Den Sikre Mobile Medarbejder

Størrelse: px
Starte visningen fra side:

Download "Den Sikre Mobile Medarbejder"

Transkript

1 Den Sikre Mobile Medarbejder Kenny Magnusson Kongens Lyngby 2007 IMM-THESIS

2 Technical University of Denmark Informatics and Mathematical Modelling Building 321, DK-2800 Kongens Lyngby, Denmark Phone , Fax

3 Abstract The modern business trend is for employees to use a variety of mobile devices to assist them in a wide spectrum of activities. A typical executive, salesperson or engineer may, for example, travel round with a laptop PC, a PDA and a mobile smartphone, all of which may contain information that is important, perhaps even vital, for his or her company. These devices may be extensively used outside the company premises, for example at home, in conference rooms, at the airport, in hotels and so on - locations where security is not under the company s control and may be very poor. In this thesis, the situation above has been analyzed by evaluating the security risks associated with employees whose work involves a degree of mobility. The thesis also involves an investigation of the level of security awareness among employees of a concrete company, evaluating the security risks which this form of working creates and making proposals for how the company can mitigate these security risks. As a part of this investigation, an internet-based survey regarding the use of wireless networks has been developed. The survey is designed as a combination of normal text-based questions and animated pictures which allows the respondents to interact on known scenarios and hopefully get a better understanding of the question even though it might be of a complex technological matter.

4 ii

5 Resume Det bliver i dag mere og mere almindeligt for virksomheder at udstyre deres medarbejdere med en række forskellige mobile apparater til at hjælpe dem med et bredt spektrum af aktiviteter. En typisk leder, salgsperson eller ingeniør kan for eksempel rejse rundt med en laptop, en PDA og en smartphone, der alle kan indeholde informationer som er vigtige, eller måske endda vitale for vedkomnes virksomhed. Disse apparater kan i stor udstrækning benyttes udenfor virksomhedens lokaliteter, for eksempel hjemme, i konferencerum, i lufthavnen, på hoteller osv. - alle steder hvor sikkerheden ikke er under virksomhedens kontrol og kan være ganske dårlig. I denne afhandling analyseres denne situation ved at se på en række af de sikkerhedsproblemer der er forbundet med medarbejdere hvis arbejde involvere en hvis grad af mobilitet. Afhandlingen involverer også en undersøgelse af sikkerhedsbevidstheden blandt medarbejdere fra en konkret virksomhed, en evaluering af de sikkerhedsproblemer som opstår ved denne form for arbejde, samt udarbejder forslag til hvordan virksomheden kan undgå disse sikkerhedsproblemer. Som en del af undersøgelsen er der udarbejdet et internetbaseret spørgeskema omhandlende brugen af trådløst netværk. Spørgeskemaet er designet som en kombination af almindelige tekstbaserede spørgsmål og animerede billeder så svarpersonerne på mange af de mere komplekse teknologiske begreber får opstillet et velkendt scenarie og dermed sikre en forhåbentlig forøget forståelse af spørgsmålet.

6 iv

7 Forord Dette projekt er udført som afsluttende eksamensprojekt på civilingeniørstudiet på Danmarks Tekniske Universitet. Projektet er udført ved instituttet Informatik og Matematisk Modellering under vejledning af Robin Sharp. Projektet er udført i perioden mellem 1.Juni og 1.December Jeg vil gerne rette en tak til Robin Sharp der i forbindelse med udarbejdelsen af dette projekt har været meget åben og hjælpsom. Jeg vil også gerne rette en tak til de personer i virksomheden som jeg har haft kontakt med. Både til dem der har svaret på spørgeskemaet og til dem der har kunnet svare på spørgsmål af mere teknisk karakter. Til sidst en stor tak til familie og venner for støtte og korrekturlæsning på rapporten. Lyngby, December 2007 Kenny Magnusson

8 vi

9 Indhold Abstract Resume Forord i iii v 1 Indledning Motivation Problemformulering Rapport struktur Beskrivelse af virksomheden Risikoanalyse Risikoanalyse Risikovurdering Opsummering Sikkerhedspolitik Best practices og Standarder Informationssikkerhedspolitik Opsummering

10 viii INDHOLD 4 Sikkerhedsproblemer ved mobile medarbejdere Generelle problemer Sikkerhedsproblemer ved trådløse netværk Udbredte teknologier i forbindelse med fjernadgang Vurdering af virksomheden Beslutningsgrundlag Udstyr Opkobling til virksomhedens netværk Forslag til forbedringer Opsummering Sikkerhedsbevidsthed IT Sikkerhedsbevidsthed Udvikling af IT Sikkerhedsbevidstheds programmer Opsummering XAware - hjemmeside Adobe Captivate Udvikling af spørgeskema Resultater Forbedringer Udvikling af nye spørgeskemaer Opsummering Konklusion Fremtidigt arbejde A Ordbog 105 B OSI-Modellen 111

11 INDHOLD ix C Bevidsthedsfremmende tekniker 115 D Xaware 123 D.1 Kildekode D.2 Skærmbilleder af XAware Bibliography 271

12 x INDHOLD

13 Kapitel 1 Indledning 1.1 Motivation At arbejde hjemmefra eller fra en anden lokalitet uden for virksomheden er i dag en stor del af hverdagen for mange mennesker. Den fortsatte stigende brug af IT systemer har ændret den måde vi opbevare, tilgår og kommunikere informationer. For mange mennesker er computeren og/eller mobiltelefonen i dag det vigtigste redskab i forbindelse med arbejdet og det er derfor også vigtigt at både virksomheden og medarbejderen kender de sikkerhedsmæssige risici der er forbundet med brugen af det mobile udstyr. Det mobile udstyr som en medarbejder kan benytte sig af er i dette projekt defineret som en laptop (bærbar PC) og/eller en mobiltelefon med samme funktionaltitet som en smartphone. En sådan mobiltelefon er kendetegnet ved at være fysisk mindre og være mindre resourcekrævende end en laptop men ofte med de samme funktionaliteter. Derfor er det væsentligt at de begge som udgangspunkt bliver betragtet ens sikkerhedsmæssigt. I forbindelse med mobile medarbejdere er udfordringen at få udstyret sikret så samme høje niveau af sikkerhed opnås, som på virksomheden øvrige udstyr. Da den mobile medarbejders udstyr ofte anvendes udenfor virksomheden, er den sjældent sikret fysisk på samme måde som stationære arbejdspladser i virksom-

14 2 Indledning heden. Den mobile medarbejder skal også have mulighed for på en sikker måde at kunne koble sig op på virksomhedens netværk også fra steder der ligger uden for virksomhedens kontrol. Udover at udstyret skal være sikret, vil en øget sikkerhedsbevidsthed hos medarbejdere også kunne forhindre eller mindske risikoen for både eksterne og interne trusler mod virksomheden. Sikkerhedsbevidsthed, eller på engelsk Security Awareness, er en betegnelse for hvad man forstår ved sikkerhed og hvor højt man prioriterer det. At fastlægge et niveau inden for IT sikkerhedsbevidsthed er ofte forbundet med nogen usikkerhed. For emner inden for IT er ofte komplekse teknologiske begreber og det kan være svært at afgøre om en person i en brugerundersøgelse, eksempelvis via spørgeskemaer, rent faktisk har forstået meningen med et spørgsmål. At indbygge grafiske elementer i spørgeskemaerne kunne være en løsning. Det kunne eksempelvis være som animationer, interaktive billeder osv, alle elementer der vil opstille et velkendt scenarie for svarpersonen. Fordelen ved at lave sikkerhedsbevidstheds kampagner i en virksomhed er, at her kan ledelsen påtvinge alle medarbejdere at deltage. 1.2 Problemformulering Det primære formål med IT-sikkerhed er at sikre virksomhedens aktiver. Dette indebærer tre vigtige grundelementer - fortrolighed, integritet og tilgængelighed. Fortrolighed skal sikre, at aktiverne kun er tilgængelige for autoriserede personer. Integriteten sikrer, at et aktiv er hvad det ser ud til og ikke er ændret eller mangelfuldt. Til sidst skal tilgængelighed sikre, at aktivet er tilgængeligt når der er behov for det.[9] Formålet med dette projekt er dels at analysere situationen, hvor en medarbejder i en virksomhed kan arbejde på en sikker og fortrolig måde udenfor virksomhedens lokaliteter, set fra den synsvinkel, at kunne tilbyde tilstrækkelige faciliteter på en sikker måde til de medarbejdere hvis arbejde involvere en hvis grad af mobilitet, samt sikre at medarbejderne er bevidste omkring de tilhørende risici. Projektet udføres i samarbejde med en større virksomhed der stiller medarbejdere til rådighed, dels til at kunne spørgeskemaet men også til at kunne svare på spørgsmål omkring udformningen af eksempelvis fjernadgangsløsning og på hvilket grundlag de valgte løsninger i virksomheden bliver truffet. For at kunne lave en vurdering af de risici der er forbundet med mobile medarbejdere, og det at opretholde et tilstrækkeligt højt sikkerhedsniveau i virksomheden, kræver det både dækkende informationssikkerhedspolitikker samt løbende foretaget risikoanalyser. Derfor gennemgåes hvordan udformningen af henholds-

15 1.3 Rapport struktur 3 vis risikoanalyse og informationssikkerhedspolitik for mobile medarbejdere, kan laves. En række af de sikkerhedsproblemer, som etableringen af mobile medarbejdere kan medfører, skal også gennemgåes. Til mange af sikkerhedsproblemerne er givet forslag til hvordan disse afhjælpes. Relevante teknologier som VPN, firewalls, m.m. er også gennemgået. Dette er gjort som motivation for at kunne udarbejde en vurdering af virksomheden samt komme med forslag til forbedringer. Næsten alle virksomheder er i dag så godt beskyttet, af netop VPN løsninger, firewalls, antivirus programmer, osv., at trusler udefra menes at udgøre en væsentlig mindre risiko end interne trusler fra medarbejdere og tidligere medarbejdere. Ofte ved medarbejderen måske slet ikke at hans/hendes adfærd udgør en reel trussel mod virksomheden. Virksomheder kan derfor med fordel forsøge at øge bevidstheden hos sine medarbejdere så mange af de interne trusler minimeres eller helt undgås. Udfordringen ligger i, for virksomheder, at lave sikkerhedsbevidstheds kampagner, programmer, brugerundersøgelser osv. så simple og enkle at forstå, trods det til tider omhandler komplekse teknologiske begreber, at budskabet går klart ind hos medarbejderen. Der vil i projektet blive gennemgået eksempler på hvordan sikkerhedsbevidsthed programmer kan udformes. Der vil i denne sammenhæng også udarbejdes et internetbaseret spørgeskema, der forsøger at kombinere almindelige tekstbaserede spørgsmål med interaktive animationer hvorved svarpersonen bliver udsat for et velkendt scenarie og derved gerne skulle forøge forståelsen af spørgsmålet, trods det at spørgsmålet kan omhandle et komplekst teknologisk begreb. Målet med dette spørgeskema er at fastlægge et sikkerhedsbevidstheds niveau hos medarbejderne. 1.3 Rapport struktur Denne rapports struktur er som følger Kapitel 2: beskriver hvordan man i henhold til (D)ansk (S)tandard, DS 484:2005, kan udforme en risikoanalyse i en virksomhed. Kapitlet kommer med relevante forslag til risici der bør undersøges i forhold til mobile medarbejdere og deres udstyr. På baggrund af indledende risikoanalyse kan en informationssikkerhedspolitik udformes. Kapitel 3: beskriver hvordan man i henhold til DS 484:2005 kan udforme en sikkerhedspolitik. Kapitlet giver eksempel på punkter der er relevante at få med i en informationssikkerhedspolitik i forbindelse med mobile medarbejdere, udstyr og opkobling til virksomhedens netværk. Sammen med kapitel 2 danner dette kapitel grundlaget for hvor niveauet af sikkerhed lægges i en virksomhed.

16 4 Indledning Kapitel 4: beskriver nogle af de sikkerhedsproblemer der er i forbindelse med mobile medarbejdere. Herunder generelle problemer(fysisk sikkerhed, password, social engineering, og phishing), problemer ved trådløse teknologier(trådløst LAN) samt de mest udbredte teknologier(vpn, Autentificering, Kryptering, Firewall, osv.). Kapitlet danner grundlaget for den endelige vurdering af virksomheden. Kapitel 5: I dette kapitel gives en vurdering af virksomhedens sikkerhedsniveau. Grundlaget herfor bygger på de foregående kapitler samt interviews af væsentlige personer i virksomheden. Kapitel 6: beskriver lidt om vigtigheden af sikkerhedsbevidsthed samt hvilke muligheder for tiltag der er. Kapitel 7: beskriver udviklingen af det internetbaserede spørgeskema samt de tilhørende resultater. Kapitel 8: indeholder projektets konklusion. Kapitlet rundes af med en perspektivering, hvor der gives bud på fremtidig udvikling og viderudvikling af metoder til sikkerhedsbevidstheds brugerundersøgelser. Mange af de anvendte fagudtryk og forkotelser i rapporten er forklaret i ordbogen der findes i appendix A. I rapporten benyttes opløftede tal ( 1 ) som henviser til fodnoter, der vises nederst på siden. Tal i kantede paranteser [1] er kildehenvisninger til litteraturlisten bagerst i rapporten. 1.4 Beskrivelse af virksomheden I dette afsnit gives en kort beskrivelse af virksomheden som projektet er udført i samarbejde med. Herunder lidt om virksomheden generelt, hvilken type personer der er konfereret med og lidt om situationen i virksomheden i forbindelse med mobile medarbejdere. Generelt Virksomheden er involveret i områder som udvikling, salg, marketing og rådgivning. Der er tale om en større international virksomhed der på verdensplan har mere end ansatte primært i de nordiske lande. Alle virksomhedens arbejdsstationer er Windows-baserede og ved udgangen af 2007 skulle alle gerne benytte Windows XP som operativ system. 1 fodnote

17 1.4 Beskrivelse af virksomheden 5 Informationer om virksomheden er fået på baggrund af samtaler med forskellige væsentlige personer i virksomheden. Alle personer har en eller anden tilknytning til de mobile løsninger. Der har i forløbet været kontakt med virksomhedens IT-sikkerhedschef, forskellige IT udviklere og arkitekter som alle har haft en forbindelse til udviklingen af de sikkerhedsmæssige løsninger i forhold til mobile medarbejderes udstyr. Det er netop typisk udviklere og så sælgerne der benytter sig af mobile løsninger, det er også fra den målgruppe at besvarelserne på spørgeskemaet er kommet. Virksomheden har ønsket at optræde anonymt i denne afhandling - hvilket naturligvis respekteres - og derfor er nogle af de specifikke tekniske løsninger i forbindelse med vurderingen af virksomheden, eksempelvis ved fjernadgang løsningen, udeladt eller kun meget overordnet beskrevet. Der vil f.eks. ikke blive nævnt hvilke porte firewall en tillader eller blokerer, eller navn og model nummer på laptop s, VPN koncentrator, osv. En mere teknisk beskrivelse af virksomheden findes i kapitel 5

18 6 Indledning

19 Kapitel 2 Risikoanalyse Dette kapitel giver en overordnet beskrivelse af hhv. risikoanalyse og risikovurdering. Risikoanalysen danner grundlaget for udarbejdelsen en risikovurdering. Risikovurderingen kan opfattes som et filter, som ordner information om sårbarheder efter, hvor kritisk sårbarheden er, og som giver ledelsen et grundlag for prioritering af indsatsen. Fremgangsmåden i denne risikoanalyse er bygget op i henhold til eksemplet fra DS484:2005, Anneks B [26], og er lavet for området omkring virksomheders brug af mobile medarbejdere og fjernadgang til virksomhedsnetværket. En risikoanalyse er en vigtig del af det samlede sikkerhedsoverblik, og den er samtidig med til på en let og overskuelig måde, at belyse den eller de mest kritiske risici der bør sættes ind overfor. 2.1 Risikoanalyse I en risikoanalyse indgår en listning af potentielle trusler forbundet med virksomhedens anvendelse af IT, et estimat af konsekvenserne af uønskede hændelser samt en vurdering af sandsynligheden for forekomst af sådanne hændelser, og en angivelse af hvor sårbare de indgående IT ressourcer er. Fremgangsmåden kan inddeles i følgende 6 trin:

20 8 Risikoanalyse Tabel 2.1: Fremgangsmåde Trin Aktivitet Beskrivelse 1 Trusselliste Der opstilles her en liste over alle sikkerhedstruende hændelser, der er forekommet eller kan tænkes at forekomme. Listen nummereres og grupperes under en række hovedoverskrifter. 2 Sandsynlighed Ovennævnte trusselliste gennemgås, og der og konsekvens påføres en sandsynlighedsvurdering samt en vurdering af mulige forretningsmæssige konsekvenser. De mindst væsentlige elementer i listen, altså dem med lav sandsynlighed og lav konsekvens, kan elimineres. De resterende elementer skal beskrives så konkrete, at den forretningsmæssige konsekvens af sikkerhedsbristen vil være klar og tydelig for ledelsen. De forretningsmæssige konsekvenser opgøres oftest på en kvalitativ skala. 3 Trusselniveau Trusselniveauet sammenfattes i et diagram trusselbillede (se figur 2.1) med skadevirkning/konsekvens og sandsynlighed som akser. Idet alle sikkerhedstrusler, markeret ved deres nummer i trussellisten, indplaceres på diagrammet skabes et fint overblik over hvilke trusler der udgør de største risici. 4 Sikkerhedsmiljø Under gennemførelsen af trusselvurderingen har vi set bort fra virkningen af sikkerhedsmiljøet. Derfor skal nu alle eksisterende sikringsforanstaltninger og procedure relateres til den sikkerhedstruende hændelse identificeres og vurderes. 5 Samlet Her holdes trusselniveauet op imod risikobillede sikkerhedsmiljøet/sårbarhederne med henblik på at nå frem til en vurdering af det samlede risikoniveau eller det der betegnes som det overordnede risikobillede. Det sker ved, at hver enkelt nummererede trussel markeres i diagrammet risikobillede (se figur 2.2) ved sit trusselniveau (fra figur 2.1) og ved niveauet af det til truslen modsvarende sikkerhedsmiljø.

21 2.1 Risikoanalyse 9 Trin Aktivitet Beskrivelse 6 Risiko- Hvis risikoniveauet er for højt (mange i det røde begrænsning og gule område), er det ideen herefter gradvist at introducere flere sikringsforanstaltninger og procedure med henblik på at kunne flytte markeringerne for sikkerhedstruende hændelser tilbage på risikoniveau-skalaen. Dvs. fra rødt til gult til grønt område. De efterfølgende afsnit viser den i tabel 2.1 beskrevne fremgangsmåde til udformningen af en risikoanalyse. Der tages i disse afsnit udgangspunkt i trusler ved det kritiske område omkring mobile medarbejdere og fjernadgang til virksomheden Trusselliste Der medtages her trusler der er relateret til de tre hovedkategorier: fortrolighed, integritet og tilgængelighed. Den nedenstående trusselliste er baseret på et scenarie uden hensyntagen til eventuelle sikkerhedsforanstaltninger implementeret på mobile medarbejderes udstyr. De sikkerhedsforanstaltninger der måtte være taget på virksomhedens interne netværk er ikke i fokus i denne rapport og derfor indeholder listen kun trusler mod virksomhedens netværk der opstår i forbindelse med fjernadgangløsninger og mobile medarbejdere. Listen er inddelt i to hovedoverskrifter, trusler der kan forekomme på selve laptop en og trusler der kan forekomme når medarbejderen har koblet sig op på virksomhedens netværk. Hver trussel er angivet med en sandsynlighed og en konsekvens der begge er givet en skala: LAV-MIDDEL-HØJ:

22 10 Risikoanalyse Tabel 2.2: Trusselliste Nr Trussel Sandsynlighed Konsekvens På laptop 1 Tyveri af laptop MIDDEL MIDDEL 2 Laptop en bliver kompromitteret af en LAV MIDDEL hacker via Internettet eller netværket (LAN / WLAN) 3 Laptop en bliver kompromitteret som et MIDDEL LAV resultat af social engineering teknikker (Ondsindede web-sites, med vedhæftede trojansk hest,phishing, osv.) 4 Ikke-ansatte benytter laptop en (venner, MIDDEL MIDDEL familiemedlemmer, osv.) 5 Brugeren får ved en fejl gjort laptop en MIDDEL MIDDEL tilgængelig (Windows fildeling, P2P fildeling, osv.) 6 Tyveri af gamle backup medier LAV LAV 7 Data bliver ikke fjernet når gamle LAV LAV laptops bliver kasseret eller solgt videre. 8 Brugeren sletter information ved en fejl LAV LAV 9 System software går ned. MIDDEL MIDDEL 10 System hardware går ned. MIDDEL MIDDEL 11 Laptop bliver inficeret med virus eller LAV MIDDEL orm. 12 Alle VBA makroer kan eksekveres og kan MIDDEL HØJ potentielt indeholde virus eller lign. 13 Det er muligt at gemme/åbne animerings- LAV HØJ filer (.ani) - hvilket potentielt kan indeholde skadeligt kode. 14 arkiver skal ligge lokalt på LAV MIDDEL harddisken - en hacker der har fået fingre i en laptop, kan undgå windows logon skærmen og tilgå alle lokale filer - herunder også arkiver! (kræver at laptop en kun er låst og ikke slukket) 15 USB-port er helt åben MIDDEL HØJ

23 2.1 Risikoanalyse 11 Nr Trussel Sandsynlighed Konsekvens På virksomheds netværket 16 Uautoriseret læse adgang til følsomme LAV HØJ virksomheds informationer som kan medføre at disse bliver tilgængelige for konkurrerende virksomheder. 17 Systemet er kompromiteret (VPN servere, LAV LAV firewall, osv.) 18 En kompromitteret laptop bliver brugt LAV LAV som back-door til at få adgang til virksomhedens netværk. 19 En stjålet laptop bruges til at få MIDDEL MIDDEL adgang til virksomhedens netværk. 20 En gammel laptop bruges til at få adgang LAV LAV til virksomhedens netværk. 21 Uautoriseret skrive adgang kan medføre LAV HØJ at følsomme virksomheds informationer kan blive ændret og derved ikke længere er troværdige. 22 Uautoriseret skrive adgang kan tillade LAV HØJ at følsomme virksomheds informationer kan blive slettet. 23 En inficeret laptop kobles direkte til MIDDEL HØJ virksomheden netværk. 24 Det er endnu ikke muligt at opdatere HØJ HØJ laptops via fjernadgang, via fx ADSL opkobling hjemmefra. 25 VPN autentificering sker via simpelt HØJ LAV password(længde på 6 karakter - alle tal)

24 12 Risikoanalyse Sandsynlighed og konsekvens I tabel 2.1 står der beskrevet at sandsynligheden og de forretningsmæssige konsekvenser bør opgøres efter en kvalitativ skala. Disse vurderingsskalaer er bygget op på følgende måde: for sandsynlighed: 1. indtræffer meget sjældent. Betragtes som en teoretisk mulighed(lav) 2. forekommer af og til. Sket mindst en gang (MIDDEL) 3. forekommer hyppigt. Opserveret flere gange (HØJ) for forretningsmæssige konsekvenser: 1. ingen signifikant skade (LAV) 2. væsentlig skade (MIDDEL) 3. yderst alvorlig skade (HØJ) Sandsynligheder og konsekvens er inkluderet i trussellisten i tabel Trusselniveau Trusselniveauet sammenfattes i et såkaldt trusselbillede-diagram. Til at beskrive trusselniveauet benyttes igen skalaen HØJ-MIDDEL-LAV som er synliggjort ved farverne rød-gul-grøn i diagrammet. Det vil for eksempel sige, at markeringer placeret i det røde område er kritiske. Dette giver et umiddelbart mere visuelt overblik over trusselniveauet.

25 2.1 Risikoanalyse 13 Figur 2.1: Trusselbillede I figur 2.1 er indsat alle markeringerne fra trussellisten ind i trusselbilledet Sikkerhedsmiljøet Sikkerhedsmiljøet beskrives ved skalaen: STÆRK-MIDDEL-LAV og indsættes som en ekstra kolonne i trusselliste-tabellen 2.2. En samlet risikoanalyse skema kan derved udtrykkes ved følgende tabel: Trusler der i trusseldiagramet, figur 2.1, er markeret i grønt område er i tabel 2.3 udeladt for overskuelighedens skyld Det samlede risikobillede Her holdes trusselniveauet op imod sikkerhedsmiljøet og danner et samlet risikovurderingsdiagram. Skalaen vedrørende risikoniveauet er inddelt i følgende: 1. uacceptabel - rødt felt 2. delvis acceptabel - gult felt 3. acceptebel - grønt felt Det vil sige, at markeringer placeret i det rødt område er kritiske mens markeringer i grønt område er uden væsentlig betydning. Et overblik over risikoniveauet vil man derfor umiddelbart kunne opnå på grundlag af hvor nummermarkeringerne er placeret henne i diagrammet.

26 14 Risikoanalyse Tabel 2.3: Risikoanalyseskema Nr Trussel Sikkerhedsmiljø Forbedring [Sandsynlighed/Konsekvens] På laptop 1 Tyveri af laptop Laptop er beskyttet Ikke [MIDDEL/MIDDEL] med stærk nødvendigt. autentificering samt kryptering af harddisk. [STÆRK] 4 Ikke-ansatte benytter laptop en Laptop er beskyttet Der indføres (venner, familiemedlemmer, osv.) med firewall og regler for [MIDDEL/MIDDEL] antivirus program. hvem der ben- [MIDDEL] nytter laptopen 5 Brugeren får ved en fejl gjort Ikke muligt for laptop en tilgængelig (Windows almindelig bruger fildeling, P2P fildeling, osv.) kræver administrator [MIDDEL/MIDDEL] rettigheder [STÆRK] 9 System software går ned. Procedure findes. [MIDDEL/MIDDEL] Ved adgang til virksomhedens netværk er det muligt at geninstallere alt nødvendigt software [STÆRK] 10 System hardware går ned. Procedure findes. Mulighed for at [MIDDEL/MIDDEL] [STÆRK] låne udstyr under reperation 12 Alle VBA makroer kan eksekveres Antivirus program Bør kun tillade og kan potentielt indeholde bruges. signerede virus eller lign. Men gennerelt kan makroer. Sikker- [MIDDEL/HØJ] alle makroer køres. hedsniveau [LAV] 15 USB-port er helt åben Ingen kontrol med [MIDDEL/HØJ] USB-porte. [LAV] ændres til Meget Høj

27 2.1 Risikoanalyse 15 Nr Trussel Sikkerhedsmiljø Forbedring [Sandsynlighed/Konsekvens] På virksomheds netværket 19 En stjålet laptop bruges til at Procedure findes. få adgang til virksomhedens [STÆRK] netværk. [MIDDEL/MIDDEL] 23 En inficeret laptop kobles Procedure findes. direkte til virksomheden [STÆRK] netværk. [MIDDEL/HØJ] 24 Det er endnu ikke muligt at Ingen kontrol om Der skal udarbejopdatere laptops via fjernadgang, software er des en løsning så via fx ADSL opkobling hjemmefra. opdateret. laptop en kan få [HØJ/HØJ] [LAV] installeret sikkerheds opdates via fjernadgang I dette trin omsættes trusselsbilledet, figur 2.1, til et risikobillede, figur 2.2, ved en overføring af hver enkelt nummereret trussel fra trusselbilledet til risikobilledet, således at der sker en markering af trusselniveauet og af niveauet af de til truslen modsvarende sikkerhedsmiljø. Det nye risikobillede kan ses i figur 2.2.

28 16 Risikoanalyse Figur 2.2: Risikobillede Risikobegrænsning Er nogle trusler markeret i rødt og gult område i risikobilledet er det alle trusler der bør tages stilling til om der skal foretages nogle nye eller ekstra foranstaltninger i virksomheden. Ledelsen kan eksempelvis sætte sig det mål, at de vil have fjernet alle markeringer i det rødt område samt hovedparten af dem i gult område. Her er imidlertid andre vigtige overvejelse der gør sig gældende, f.eks. økonomiske. Virksomheden må her overveje de omkostninger der er forbundet med både det at få udbedret truslerne og derved flere sikkerhedsforanstaltninger i virksomheden op mod de omkostninger og konsekvenser det kan have ved ikke at ændre på nuværende niveau. 2.2 Risikovurdering Når man skal vurdere informationssikkerheden i en virksomhed er det altid en god ide at starte med at lave en risikovurdering. En risikovurdering skal gennemføres regelmæssigt og bør give information om: Hvilke aktiver, herunder data, der er kritiske for organisationens aktiviteter. Hvilke risici, der kan true organisationens aktiver.

29 2.3 Opsummering 17 Hvilke risici, der kan påvirke omverdenens tillid til organisationens data. Hvad det vil koste at fastholde risikoen på et niveau, som ledelsen finder acceptabelt. Hvilke udækkede risici, som fortsat er til stede. Mange danske virksomheder der foretager sådan en vurdering gør det i dag oftest i henhold til DS484:2005[26] men det er dog ikke et krav. Andre skrevne guides som ISO 27001:2005[15] kan også benyttes. Risikovurdering anvendes til at undersøge hvilke forretningsmæssige risici en virksomhed er udsat for, når den benytter sig af informationsteknologi. Herefter kan den resulterende vurdering, set i sammenhæng med eksempelvis lovgivningskrav og andre forretningsmæssige forhold, anvendes som grundlag for beslutning om hvilke sikkerhedsforanstaltninger og procedurer, der skal i- værksættes. Den samlede vurdering af virksomheden kan ses i kapitel Opsummering Brugen af risikovurderingen lægger op til, at man ikke skal have IT-sikkerhed for enhver pris, og at den sikkerhed man beslutter sig for skal lægges på et niveau, der modsvarer de trusler der realistisk set kan forekomme. En indledende risikovurdering og risikoanalyse kan være en stor hjælp til udformningen af en sikkerhedspolitik. Kapitlet lister en række trusler der alle er væsentlige i forbindelse med det at have mobile medarbejdere der skal kunne koble sig op på virksomhedens netværk også fra lokaliteter der ligger uden for virksomhedens kontrol. Nogle af truslerne kan mindskes ved tekniske foranstaltninge mens andre kræver en ændret adfær fra enten virksomheden eller medarbejderens side.

30 18 Risikoanalyse

31 Kapitel 3 Sikkerhedspolitik Dette kapitel beskriver først lidt omkring de gældende best practices og standarder som virksomheder har mulighed for at benytte og hente vejledning fra, når informationssikkerhedspolitikken skal udformes. Herefter en beskrivelse af opbygning og indhold i en sikkerhedspolitik med eksempler på hvordan en sådan kan udformes i henhold til gældende standarder og/eller best practices. Sikkerhedspolitikken er en vigtig del af virksomheden og danner grundlag for virksomhedens datasikkerhed. Sikkerhedspolitikken fastlægges i høj grad på baggrund af viden om sårbarhederne i den pågældende virksomhed. 3.1 Best practices og Standarder Informationssikkerhed bliver heldigvis stadig mere standardiseret og i forbindelse med implementering af mobile arbejdspladser har en række organisationer udarbejdet vejledninger og dokumenter med anbefalinger. Disse anbefalinger er ofte udarbejdet som en række krav til hvordan sikkerheden bør håndteres, de skal dog ikke ses som en komplet guide til sikker implementering af mobile arbejdspladser, men som det fremgår af navnet er de blot anbefalinger man kan tage udgangspunkt i. Standarder bruges til at danne grundlaget for informationssikkerhedsarbejdet og til at hæve det generelle sikkerhedsniveau i virksomheden. I Europa benyttes primært ISO/IEC 27001:2005 [15] og i Danmark, Dansk Standard DS484:2005

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Hjemmearbejdspladser

Hjemmearbejdspladser Hjemmearbejdspladser Vejledning om it-sikkerhed på pc-hjemmearbejdspladser September 2007 ITEK og Dansk Industri Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen og Rasmus Aasted ISBN: 87-7353-662-8

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

Version 8.0. BullGuard. Backup

Version 8.0. BullGuard. Backup Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net

Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net 18. november 2011 Vejledning Windows 7 - eklient Opkobling via ADSL eller anden kabelforbindelse til P-net. Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net Cisco AnyConnect

Læs mere

Online Banking Sikkerhedsvejledning Internet-version

Online Banking Sikkerhedsvejledning Internet-version Online Banking Sikkerhedsvejledning Internet-version Indhold Introduktion til Sikkerhedsvejledningen... 2 Sikkerhedsvejledningen... 2 Sikker brug af internettet... 2 Sikkerhedsløsninger i Online Banking...

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Borgernes informationssikkerhed 2014

Borgernes informationssikkerhed 2014 Borgernes informationssikkerhed 2014 Januar 2015 1. Indledning Formålet med denne rapport er at afdække to sider af danskernes forhold til informationssikkerhed. Den ene side handler om, hvilke sikkerhedshændelser

Læs mere

Håndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015

Håndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015 Håndbog - MobilePass Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015 Version Forfatter Dato Dokumentstatus 1.0 Maria Mathiesen 1. december 2014 Oprettet 1.1 Maria Mathiesen 16. december 2014

Læs mere

Mini-guide: Sådan sikrer du din computer mod virus

Mini-guide: Sådan sikrer du din computer mod virus Mini-guide: Sådan sikrer du din computer mod virus Efter Java-hullet: Væn dig til det din computer bliver aldrig 100 % sikker. Men derfor kan vi jo godt prøve at beskytte den så vidt mulig alligevel. Vi

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Freeware for PC security

Freeware for PC security Freeware for PC security Indledning: For en privat person kan det være svært at finde ud af, hvad der er godt for at kunne beskytte sin computer. Denne rapport vil prøve at dække nogle af de programmer,

Læs mere

Lidt om Virus og Spyware

Lidt om Virus og Spyware Lidt om Virus og Spyware INDHOLD Malware... 2 Hvordan virker det... 2 Hvad skal man gøre... 2 Spam... 3 Hvordan virker det... 3 Hvad skal man gøre... 3 Phishing... 4 Hvordan virker det... 4 Sårbarheder...

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Rejsekort A/S idekonkurence Glemt check ud

Rejsekort A/S idekonkurence Glemt check ud Rejsekort A/S idekonkurence Glemt check ud 9. marts 2015 1 Indhold 1 Introduktion 4 1.1 Problembeskrivelse........................ 4 1.2 Rapportens opbygning...................... 4 2 Ordliste 5 3 Løsning

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Ofte benyttes betegnelsen virus om alle former for skadelig kode, men det er ikke helt korrekt.

Ofte benyttes betegnelsen virus om alle former for skadelig kode, men det er ikke helt korrekt. Sagde du virus? Ofte benyttes betegnelsen virus om alle former for skadelig kode, men det er ikke helt korrekt. Af Erik Jon Sloth 21/02-2003 (http://sikkerhed.tdconline.dk) Det kan være fristende bare

Læs mere

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router:

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router: Velkommen til Foreningen Kollegienet Odense (FKO). Ved at udfylde og indsende tilmeldingsblanketten bagerst i denne folder har du mulighed for at benytte internet og internt netværk med FKO som din professionelle

Læs mere

Online Banking Sikkerhedsvejledning PC-baseret version

Online Banking Sikkerhedsvejledning PC-baseret version Sikkerhedsvejledning PC-baseret version Indhold Introduktion til Sikkerhedsvejledningen...3 Sikkerhedsvejledningen...3 Sikker brug af internettet...3 Sikkerhedsløsninger i...3 Hvad er sikkerhed i?...4

Læs mere

Opsætning af eduroam Det trådløse netværk på ASB

Opsætning af eduroam Det trådløse netværk på ASB Opsætning af eduroam Det trådløse netværk på ASB Indhold 03 Det trådløse netværk på ASB: eduroam 03 AAAAntivirus software 04 eduroam med Windows Vista 08 eduroam med Windows XP 09 Trådløst netværk (eduroam)

Læs mere

Gode råd til brugerne: Bekæmp PHISHING!

Gode råd til brugerne: Bekæmp PHISHING! Baggrund Senest i perioden juli og august 2009 har UC Lillebælt været udsat for forskellige forsøg på at udnytte vores it-systemer til at indsamle personlige data og kommunikere ulovligt reklamemateriale.

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Forår 2012 - Firewalls

Forår 2012 - Firewalls Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1

Læs mere

Sådan opretter du en backup

Sådan opretter du en backup Excovery Guide Varighed: ca. 15 min Denne guide gennemgår hvordan du opretter en backup med Excovery. Guiden vil trinvist lede dig igennem processen, og undervejs introducere dig for de grundlæggende indstillingsmulighed.

Læs mere

Informationssikkerhed i det offentlige

Informationssikkerhed i det offentlige Informationssikkerhed i det offentlige KMD Analyse Briefing April 2015 HALVDELEN AF DE OFFENTLIGT ANSATTE KENDER TIL BRUD PÅ INFORMATIONSSIKKERHEDEN PÅ DERES ARBEJDSPLADS DANSKERNE USIKRE PÅ AT UDLEVERE

Læs mere

Google Cloud Print vejledning

Google Cloud Print vejledning Google Cloud Print vejledning Version A DAN Definitioner af bemærkninger Vi bruger følgende stil til bemærkninger gennem hele brugsanvisningen: Bemærkninger fortæller, hvordan du skal reagere i en given

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

NYT Panda Antivirus 2007 Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din PC. Afinstaller

Læs mere

Kaspersky PURE. SOFT CONSULT * VESTERBALLEVEJ 5 * 7000 FREDERICIA TLF.: 64 41 22 11 * Email: mail@softconsult.net

Kaspersky PURE. SOFT CONSULT * VESTERBALLEVEJ 5 * 7000 FREDERICIA TLF.: 64 41 22 11 * Email: mail@softconsult.net Kaspersky PURE Ultimativ beskyttelse af dit digitale liv Kaspersky PURE overstiger i høj grad den sædvanlige PC-beskyttelse. Systemet gør din PC yderst immun over for cybertrusler af enhver art. Du kan

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone

ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone Side 1 af 18 ereolen.dk -Sådan downlåner du -Sådan anvender du på ebogslæser, tablet og smartphone Side 2 af 18 Indholdsfortegnelse ereolen.dk... 1 1. Første gang du vil anvende ereolen.dk... 3 1.1 Opret

Læs mere

Cyber sikkerhed Process IT Cyber sikkerhed og risiko analyse

Cyber sikkerhed Process IT Cyber sikkerhed og risiko analyse Cyber sikkerhed Process IT Cyber sikkerhed og risiko analyse Hvorfor IT sikkerhed Hvordan fik Cyber sikkerhed management opmærksomhed Risikoanalyse af ProcessIT i samarbejde med Administrativ IT Overvej

Læs mere

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv.

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv. Michael Halfter Ingerslevsgade 108, st tv 1705 V København d. 19. December 2003 Tilbud, Kabelfri lokalnetværk Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Trådløst LAN hvordan sikrer man sig?

Trådløst LAN hvordan sikrer man sig? Trådløst LAN hvordan sikrer man sig? Trådløse acces points er blevet så billige, at enhver der har brug for en nettilsluttet computer et andet sted end ADSL modemmet står, vil vælge denne løsning. Det

Læs mere

Advarsel: Den private nøglefil skal beskyttes.

Advarsel: Den private nøglefil skal beskyttes. Symantecs vejledning om optimal sikkerhed med pcanywhere Dette dokument gennemgår sikkerhedsforbedringerne i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan de vigtigste dele af forbedringerne

Læs mere

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28.

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28. Nets A/S Lautrupbjerg 10 P.O. 500 DK-2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu CVR-nr. 20016175 Brugervejledning Generering af nøgler til SFTP-løsningen vedrørende datakommunikation

Læs mere

Nu er det nemt for nutidens nomader at være online overalt

Nu er det nemt for nutidens nomader at være online overalt 13 Nu er det nemt for nutidens nomader at være online overalt Giv medarbejderne i din virksomhed nem adgang til internettet i hele verden TDC Universal Internet gør det nu meget nemmere for dine medarbejdere

Læs mere

IT Rapport 27-02-08. Netværkskonsulenterne Forslag til IT-løsning vedrørende campingpladsen. Danielle og Jonas 2.4 Side 1 af 5

IT Rapport 27-02-08. Netværkskonsulenterne Forslag til IT-løsning vedrørende campingpladsen. Danielle og Jonas 2.4 Side 1 af 5 Netværkskonsulenterne Forslag til IT-løsning vedrørende campingpladsen Danielle og Jonas 2.4 Side 1 af 5 Resume Indholdsfortegnelse Resume...2 Indledning...3 Database...3 Netværksopstilling...4 Indkøb

Læs mere

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen Nets Denmark A/S Lautrupbjerg 10 P.O. 500 DK 2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Læs mere

Vejledning til brug af BWS arbejdsplads med Cisco VPN klient

Vejledning til brug af BWS arbejdsplads med Cisco VPN klient Vejledning til brug af BWS arbejdsplads med Cisco VPN klient - Tilslut din BWS computer til bankens netværk hjemmefra Version Forfatter Dato Dokumentstatus 1.0 Niklas Petersen 24.08.2015 Oprettet Side

Læs mere

Velkommen til 6. omgang

Velkommen til 6. omgang Velkommen til 6. omgang I dag Internet Hjemmeopgave 5 Mapper og filer Internet Vi så på faner sidst. og hurtigt på favoritter som ikke må forveksles med faner Favoritter Kan med fordel bruges til internetsider

Læs mere

Symantec - Data Loss Prevention

Symantec - Data Loss Prevention Symantec beskyttelse af data/dokumenter Beskrivelsen af Symantecs bud på tekniske løsninger. I beskrivelsen indgår tre følgende løsninger fra Symantec: - Data Loss Prevention - Disk eller ekstern device

Læs mere

IT vejledning for Studerende

IT vejledning for Studerende IT vejledning for Studerende Computere På skolen anbefales det, at du kun bruger computere med Windows installeret. Apple/Mac eller computere med Linux installeret vil have problemer med at bruge nogen

Læs mere

Administrator - installation og brug i Windows

Administrator - installation og brug i Windows 1 Administrator - installation og brug i Windows Grundforfattet af Allan, OZ1DIS, redigeret/udgivet af Palle, OZ6YM Det her beskrevne er IKKE noget nyt, og har været gældende siden Windows NT og version

Læs mere

Sikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder?

Sikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder? Sikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder? Jakob Illeborg Pagter Alexandra Instituttet A/S Baggrund Rapport udarbejdet for Rådet for it-sikkerhed 2004. Afsæt i Ting

Læs mere

SecureAware Compliance Analysis Manual

SecureAware Compliance Analysis Manual SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks.

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

Hvad du bør vide om computervirus. Hvad du bør vide om computervirus

Hvad du bør vide om computervirus. Hvad du bør vide om computervirus er en pjece for dig, der vil vide, hvordan du undgår virus. Du finder også information om, hvad du skal gøre, når skaden er sket. Du skal sikre dig mod virus, fordi: du risikerer at miste dine data du

Læs mere

Gode råd til en sikker it-adfærd

Gode råd til en sikker it-adfærd Gode råd til en sikker it-adfærd It-sikkerhed starter og slutter med dig! Hvis du benytter dig af denne folders 18 gode råd, er både du som personlig bruger og bruger af Aarhus Universitets it-udstyr på

Læs mere

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen.

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen. Opdateret 29. november 2011 Bilag 3 til samarbejdsaftalen Område: IT-service og support Opgaver Support af administrativ og undervisningsmæssig IT på gymnasierne. Overordnet ansvar for udvikling og implementering

Læs mere

7. Indstilling af den trådløse forbindelse i Windows XP

7. Indstilling af den trådløse forbindelse i Windows XP 7. Indstilling af den trådløse forbindelse i Windows XP Gør klar til indstilling Når du skal i gang med at konfigurere den computer, der skal væres trådløs, er det en god idé at bevare kabelforbindelsen

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet

Installation. Aesiras Internet hjemmeside og webshop. Aesiras -integreret Regnskab, Handel og Internet Installation Aesiras Internet hjemmeside og webshop Aesiras -integreret Regnskab, Handel og Internet Installationsvejledning Tak fordi du valgte Aesiras Business & Internet. I denne vejledning vil vi guide

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

10 MÅDER hvorpå it-afdelingen muliggør cyberkriminalitet

10 MÅDER hvorpå it-afdelingen muliggør cyberkriminalitet Whitepaper 10 MÅDER hvorpå it-afdelingen muliggør cyberkriminalitet Be Ready for What s Next. 10 måder, hvorpå it-afdelingen muliggør cyberkriminalitet Vi håber, at du har læst hvidbogen Vi erklærer krig

Læs mere

Fjernadgang til BEC s systemer via Portal2

Fjernadgang til BEC s systemer via Portal2 Fjernadgang til BEC s systemer via Portal2 - tilgå applikationer og arbejdsplads via webbaseret portal (UAG) Udarbejdet af: Niklas Petersen Gældende fra: 24-08-2015 Version Forfatter Dato Dokumentstatus

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere