbevare, tilgår og kommunikere informationer. For mange mennesker er computeren og/eller mobiltelefonen i dag det vigtigste redskab i forbindelse med arbejdet og det er derfor også vigtigt at både virksomheden og medarbejderen kender de sikkerhedsmæssige risici der er forbundet med brugen af det mobile udstyr. Det mobile udstyr som en medarbejder kan benytte sig af er i dette projekt defineret som en laptop (bærbar PC) og/eller en mobiltelefon med samme funktionaltitet som en smartphone. En sådan mobiltelefon er kendetegnet ved at være fysisk mindre og være mindre resourcekrævende end en laptop men ofte med de samme funktionaliteter. Derfor er det væsentligt at de begge som udgangspunkt bliver betragtet ens sikkerhedsmæssigt. I forbindelse med mobile medarbejdere er udfordringen at få udstyret sikret så samme høje niveau af sikkerhed opnås, som på virksomheden øvrige udstyr. Da den mobile medarbejders udstyr ofte anvendes udenfor virksomheden, er den sjældent sikret fysisk på samme måde som stationære arbejdspladser i virksom-

14 2 Indledning heden. Den mobile medarbejder skal også have mulighed for på en sikker måde at kunne koble sig op på virksomhedens netværk også fra steder der ligger uden for virksomhedens kontrol. Udover at udstyret skal være sikret, vil en øget sikkerhedsbevidsthed hos medarbejdere også kunne forhindre eller mindske risikoen for både eksterne og interne trusler mod virksomheden. Sikkerhedsbevidsthed, eller på engelsk Security Awareness, er en betegnelse for hvad man forstår ved sikkerhed og hvor højt man prioriterer det. At fastlægge et niveau inden for IT sikkerhedsbevidsthed er ofte forbundet med nogen usikkerhed. For emner inden for IT er ofte komplekse teknologiske begreber og det kan være svært at afgøre om en person i en brugerundersøgelse, eksempelvis via spørgeskemaer, rent faktisk har forstået meningen med et spørgsmål. At indbygge grafiske elementer i spørgeskemaerne kunne være en løsning. Det kunne eksempelvis være som animationer, interaktive billeder osv, alle elementer der vil opstille et velkendt scenarie for svarpersonen. Fordelen ved at lave sikkerhedsbevidstheds kampagner i en virksomhed er, at her kan ledelsen påtvinge alle medarbejdere at deltage. 1.2 Problemformulering Det primære formål med IT-sikkerhed er at sikre virksomhedens aktiver. Dette indebærer tre vigtige grundelementer - fortrolighed, integritet og tilgængelighed. Fortrolighed skal sikre, at aktiverne kun er tilgængelige for autoriserede personer. Integriteten sikrer, at et aktiv er hvad det ser ud til og ikke er ændret eller mangelfuldt. Til sidst skal tilgængelighed sikre, at aktivet er tilgængeligt når der er behov for det.[9] Formålet med dette projekt er dels at analysere situationen, hvor en medarbejder i en virksomhed kan arbejde på en sikker og fortrolig måde udenfor virksomhedens lokaliteter, set fra den synsvinkel, at kunne tilbyde tilstrækkelige faciliteter på en sikker måde til de medarbejdere hvis arbejde involvere en hvis grad af mobilitet, samt sikre at medarbejderne er bevidste omkring de tilhørende risici. Projektet udføres i samarbejde med en større virksomhed der stiller medarbejdere til rådighed, dels til at kunne spørgeskemaet men også til at kunne svare på spørgsmål omkring udformningen af eksempelvis fjernadgangsløsning og på hvilket grundlag de valgte løsninger i virksomheden bliver truffet. For at kunne lave en vurdering af de risici der er forbundet med mobile medarbejdere, og det at opretholde et tilstrækkeligt højt sikkerhedsniveau i virksomheden, kræver det både dækkende informationssikkerhedspolitikker samt løbende foretaget risikoanalyser. Derfor gennemgåes hvordan udformningen af henholds-

15 1.3 Rapport struktur 3 vis risikoanalyse og informationssikkerhedspolitik for mobile medarbejdere, kan laves. En række af de sikkerhedsproblemer, som etableringen af mobile medarbejdere kan medfører, skal også gennemgåes. Til mange af sikkerhedsproblemerne er givet forslag til hvordan disse afhjælpes. Relevante teknologier som VPN, firewalls, m.m. er også gennemgået. Dette er gjort som motivation for at kunne udarbejde en vurdering af virksomheden samt komme med forslag til forbedringer. Næsten alle virksomheder er i dag så godt beskyttet, af netop VPN løsninger, firewalls, antivirus programmer, osv., at trusler udefra menes at udgøre en væsentlig mindre risiko end interne trusler fra medarbejdere og tidligere medarbejdere. Ofte ved medarbejderen måske slet ikke at hans/hendes adfærd udgør en reel trussel mod virksomheden. Virksomheder kan derfor med fordel forsøge at øge bevidstheden hos sine medarbejdere så mange af de interne trusler minimeres eller helt undgås. Udfordringen ligger i, for virksomheder, at lave sikkerhedsbevidstheds kampagner, programmer, brugerundersøgelser osv. så simple og enkle at forstå, trods det til tider omhandler komplekse teknologiske begreber, at budskabet går klart ind hos medarbejderen. Der vil i projektet blive gennemgået eksempler på hvordan sikkerhedsbevidsthed programmer kan udformes. Der vil i denne sammenhæng også udarbejdes et internetbaseret spørgeskema, der forsøger at kombinere almindelige tekstbaserede spørgsmål med interaktive animationer hvorved svarpersonen bliver udsat for et velkendt scenarie og derved gerne skulle forøge forståelsen af spørgsmålet, trods det at spørgsmålet kan omhandle et komplekst teknologisk begreb. Målet med dette spørgeskema er at fastlægge et sikkerhedsbevidstheds niveau hos medarbejderne. 1.3 Rapport struktur Denne rapports struktur er som følger Kapitel 2: beskriver hvordan man i henhold til (D)ansk (S)tandard, DS 484:2005, kan udforme en risikoanalyse i en virksomhed. Kapitlet kommer med relevante forslag til risici der bør undersøges i forhold til mobile medarbejdere og deres udstyr. På baggrund af indledende risikoanalyse kan en informationssikkerhedspolitik udformes. Kapitel 3: beskriver hvordan man i henhold til DS 484:2005 kan udforme en sikkerhedspolitik. Kapitlet giver eksempel på punkter der er relevante at få med i en informationssikkerhedspolitik i forbindelse med mobile medarbejdere, udstyr og opkobling til virksomhedens netværk. Sammen med kapitel 2 danner dette kapitel grundlaget for hvor niveauet af sikkerhed lægges i en virksomhed.

16 4 Indledning Kapitel 4: beskriver nogle af de sikkerhedsproblemer der er i forbindelse med mobile medarbejdere. Herunder generelle problemer(fysisk sikkerhed, password, social engineering, og phishing), problemer ved trådløse teknologier(trådløst LAN) samt de mest udbredte teknologier(vpn, Autentificering, Kryptering, Firewall, osv.). Kapitlet danner grundlaget for den endelige vurdering af virksomheden. Kapitel 5: I dette kapitel gives en vurdering af virksomhedens sikkerhedsniveau. Grundlaget herfor bygger på de foregående kapitler samt interviews af væsentlige personer i virksomheden. Kapitel 6: beskriver lidt om vigtigheden af sikkerhedsbevidsthed samt hvilke muligheder for tiltag der er. Kapitel 7: beskriver udviklingen af det internetbaserede spørgeskema samt de tilhørende resultater. Kapitel 8: indeholder projektets konklusion. Kapitlet rundes af med en perspektivering, hvor der gives bud på fremtidig udvikling og viderudvikling af metoder til sikkerhedsbevidstheds brugerundersøgelser. Mange af de anvendte fagudtryk og forkotelser i rapporten er forklaret i ordbogen der findes i appendix A. I rapporten benyttes opløftede tal ( 1 ) som henviser til fodnoter, der vises nederst på siden. Tal i kantede paranteser [1] er kildehenvisninger til litteraturlisten bagerst i rapporten. 1.4 Beskrivelse af virksomheden I dette afsnit gives en kort beskrivelse af virksomheden som projektet er udført i samarbejde med. Herunder lidt om virksomheden generelt, hvilken type personer der er konfereret med og lidt om situationen i virksomheden i forbindelse med mobile medarbejdere. Generelt Virksomheden er involveret i områder som udvikling, salg, marketing og rådgivning. Der er tale om en større international virksomhed der på verdensplan har mere end ansatte primært i de nordiske lande. Alle virksomhedens arbejdsstationer er Windows-baserede og ved udgangen af 2007 skulle alle gerne benytte Windows XP som operativ system. 1 fodnote

17 1.4 Beskrivelse af virksomheden 5 Informationer om virksomheden er fået på baggrund af samtaler med forskellige væsentlige personer i virksomheden. Alle personer har en eller anden tilknytning til de mobile løsninger. Der har i forløbet været kontakt med virksomhedens IT-sikkerhedschef, forskellige IT udviklere og arkitekter som alle har haft en forbindelse til udviklingen af de sikkerhedsmæssige løsninger i forhold til mobile medarbejderes udstyr. Det er netop typisk udviklere og så sælgerne der benytter sig af mobile løsninger, det er også fra den målgruppe at besvarelserne på spørgeskemaet er kommet. Virksomheden har ønsket at optræde anonymt i denne afhandling - hvilket naturligvis respekteres - og derfor er nogle af de specifikke tekniske løsninger i forbindelse med vurderingen af virksomheden, eksempelvis ved fjernadgang løsningen, udeladt eller kun meget overordnet beskrevet. Der vil f.eks. ikke blive nævnt hvilke porte firewall en tillader eller blokerer, eller navn og model nummer på laptop s, VPN koncentrator, osv. En mere teknisk beskrivelse af virksomheden findes i kapitel 5

18 6 Indledning

19 Kapitel 2 Risikoanalyse Dette kapitel giver en overordnet beskrivelse af hhv. risikoanalyse og risikovurdering. Risikoanalysen danner grundlaget for udarbejdelsen en risikovurdering. Risikovurderingen kan opfattes som et filter, som ordner information om sårbarheder efter, hvor kritisk sårbarheden er, og som giver ledelsen et grundlag for prioritering af indsatsen. Fremgangsmåden i denne risikoanalyse er bygget op i henhold til eksemplet fra DS484:2005, Anneks B [26], og er lavet for området omkring virksomheders brug af mobile medarbejdere og fjernadgang til virksomhedsnetværket. En risikoanalyse er en vigtig del af det samlede sikkerhedsoverblik, og den er samtidig med til på en let og overskuelig måde, at belyse den eller de mest kritiske risici der bør sættes ind overfor. 2.1 Risikoanalyse I en risikoanalyse indgår en listning af potentielle trusler forbundet med virksomhedens anvendelse af IT, et estimat af konsekvenserne af uønskede hændelser samt en vurdering af sandsynligheden for forekomst af sådanne hændelser, og en angivelse af hvor sårbare de indgående IT ressourcer er. Fremgangsmåden kan inddeles i følgende 6 trin:

20 8 Risikoanalyse Tabel 2.1: Fremgangsmåde Trin Aktivitet Beskrivelse 1 Trusselliste Der opstilles her en liste over alle sikkerhedstruende hændelser, der er forekommet eller kan tænkes at forekomme. Listen nummereres og grupperes under en række hovedoverskrifter. 2 Sandsynlighed Ovennævnte trusselliste gennemgås, og der og konsekvens påføres en sandsynlighedsvurdering samt en vurdering af mulige forretningsmæssige konsekvenser. De mindst væsentlige elementer i listen, altså dem med lav sandsynlighed og lav konsekvens, kan elimineres. De resterende elementer skal beskrives så konkrete, at den forretningsmæssige konsekvens af sikkerhedsbristen vil være klar og tydelig for ledelsen. De forretningsmæssige konsekvenser opgøres oftest på en kvalitativ skala. 3 Trusselniveau Trusselniveauet sammenfattes i et diagram trusselbillede (se figur 2.1) med skadevirkning/konsekvens og sandsynlighed som akser. Idet alle sikkerhedstrusler, markeret ved deres nummer i trussellisten, indplaceres på diagrammet skabes et fint overblik over hvilke trusler der udgør de største risici. 4 Sikkerhedsmiljø Under gennemførelsen af trusselvurderingen har vi set bort fra virkningen af sikkerhedsmiljøet. Derfor skal nu alle eksisterende sikringsforanstaltninger og procedure relateres til den sikkerhedstruende hændelse identificeres og vurderes. 5 Samlet Her holdes trusselniveauet op imod risikobillede sikkerhedsmiljøet/sårbarhederne med henblik på at nå frem til en vurdering af det samlede risikoniveau eller det der betegnes som det overordnede risikobillede. Det sker ved, at hver enkelt nummererede trussel markeres i diagrammet risikobillede (se figur 2.2) ved sit trusselniveau (fra figur 2.1) og ved niveauet af det til truslen modsvarende sikkerhedsmiljø.

21 2.1 Risikoanalyse 9 Trin Aktivitet Beskrivelse 6 Risiko- Hvis risikoniveauet er for højt (mange i det røde begrænsning og gule område), er det ideen herefter gradvist at introducere flere sikringsforanstaltninger og procedure med henblik på at kunne flytte markeringerne for sikkerhedstruende hændelser tilbage på risikoniveau-skalaen. Dvs. fra rødt til gult til grønt område. De efterfølgende afsnit viser den i tabel 2.1 beskrevne fremgangsmåde til udformningen af en risikoanalyse. Der tages i disse afsnit udgangspunkt i trusler ved det kritiske område omkring mobile medarbejdere og fjernadgang til virksomheden Trusselliste Der medtages her trusler der er relateret til de tre hovedkategorier: fortrolighed, integritet og tilgængelighed. Den nedenstående trusselliste er baseret på et scenarie uden hensyntagen til eventuelle sikkerhedsforanstaltninger implementeret på mobile medarbejderes udstyr. De sikkerhedsforanstaltninger der måtte være taget på virksomhedens interne netværk er ikke i fokus i denne rapport og derfor indeholder listen kun trusler mod virksomhedens netværk der opstår i forbindelse med fjernadgangløsninger og mobile medarbejdere. Listen er inddelt i to hovedoverskrifter, trusler der kan forekomme på selve laptop en og trusler der kan forekomme når medarbejderen har koblet sig op på virksomhedens netværk. Hver trussel er angivet med en sandsynlighed og en konsekvens der begge er givet en skala: LAV-MIDDEL-HØJ:

22 10 Risikoanalyse Tabel 2.2: Trusselliste Nr Trussel Sandsynlighed Konsekvens På laptop 1 Tyveri af laptop MIDDEL MIDDEL 2 Laptop en bliver kompromitteret af en LAV MIDDEL hacker via Internettet eller netværket (LAN / WLAN) 3 Laptop en bliver kompromitteret som et MIDDEL LAV resultat af social engineering teknikker (Ondsindede web-sites, med vedhæftede trojansk hest,phishing, osv.) 4 Ikke-ansatte benytter laptop en (venner, MIDDEL MIDDEL familiemedlemmer, osv.) 5 Brugeren får ved en fejl gjort laptop en MIDDEL MIDDEL tilgængelig (Windows fildeling, P2P fildeling, osv.) 6 Tyveri af gamle backup medier LAV LAV 7 Data bliver ikke fjernet når gamle LAV LAV laptops bliver kasseret eller solgt videre. 8 Brugeren sletter information ved en fejl LAV LAV 9 System software går ned. MIDDEL MIDDEL 10 System hardware går ned. MIDDEL MIDDEL 11 Laptop bliver inficeret med virus eller LAV MIDDEL orm. 12 Alle VBA makroer kan eksekveres og kan MIDDEL HØJ potentielt indeholde virus eller lign. 13 Det er muligt at gemme/åbne animerings- LAV HØJ filer (.ani) - hvilket potentielt kan indeholde skadeligt kode. 14 arkiver skal ligge lokalt på LAV MIDDEL harddisken - en hacker der har fået fingre i en laptop, kan undgå windows logon skærmen og tilgå alle lokale filer - herunder også arkiver! (kræver at laptop en kun er låst og ikke slukket) 15 USB-port er helt åben MIDDEL HØJ

23 2.1 Risikoanalyse 11 Nr Trussel Sandsynlighed Konsekvens På virksomheds netværket 16 Uautoriseret læse adgang til følsomme LAV HØJ virksomheds informationer som kan medføre at disse bliver tilgængelige for konkurrerende virksomheder. 17 Systemet er kompromiteret (VPN servere, LAV LAV firewall, osv.) 18 En kompromitteret laptop bliver brugt LAV LAV som back-door til at få adgang til virksomhedens netværk. 19 En stjålet laptop bruges til at få MIDDEL MIDDEL adgang til virksomhedens netværk. 20 En gammel laptop bruges til at få adgang LAV LAV til virksomhedens netværk. 21 Uautoriseret skrive adgang kan medføre LAV HØJ at følsomme virksomheds informationer kan blive ændret og derved ikke længere er troværdige. 22 Uautoriseret skrive adgang kan tillade LAV HØJ at følsomme virksomheds informationer kan blive slettet. 23 En inficeret laptop kobles direkte til MIDDEL HØJ virksomheden netværk. 24 Det er endnu ikke muligt at opdatere HØJ HØJ laptops via fjernadgang, via fx ADSL opkobling hjemmefra. 25 VPN autentificering sker via simpelt HØJ LAV password(længde på 6 karakter - alle tal)

24 12 Risikoanalyse Sandsynlighed og konsekvens I tabel 2.1 står der beskrevet at sandsynligheden og de forretningsmæssige konsekvenser bør opgøres efter en kvalitativ skala. Disse vurderingsskalaer er bygget op på følgende måde: for sandsynlighed: 1. indtræffer meget sjældent. Betragtes som en teoretisk mulighed(lav) 2. forekommer af og til. Sket mindst en gang (MIDDEL) 3. forekommer hyppigt. Opserveret flere gange (HØJ) for forretningsmæssige konsekvenser: 1. ingen signifikant skade (LAV) 2. væsentlig skade (MIDDEL) 3. yderst alvorlig skade (HØJ) Sandsynligheder og konsekvens er inkluderet i trussellisten i tabel Trusselniveau Trusselniveauet sammenfattes i et såkaldt trusselbillede-diagram. Til at beskrive trusselniveauet benyttes igen skalaen HØJ-MIDDEL-LAV som er synliggjort ved farverne rød-gul-grøn i diagrammet. Det vil for eksempel sige, at markeringer placeret i det røde område er kritiske. Dette giver et umiddelbart mere visuelt overblik over trusselniveauet.

25 2.1 Risikoanalyse 13 Figur 2.1: Trusselbillede I figur 2.1 er indsat alle markeringerne fra trussellisten ind i trusselbilledet Sikkerhedsmiljøet Sikkerhedsmiljøet beskrives ved skalaen: STÆRK-MIDDEL-LAV og indsættes som en ekstra kolonne i trusselliste-tabellen 2.2. En samlet risikoanalyse skema kan derved udtrykkes ved følgende tabel: Trusler der i trusseldiagramet, figur 2.1, er markeret i grønt område er i tabel 2.3 udeladt for overskuelighedens skyld Det samlede risikobillede Her holdes trusselniveauet op imod sikkerhedsmiljøet og danner et samlet risikovurderingsdiagram. Skalaen vedrørende risikoniveauet er inddelt i følgende: 1. uacceptabel - rødt felt 2. delvis acceptabel - gult felt 3. acceptebel - grønt felt Det vil sige, at markeringer placeret i det rødt område er kritiske mens markeringer i grønt område er uden væsentlig betydning. Et overblik over risikoniveauet vil man derfor umiddelbart kunne opnå på grundlag af hvor nummermarkeringerne er placeret henne i diagrammet.

26 14 Risikoanalyse Tabel 2.3: Risikoanalyseskema Nr Trussel Sikkerhedsmiljø Forbedring [Sandsynlighed/Konsekvens] På laptop 1 Tyveri af laptop Laptop er beskyttet Ikke [MIDDEL/MIDDEL] med stærk nødvendigt. autentificering samt kryptering af harddisk. [STÆRK] 4 Ikke-ansatte benytter laptop en Laptop er beskyttet Der indføres (venner, familiemedlemmer, osv.) med firewall og regler for [MIDDEL/MIDDEL] antivirus program. hvem der ben- [MIDDEL] nytter laptopen 5 Brugeren får ved en fejl gjort Ikke muligt for laptop en tilgængelig (Windows almindelig bruger fildeling, P2P fildeling, osv.) kræver administrator [MIDDEL/MIDDEL] rettigheder [STÆRK] 9 System software går ned. Procedure findes. [MIDDEL/MIDDEL] Ved adgang til virksomhedens netværk er det muligt at geninstallere alt nødvendigt software [STÆRK] 10 System hardware går ned. Procedure findes. Mulighed for at [MIDDEL/MIDDEL] [STÆRK] låne udstyr under reperation 12 Alle VBA makroer kan eksekveres Antivirus program Bør kun tillade og kan potentielt indeholde bruges. signerede virus eller lign. Men gennerelt kan makroer. Sikker- [MIDDEL/HØJ] alle makroer køres. hedsniveau [LAV] 15 USB-port er helt åben Ingen kontrol med [MIDDEL/HØJ] USB-porte. [LAV] ændres til Meget Høj

27 2.1 Risikoanalyse 15 Nr Trussel Sikkerhedsmiljø Forbedring [Sandsynlighed/Konsekvens] På virksomheds netværket 19 En stjålet laptop bruges til at Procedure findes. få adgang til virksomhedens [STÆRK] netværk. [MIDDEL/MIDDEL] 23 En inficeret laptop kobles Procedure findes. direkte til virksomheden [STÆRK] netværk. [MIDDEL/HØJ] 24 Det er endnu ikke muligt at Ingen kontrol om Der skal udarbejopdatere laptops via fjernadgang, software er des en løsning så via fx ADSL opkobling hjemmefra. opdateret. laptop en kan få [HØJ/HØJ] [LAV] installeret sikkerheds opdates via fjernadgang I dette trin omsættes trusselsbilledet, figur 2.1, til et risikobillede, figur 2.2, ved en overføring af hver enkelt nummereret trussel fra trusselbilledet til risikobilledet, således at der sker en markering af trusselniveauet og af niveauet af de til truslen modsvarende sikkerhedsmiljø. Det nye risikobillede kan ses i figur 2.2.

28 16 Risikoanalyse Figur 2.2: Risikobillede Risikobegrænsning Er nogle trusler markeret i rødt og gult område i risikobilledet er det alle trusler der bør tages stilling til om der skal foretages nogle nye eller ekstra foranstaltninger i virksomheden. Ledelsen kan eksempelvis sætte sig det mål, at de vil have fjernet alle markeringer i det rødt område samt hovedparten af dem i gult område. Her er imidlertid andre vigtige overvejelse der gør sig gældende, f.eks. økonomiske. Virksomheden må her overveje de omkostninger der er forbundet med både det at få udbedret truslerne og derved flere sikkerhedsforanstaltninger i virksomheden op mod de omkostninger og konsekvenser det kan have ved ikke at ændre på nuværende niveau. 2.2 Risikovurdering Når man skal vurdere informationssikkerheden i en virksomhed er det altid en god ide at starte med at lave en risikovurdering. En risikovurdering skal gennemføres regelmæssigt og bør give information om: Hvilke aktiver, herunder data, der er kritiske for organisationens aktiviteter. Hvilke risici, der kan true organisationens aktiver.

29 2.3 Opsummering 17 Hvilke risici, der kan påvirke omverdenens tillid til organisationens data. Hvad det vil koste at fastholde risikoen på et niveau, som ledelsen finder acceptabelt. Hvilke udækkede risici, som fortsat er til stede. Mange danske virksomheder der foretager sådan en vurdering gør det i dag oftest i henhold til DS484:2005[26] men det er dog ikke et krav. Andre skrevne guides som ISO 27001:2005[15] kan også benyttes. Risikovurdering anvendes til at undersøge hvilke forretningsmæssige risici en virksomhed er udsat for, når den benytter sig af informationsteknologi. Herefter kan den resulterende vurdering, set i sammenhæng med eksempelvis lovgivningskrav og andre forretningsmæssige forhold, anvendes som grundlag for beslutning om hvilke sikkerhedsforanstaltninger og procedurer, der skal i- værksættes. Den samlede vurdering af virksomheden kan ses i kapitel Opsummering Brugen af risikovurderingen lægger op til, at man ikke skal have IT-sikkerhed for enhver pris, og at den sikkerhed man beslutter sig for skal lægges på et niveau, der modsvarer de trusler der realistisk set kan forekomme. En indledende risikovurdering og risikoanalyse kan være en stor hjælp til udformningen af en sikkerhedspolitik. Kapitlet lister en række trusler der alle er væsentlige i forbindelse med det at have mobile medarbejdere der skal kunne koble sig op på virksomhedens netværk også fra lokaliteter der ligger uden for virksomhedens kontrol. Nogle af truslerne kan mindskes ved tekniske foranstaltninge mens andre kræver en ændret adfær fra enten virksomheden eller medarbejderens side.

30 18 Risikoanalyse

31 Kapitel 3 Sikkerhedspolitik Dette kapitel beskriver først lidt omkring de gældende best practices og standarder som virksomheder har mulighed for at benytte og hente vejledning fra, når informationssikkerhedspolitikken skal udformes. Herefter en beskrivelse af opbygning og indhold i en sikkerhedspolitik med eksempler på hvordan en sådan kan udformes i henhold til gældende standarder og/eller best practices. Sikkerhedspolitikken er en vigtig del af virksomheden og danner grundlag for virksomhedens datasikkerhed. Sikkerhedspolitikken fastlægges i høj grad på baggrund af viden om sårbarhederne i den pågældende virksomhed. 3.1 Best practices og Standarder Informationssikkerhed bliver heldigvis stadig mere standardiseret og i forbindelse med implementering af mobile arbejdspladser har en række organisationer udarbejdet vejledninger og dokumenter med anbefalinger. Disse anbefalinger er ofte udarbejdet som en række krav til hvordan sikkerheden bør håndteres, de skal dog ikke ses som en komplet guide til sikker implementering af mobile arbejdspladser, men som det fremgår af navnet er de blot anbefalinger man kan tage udgangspunkt i. Standarder bruges til at danne grundlaget for informationssikkerhedsarbejdet og til at hæve det generelle sikkerhedsniveau i virksomheden. I Europa benyttes primært ISO/IEC 27001:2005 [15] og i Danmark, Dansk Standard DS484:2005

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Panda Antivirus + Firewall 2007 NYT Titanium Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

En introduktion til. IT-sikkerhed 16-12-2015

En introduktion til. IT-sikkerhed 16-12-2015 En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse

Læs mere

Version 8.0. BullGuard. Backup

Version 8.0. BullGuard. Backup Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

Håndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015

Håndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015 Håndbog - MobilePass Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015 Version Forfatter Dato Dokumentstatus 1.0 Maria Mathiesen 1. december 2014 Oprettet 1.1 Maria Mathiesen 16. december 2014

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Salg af servere. Torben Vig Nelausen Produktchef Windows Server Familien

Salg af servere. Torben Vig Nelausen Produktchef Windows Server Familien Salg af servere. Torben Vig Nelausen Produktchef Windows Server Familien Trin 1: Hvem skal købe en Server? Trin 1: Hvem skal købe en Server? Lyt efter nøgle-ord der kan identificiere en kunde der endnu

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net 18. november 2011 Vejledning Windows 7 - eklient Opkobling via ADSL eller anden kabelforbindelse til P-net. Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net Cisco AnyConnect

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Hjemmearbejdspladser

Hjemmearbejdspladser Hjemmearbejdspladser Vejledning om it-sikkerhed på pc-hjemmearbejdspladser September 2007 ITEK og Dansk Industri Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen og Rasmus Aasted ISBN: 87-7353-662-8

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

IT- SIKKERHED. Praktiske Råd til hvordan du forbedrer din sikkerhed i dag

IT- SIKKERHED. Praktiske Råd til hvordan du forbedrer din sikkerhed i dag IT- SIKKERHED Praktiske Råd til hvordan du forbedrer din sikkerhed i dag IT-KRIMINALITET & -SIKKERHED 1 Praktiske Råd Nedenfor følger praktiske råd til, hvordan man umiddelbart kan forbedre sin IT-sikkerhed

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Vejledning i anvendelse af Banedanmarks nye løsning for fjernopkobling. 2. Forudsætninger for anvendelse af ny løsning til fjernopkobling

Vejledning i anvendelse af Banedanmarks nye løsning for fjernopkobling. 2. Forudsætninger for anvendelse af ny løsning til fjernopkobling Vejledning i anvendelse af Banedanmarks nye løsning for fjernopkobling Publiceringsdato Sidst ændret 22/08-2011 Version 4.22 1. Introduktion Banedanmark (BDK) har ændret den måde, man foretager fjernopkobling

Læs mere

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017 Hackingens 5 faser Kim Elgaard, Solution Engineer, Dubex A/S 21. marts 2017 Agenda Angrebs vectorer Hackingens faser, samt beskyttelsen Hverdagseksempler Hvad kan vi gøre Praktiske anbefalinger Live demo

Læs mere

Netprøver.dk. Nødprocedurer ved afvikling af prøver i Netprøver.dk

Netprøver.dk. Nødprocedurer ved afvikling af prøver i Netprøver.dk Netprøver.dk Nødprocedurer ved afvikling af prøver i Netprøver.dk 2. februar 2017 Indhold 1 Introduktion... 3 1.1 Hvilke nødprocedurer kan tages i brug?... 3 1.2 Vær forberedt på det uventede!... 4 2 Nødprocedure

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer (PC og Mac) samt virksomhedens servere og IT-infrastruktur. Sikker Drift Sikker Drift Standard Sikker Drift Light

Læs mere

F-Secure Mobile Security for S60

F-Secure Mobile Security for S60 F-Secure Mobile Security for S60 1. Installation og aktivering Tidligere version Installation Du behøver ikke at fjerne den forrige version af F-Secure Mobile Anti-Virus. Kontroller indstillingerne for

Læs mere

FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB

FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB HVIDBOG ULÅSTE DØRE FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB Mens IT-teams fokuserer på andre slutpunkter, halter sikkerheden for virksomhedernes printere bagefter Printere

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

NYT Panda Antivirus 2007 Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din PC. Afinstaller

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router:

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router: Velkommen til Foreningen Kollegienet Odense (FKO). Ved at udfylde og indsende tilmeldingsblanketten bagerst i denne folder har du mulighed for at benytte internet og internt netværk med FKO som din professionelle

Læs mere

Mini-guide: Sådan sikrer du din computer mod virus

Mini-guide: Sådan sikrer du din computer mod virus Mini-guide: Sådan sikrer du din computer mod virus Efter Java-hullet: Væn dig til det din computer bliver aldrig 100 % sikker. Men derfor kan vi jo godt prøve at beskytte den så vidt mulig alligevel. Vi

Læs mere

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Google Cloud Print vejledning

Google Cloud Print vejledning Google Cloud Print vejledning Version A DAN Definitioner af bemærkninger Vi bruger følgende stil til bemærkninger gennem hele brugsanvisningen: Bemærkninger fortæller, hvordan du skal reagere i en given

Læs mere

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning Microsoft Windows 7 / Vista / XP / 2000 / Home Server Startvejledning ESET Smart Security leverer avanceret beskyttelse af din computer mod skadelig kode. Baseret på ThreatSense -scanningsmotoren, som

Læs mere

WWW.CERT.DK Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

WWW.CERT.DK Forskningsnettets deltagelse i det danske operationelle ISP-beredskab Forskningsnettets deltagelse i det danske operationelle ISP-beredskab Preben Andersen, chefkonsulent Forskningsnet CERT 1 Kodeks: Tiltrædelse ISP-Sikkerhedsforum Håndtering af trusler mod infrastrukturen

Læs mere

VPN Windows 7. Denne guide viser dig, hvordan du konfigurerer VPN på din pc, og hvordan du nemt og hurtigt opretter og afbryder forbindelsen.

VPN Windows 7. Denne guide viser dig, hvordan du konfigurerer VPN på din pc, og hvordan du nemt og hurtigt opretter og afbryder forbindelsen. 1 VPN Windows 7 VPN (Virtual Private Network) er en forbindelsesmulighed, som giver dig adgang til netværket på dit institut eller dit arbejde, når du befinder dig uden for netværket. For at få VPN-adgang

Læs mere

Trådløs (kun udvalgte modeller)

Trådløs (kun udvalgte modeller) Trådløs (kun udvalgte modeller) Brugervejledning Copyright 2006 Hewlett-Packard Development Company, L.P. Microsoft og Windows er amerikanskregistrerede varemærker tilhørende Microsoft Corporation. Bluetooth

Læs mere

Google Cloud Print vejledning

Google Cloud Print vejledning Google Cloud Print vejledning Version 0 DAN Definitioner af bemærkninger Vi bruger følgende ikon gennem hele brugsanvisningen: Bemærkninger fortæller, hvordan du skal reagere i en given situation, eller

Læs mere

Freeware for PC security

Freeware for PC security Freeware for PC security Indledning: For en privat person kan det være svært at finde ud af, hvad der er godt for at kunne beskytte sin computer. Denne rapport vil prøve at dække nogle af de programmer,

Læs mere

OBS! Der kan være forskellige fremgangsmåder for de forskellige Androidmodeller.

OBS! Der kan være forskellige fremgangsmåder for de forskellige Androidmodeller. Sikkerhed på Android OBS! Der kan være forskellige fremgangsmåder for de forskellige Androidmodeller. Opdatering af telefonen Det er vigtigt at holde telefonen opdateret med den nyeste software, da eventuelle

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Gode råd til brugerne: Bekæmp PHISHING!

Gode råd til brugerne: Bekæmp PHISHING! Baggrund Senest i perioden juli og august 2009 har UC Lillebælt været udsat for forskellige forsøg på at udnytte vores it-systemer til at indsamle personlige data og kommunikere ulovligt reklamemateriale.

Læs mere

Toshiba EasyGuard i brug: Portégé M300

Toshiba EasyGuard i brug: Portégé M300 Den ultimative og robuste all-in-one ultrabærbare pc. Toshiba EasyGuard består af en række funktioner, der hjælper erhvervskunder med at opfylde deres behov for større datasikkerhed, avanceret systembeskyttelse

Læs mere

Network Admission Control

Network Admission Control DM71 Network Admission Control Lasse Birnbaum Jensen, 040380 8. maj 2006 gymer@imada.sdu.dk Indhold 1 Indledning 2 2 Sikkerhedstrusler 3 2.1 Fokus tilbageblik.................................... 3 2.2

Læs mere

ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone

ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone Side 1 af 18 ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone Side 2 af 18 Indholdsfortegnelse ereolen.dk... 1 1. Første gang du vil anvende ereolen.dk... 3 1.1 Opret

Læs mere

Sådan opretter du en backup

Sådan opretter du en backup Excovery Guide Varighed: ca. 15 min Denne guide gennemgår hvordan du opretter en backup med Excovery. Guiden vil trinvist lede dig igennem processen, og undervejs introducere dig for de grundlæggende indstillingsmulighed.

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere