Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Størrelse: px

Starte visningen fra side:

Download "Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)"

Maria Henriksen
6 år siden
Visninger:

1 IT-sikkerhed med

2 Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag teknik, politikker og medarbejdere (og lidt til juristerne )

3 Rasmus Vinge Direktør og Partner i CyberPilot Cand.merc. Finance & International Business Kommerciel og ikke teknisk baggrund! Fang mig på LinkedIn!

4 Om CyberPilot Hvem vi er: Rådgivning og services inden for IT-sikkerhed Fokus på Persondataforordningen Fokus på uddannelsesområdet

5 Kunne det ske hos jer? Eksempel 1: En underviser skal på studietur med sin klasse. For en sikkerheds skyld scanner hun alle elevernes pas og gemmer på sin pc. PC en bliver stjålet. Der er ikke kode eller kryptering på pc en.

6 Kunne det ske hos jer? Eksempel 2: Til at hjælpe med skolens aktiviteter på de sociale medier er der ansat en freelancemedarbejder. Ligesom de andre vikarer får freelanceren fuld adgang til elevadministrations systemet.

7 Kunne det ske hos jer? Eksempel 3: En underviser får af en elev at vide at eleven har det lidt hårdt for tiden, da eleven har mødt en af samme køn. For at de andre undervisere også kan tage hensyn til eleven, sender underviseren en mail til disse.

8 Ny risiko at tage højde for Type Konsekvens Direkte tab Blokerede systemer fører til stop i drift (produktion, salg, afregning etc.) Indirekte tab Tab af omdømme, tab eller fravalgt af kunder eller fejl pga. forkert data Bøder Persondataforordningen giver mulighed for bøder op til 4 % af omsætningen

9 Persondataforordningen og IT-sikkerhed er to sider af samme sag: Beskyttelse af følsom data

10 Persondataforordningen (EU General Data Protection Regulation = GDPR) Indhold: Skærpede krav til håndtering af personfølsom data Øget behov for sikring af borgernes data og dets brug pga. den hastige digitale udvikling Nye regler og større sanktioner ved IT-sikkerhedsbrud Maj 2018

11 Link mellem Persondataforordningen og IT-sikkerhed (ISO27001) Persondataforordningen: ISO27001: Sikkerhedskrav: Den dataansvarlige og databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger Sikkerhedsforanstaltninger: evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i forbindelse med de systemer og tjenester der behandler personoplysninger Standarden tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution. Risici i relation til brud på fortrolighed, integritet og tilgængelighed af data og systemer skal styres som en del af organisationens ledelsessystem for informationssikkerhed.

12 Hvad er ISO27001? Retningslinje: Hvordan skal man arbejde med ITsikkerhed? Plan Processer (= hvordan) Act Do Niveauer: 1) Følge retningslinjer 2) Revisionserklæring 3) Certificering Check

13 PLAN - Risikobaseret tilgang Risikovurdering Valg af tiltag

14 HVAD ER RISIKO? RISIKO = SANDSYNLIGHED X KONSEKVENS Sandsynligheden for at en specifik begivenhed forekommer (1-5) Konsekvensen hvis en specifik begivenhed forekommer (1-5) = RISIKOVURDERING

15 Risikovurdering (ISO27001) Aktiv/proces Trussel Sårbarhed Sandsynlighed Konsekvens

16 Risikovurdering (ISO27001) Aktiv/proces Trussel Sårbarhed Sandsynlighed Konsekvens Server - Datatab - Manglende backup 3 4 Bærbar - Virus - Tyveri - Manglende AV - Opbevares ikke aflåst 2 2 Medarbejdere - Sikkerhedsbrud - Adfærd Elevdata - Ikke autoriseret adgang - Manglende retningslinjer - Manglende opmærksomhed/træ ning - Manglende styring af adgang Undervisningssystemer - Nedbrud - Ikke autoriseret adgang - Manglende redundant setup - Manglende databehandleraftaler 4 4

17 Konsekvens Risikomatrix (ISO27001) Elevdata Medarbejdere Server Undervisnings systemer Bærbar Sandsynlighed

18 IT-sikkerhed er ikke bare teknik Mennesker, organisation og og processer IT-systemer og og fysisk sikkerhed Informations- -sikkerhed Lovkrav og Lovkrav og kontraktkrav kontraktkrav

19 Men lad os starte med teknikken Risiko kan reduceres med teknik: Anti-virus Firewall Backup Spam-filter

20 IT-sikkerhed 2.0 Logning/logmanagement/SIEM Netværkssegmentering 2-faktor autentificering Styring af brugerrettigheder

21 Men det er stadigvæk kun halvdelen af kampen Udfordringer, som ikke kan håndteres af teknik: Medarbejdernes adfærd Uklare processer ift. behandling af følsom data Manglende ressourcer og viden omkring IT-sikkerhed Konklusion: Medarbejderne udgør den største risiko Ikke kun en opgave for IT!

22 1. Prioritet - Ledelsen skal med! Informationssikkerhedspolitik: Bestyrelse Indeholder: Målsætninger Roller og ansvar (Ikke detaljeret niveau) Administration Skoleleder Undervisning IT Underskrives af bestyrelse/ledelse Gældende for alle Økonomi

23 Eksempel på IT-sikkerhedspolitik

24 Organisationen skal også med Medarbejderne = målet Eksempler: Mail fra direktøren Klik på links/filer Intern deling af brugernavne & passwords Medarbejdere håndterer persondata uhensigtsmæssigt Disse kan ikke forhindres med tekniske løsninger

25 Awareness-træning Uddannelse af medarbejdere Højere IT-sikkerhed Værdien af awareness-træning: Mere opmærksomme brugere Færre hændelser Krav i Persondataforordningen

26 Har jeres leverandører styr på IT-sikkerheden? Er der en klar aftale omkring IT-sikkerheden mellem jer og jeres leverandører (databehandleraftaler)

27 Start med at lægge en plan Plan FOKUS! Act Do Check

28 Husk at det ikke kun handler om teknik FOKUS! Mennesker, organisation og og processer IT-systemer og og fysisk sikkerhed Informations- -sikkerhed Lovkrav og Lovkrav og kontraktkrav kontraktkrav

29 IT-sikkerhed behøver ikke være dyrt!

dk CyberPilot takker for opmærksomheden Vores hjemmeside

30 Rasmus Hangaard Vinge Tlf. nr.: CyberPilot takker for opmærksomheden Vores hjemmeside I kan signe up til vores nyhedsbrev - og så findes vi på Linkedin Følg med for updates!

Relaterede dokumenter

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder