DEN BLÅ FOLDER SÅDAN BESKYTTER VI SAMMEN NYKREDIT

Transkript

1 DEN BLÅ FOLDER SÅDAN BESKYTTER VI SAMMEN NYKREDIT

2 Fysisk sikkerhed og ITsikkerhed Hvad er det, og hvorfor er det vigtigt? Fysisk sikkerhed Den fysiske sikkerhed på Nykredit koncernens lokationer består af en lang række tiltag, der blandt andet skal sikre, at det kun er personer, der har et såkaldt legitimt behov, der får adgang til vores bygninger. Adgangskontrol- og alarmanlæg er sammen med TV-overvågning nogle af de mest kendte fysiske sikkerhedstiltag. Den fysiske sikkerhed og din årvågenhed skal sikre, at alle medarbejdere, bygninger og værdier er godt beskyttet, og derudover skal den være den første forhindring mod angreb på fysiske IT-ressourcer på Nykredits lokationer. Det er Nykredits Sikringspolitik, der definerer det fysiske sikkerhedsniveau i Nykredit. Den kan du finde på intranettet under Øvrige koncernpolitikker IT-sikkerhed Overordnet omfatter IT-sikkerhed de foranstaltninger, der skal sikre os mod trusler mod den digitale sikkerhed. Det kan fx være forsøg på hackerangreb, uautoriseret adgang til informationer, forsøg på at skade Nykredits brand mm. Nykredit prioriterer et højt IT-sikkerhedsniveau. Vi anvender meget forskelligt IT-udstyr i hverdagen, fx PC er, tablets, smartphones og servere; vi bruger internettet via fx mails, sociale medier, fildeling mv., og vi håndterer dagligt et væld af fortrolige oplysninger, som er vigtige at beskytte mod uvedkommendes adgang eksempler her kunne være CPR-numre, kontooplysninger og viden om kunders økonomiske forhold. Alt dette kan udgøre en sikkerhedstrussel mod Nykredit, hvis vi ikke tænker os om og tager godt vare på IT-sikkerheden. 1

3 Sikkerhed er et fælles ansvar Det er et fælles ansvar at opretholde et højt fysisk og IT-sikkerhedsmæssigt niveau i Nykredit. Et ansvar, som vi alle deler. De valg, du træffer, og de handlinger, du udfører i dit job, kan have stor betydning for Nykredits sikkerhed. Sker der brud på sikkerheden fx lækage af fortrolige informationer, eller overtrædelse af lovgivningen, vil det få store konsekvenser for Nykredits brand, ligesom Nykredit kan blive udsat for store økonomiske sanktioner. Dit ansvar Som medarbejder i Nykredit Koncernen har du pligt til at læse og efterleve de gældende politikker og retningslinjer, herunder IT-sikkerheds- og persondatapolitikken. Vi forventer også, at du holder dig ajour med eventuelle ændringer. Du finder politikker og retningslinjer på Nykredits intranet. Har du spørgsmål eller oplever du noget mistænkeligt, skal du altid kontakte: Nykredit Service på tlf (Bygninger, adgangskort mv.) IT-Sikkerhed på eller mailadressen: [email protected] Sidst i denne folder kan du læse mere om, hvornår og hvem du skal kontakte i de forskellige situationer. 2

4 Information i Nykredit De forskellige klassifikationer af information I Nykredit klassificerer vi information i tre overordnede kategorier: offentligt tilgængelig information, intern information og fortrolig information. Hver af kategorierne har forskellige krav til fortrolighed det betyder, at der er forskellige regler for, hvordan de må behandles, lagres, videregives, deles, slettes osv. Fx gælder der strengere krav for at dele fortrolig information om kunder end der gælder for information, der er offentligt tilgængelig. Herunder finder du beskrivelsen af de tre kategorier: Klassifikation Beskrivelse Eksempler Offentligt tilgængelig information Intern information Fortrolig information Denne kategori indeholder oplysninger, som er offentligt tilgængelige. Denne kategori indeholder forretningsmæssig information, som frit kan tilgås inden for Nykredit koncernen Denne kategori indeholder forretningsmæssigt fortrolig information om Nykredit-koncernen og dens forretningsførelse i bredeste forstand, samt alle typer af personoplysninger som defineret i gældende persondatalovgivning) Eksternt virksomhedsmateriale, der ikke er fortroligt Information på Nykredits hjemmeside mm. Artikler og andre publicerede tekster Internt virksomhedsmateriale Fortrolige eksterne virksomhedsoplysninger fortrolige informationer der sendes til eksterne uden for organisationen, fx priser, præsentationer, kontrakter og lign. Fortrolige interne virksomhedsoplysninger information, der holdes inden for organisationen Personoplysninger om medarbejdere Personoplysninger om kunder Hvis et dokument eller ikke er markeret med en klassifikation, skal du antage, at det er Intern information, medmindre det tydeligvis indeholder fortrolige information som fx kundedata. Det er dit ansvar at sætte dig ind i de gældende regler for, hvordan du må bruge data, samt at sikre at du overholder disse regler. Håndterer du ikke data efter de gældende retningslinjer, kan du risikere, at det havner i de forkerte 3

5 hænder. Det kan skade Nykredit brandet, og du kan komme til at overtræde gældende lovgivning. Herunder finder du en beskrivelse af de overordnede regler for behandling, videregivelse mv. af de forskellige typer information. Offentlig information Intern information Fortrolig information Mærkning Opbevaring Digitalt og fysisk Digitalt Ingen mærkning Ingen mærkning Ingen krav Nykredit mail S-drev Fysisk Skab Skab Aflåst skab Dokumenter og mails skal mærkes Fortroligt i emnefelt eller header til kunder dog kun, hvis det er relevant Skal arkiveres i fagsystemer (fx i DIALOG). Personoplysninger må kun midlertidigt opbevares i mail eller på lokale- og fællesdrev Destruktion Transport Mobil arbejdsplads Videregivelse Kommunikation Mail Digitalt Fysisk Slet løbende Smid ud løbende Slet løbende Smid ud løbende Digitalt Tilladt Med omtanke, under opsyn om muligt Fysisk Tilladt Med omtanke, under opsyn om muligt Digitalt Digitalt og fysisk Nykredit mail Privat mail Behandling tilladt Til alle (internt og eksternt) Behandling med omtanke Internt efter behov. Eksternt ved tilladelse fra afsender/ejer. Se tidsfrister i retningslinjer for sletning og arkivering herunder også retningslinjerne for automatisk sletning i Outlook. Husk at tømme papirkurven på din PC s skrivebord Se tidsfrister i Retningslinjer for sletning og arkivering Skal makuleres Krypteret USB eller Nykredit PC under opsyn Lukket pakning under opsyn Kun ved anvendelse af privacyfilter på pc Ingen samtaler om fortrolig information Fortrolige informationer må kun videregives ved tilladelse fra afsender eller ejer af materialet Tilladt Tilladt Internt tilladt mrkt. fortrolig Tilladt Ikke tilladt Ikke tilladt Outlook er IKKE en sikker kanal Personoplysninger skal sendes krypteret via mail 4

6 Særligt om fildrev og fortrolig information Sådan værner du om fortrolig information Fortrolighed Det er vigtigt for Nykredit, at du værner om fortroligheden i den information, du behandler. Du må ikke udlevere den eller på anden vis gøre den tilgængelig for uvedkommende. Tænk dig derfor om en ekstra gang, før du videregiver information eller gemmer den på drev/i mapper, du deler med andre. Du kan anvende følgende mapper/biblioteker/fildrev: Dokumenter på din PC (kun du har adgang) Her placerer du private eller fortrolige dokumenter, som kun du skal have adgang til. Dokumenter bliver automatisk sikkerhedskopieret. Afdelingens S-drev (alle i afdelingen har adgang) Her placerer du dokumenter, som tilhører og deles med afdelingen. Her er der backup (sikkerhedskopiering). Indeholder dokumenterne persondata er det dit ansvar at begrænse adgangen til dokumenter til de personer, der har et arbejdsmæssigt formål med at behandle dem. Projekter på Deltedata/ på S-drev (alle i projektet har adgang) Her anbringes dokumenter, der skal deles på tværs af lokationer. Ud over projekter kan det dreje sig om alle former for samarbejde på tværs af koncernen. Midlertidige filer på Deltedata/ på S-drev (alle har adgang) Her placeres dokumenter til udveksling med andre. Disse data slettes automatisk hver søndag aften. C-drev og Skrivebord Du må ikke gemme Nykredit filer her, da der ikke foretages sikkerhedskopiering. og kryptering Vælger du at anvende , skal du være meget forsigtig. Du skal være opmærksom på følgende: Du må ikke sende fortrolig information via , medmindre mailen er forsvarligt krypteret. Du skal derfor kryptere s, som indeholder fortrolig information. Kan du ikke kan kryptere mailen, skal du som minimum kryptere filerne, som du sender (fx ved brug af 7- ZIP) 5

7 Hvis muligt bør krypteringsnøglen sendes ad anden vej end de krypterede data (fx SMS eller telefonopkald) Du skal altid være sikker på, at din modtager er korrekt og relevant, dobbelttjek altid modtager inden du sender. Send aldrig fortrolig information som svar på en tidligere mail. Start i stedet en ny mail-tråd for at være sikker på at modtageren er korrekt (der kan eksempelvis være personer på mail-tråden som ikke skal have data) Print Når du vælger at udskrive fortrolig information, skal du være opmærksom på følgende: Lad ikke dine udskrifter ligge ved printeren. Brug altid FollowYou print, når du kan Lås altid udskrifter inde, når du ikke bruger dem Da du ikke kan kryptere en udskrift, skal du være ekstra opmærksom på, hvor du opbevarer og medbringer udskrifterne Destruer fortrolige papirer efter endt brug, fx ved makulering 6

8 Arbejdspladsen Sådan sikrer du din fysiske og digitale arbejdsplads Adgang til Nykredits bygninger Du har et ansvar for at opretholde den fysiske og digitale sikkerhed ved at optræde sikkerhedsmæssigt ansvarligt i hverdagen. Det betyder blandt andet, at: Du aldrig må udlåne eller overdrage dit adgangskort og kode til andre Du skal være opmærksom på medløb, hvor en person følger dig igennem en adgangskontrolleret indgang uden at anvende eget adgangskort. Hvis det sker, eller hvis du bevidst holder døren for andre, er det din pligt at sikre dig, at de har retmæssig adgang. Du skal sikre, at vinduer og døre er lukkede og låste efter dig, når du går hjem. Du aldrig må holde døre med adgangskontrol (fx kortlæser) åbne med kiler e.l. Gæster Gæster i hovedsædebygningerne skal bære gæstekort med påskriften Nykredit Gæst. Luk aldrig ukendte personer ind med dit eget adgangskort. Bed dem i stedet om at henvende sig i receptionen. Hvis der ikke findes en reception i bygningen, kan du spørge ind til, hvem gæsten skal besøge og evt. være behjælpelig med at ringe vedkommende op. Login og kodeord Dit brugerid er personligt og evt. kodeord er fortroligt og må kun anvendes af dig. Når du skal oprette et kodeord, er det vigtigt at det er overholder nogle bestemte regler. Et kodeord skal være minimum otte tegn, og bestå af en kombination af tal og små bogstaver med minimum to tal og to bogstaver. Der må ikke bruges specialtegn (fx!,@,#,$), æ/ø/å. Du skal skifte kodeord hvert kvartal, og du vil automatisk få besked 14 dage inden dit kodeord udløber. Af sikkerhedsmæssige årsager må du ikke genbruge dine 12 seneste kodeord. 7

9 Kodeord er hemmelige, så du må aldrig skrive dem ned eller give dem til andre. Har du mistanke om, at andre kender dit kodeord, skal du omgående skifte det. Lås din PC Det er vigtigt, at du husker at låse din PC, når du forlader den, så uvedkommende ikke kan få adgang til, slette eller ændre i data, som de ellers ikke ville have haft adgang til. (brug fx Windowsknap + L) Når arbejdsdagen er omme, skal du altid slukke helt for din PC. Clean Desk politik I Nykredit er der Clean Desk politik, hvilket vil sige, at du skal holde orden på dit skrivebord og i dine skabe. Husk at låse fortrolige dokumenter inde, når du går, og at destruere (fx makulere) fysiske dokumenter, når du ikke længere har brug for dem. Mobile enheder og USB Betegnelsen mobile enheder dækker over udstyr, der kan flyttes og tages med på farten, fx mobiltelefoner, tablets, USB-nøgler og bærbare PC er. Det er vigtigt, at du beskytter de mobile enheder, du tager med dig uden for Nykredits lokationer, da der ellers er risiko for, at data på enhederne kan lande i de forkerte hænder. Du skal altid være opmærksom på, hvor dine mobile enheder befinder sig. Slet altid data fra enheden, når du ikke skal bruge den længere. Det er vigtigt, at du sætter adgangskontrol (PIN-kode eller fingeraftryk) på mobiltelefoner og tablets, fordi det kan være med til at begrænse uautoriseret adgang til data. Du skal også sikre, at din enhed altid er opdateret med de nyeste sikkerhedsopdateringer. Hvis du vælger at bruge USB-nøgler eller eksterne USB-harddiske, skal du være opmærksom på klassifikationen af de informationer, som du opbevarer på dem. Der er forskellige krav til, hvordan informationen skal beskyttes, men generelt er det en god idé at kryptere dine USB-nøgler og eksterne harddiske uanset dataklassifikationen. Er du i tvivl, om du må anvende bestemt udstyr, eller har brug for hjælp så kontakt IT-sikkerhed Brug af egne enheder (Bring-Your-Own-Device) Bring-Your-Own-Device (BYOD) er et koncept, hvor du som medarbejder må medbringe og bruge dine private enheder, fx mobiltelefoner og tablets, i forbindelse med dit job. 8

10 I Nykredit har vi indført BYOD, så du må gerne bruge din egen tablet eller smartphone fx til din Nykredit . Det kræver, at du accepterer Nykredits vilkår og sikkerhedsindstillinger herunder særlige krav om adgangskode og sletning mv. Du må heller ikke eksportere fortrolige data ud af office-pakken, da det kan medføre brud på fortroligheden. Anvendelse af cloudtjenester Man kan dele data på mange måder, og cloudbaserede tjenester er en af de meget populære muligheder. I Nykredit anvender vi Microsoft OneDrive til deling og opbevaring af data, og du må gerne opbevare firmaoplysninger her, såfremt du opbevarer dem med et arbejdsmæssigt formål. Du må kun bruge Nykredits Microsoft OneDrive på din arbejdscomputer og ikke på din private PC. Du må ikke anvende andre cloudtjenester så som Google Drive, icloud og Dropbox til at opbevare arbejdsrelaterede data på, ligesom det ikke er tilladt at anvende nogen anden form for privat cloud-konto til opbevaring af Nykredits data, heller ikke selvom det er en Microsoft OneDrive konto(privatkonto). 9

11 Installation af programmer Hvad du må og ikke må installere Du skal være opmærksom på, at det udgør en trussel for Nykredit, hvis du henter programmer og data ned på Nykredits IT-systemer. Nogle programmer og data kan være ondsindede, og det kan være forbundet med alvorlige konsekvenser, hvis programmer får adgang til vores interne IT-systemer. Programmer, som kommer fra internettet, CD/DVD eller andre lagringsenheder kan være behæftet med denne risiko. I Nykredit må du kun anvende systemer og programmer, som er godkendt af Nykredit (IT-shoppen). Har du brug for yderligere software, skal du kontakte Centerkontakt på telefon 8112 eller på mailadressen: [email protected] for at ansøge om godkendelse. Du må under ingen omstændigheder kopiere programmer fra Nykredits systemer. Har du brug for at downloade film, billeder og musik i arbejdsmæssig relation, skal du være sikker på, at du overholder gældende lovgivning om copyright. 10

12 Malware og andre hackerangreb Sådan håndterer du cybertrusler Malware Begrebet malware dækker over en række ondsindede programmer (fx virus), der har til formål at ødelægge, stjæle eller manipulere data på de pc er, de inficerer. Det kan bl.a. resultere i identitetstyveri, sletning af fortrolige data, eller misbrug af kreditkortoplysninger. Malware spreder sig over internettet på mange forskellige måder fx gennem programmer og s. I værste fald vil en malware-infektion kunne sprede sig til hele Nykredits interne netværk. Det er et stort problem ved malwareangreb, at du som bruger ikke altid ved, at du har været under angreb og dermed kan spredning mm. foregå i det skjulte. Derfor skal du være ekstra opmærksom på selv de mindste ændringer: virker pc en særligt langsom som om den kører andre programmer er der blevet installeret et ukendt program på computeren, opfører computeren sig underligt osv.? I Nykredit beskytter vi vores it-udstyr med anti-virus programmer, som automatisk overvåger, om der er malwareaktivitet. Men det er altid vigtigt, at du altid bruger din sunde fornuft og en god mængde skepsis, når du færdes på internettet og bruger . Mange gange vil en angriber forsøge at narre dig eller en af dine kolleger til at lukke malware og anden ondsindet kode ind i Nykredits netværk, så de kan udføre deres angreb. Phishing Har du nogensinde modtaget en , der påstår, at du har vundet et lotteri du aldrig har deltaget i, og hvor du blot skal klikke på et link for at indløse gevinsten? Det kaldes for phishing og er et forsøg på at lokke dig til at klikke på links og franarre dig fortrolig information som brugernavn, kodeord, cprnummer mm. Phishing-angreb kommer i mange variationer, og nogle gange kan det være svært at se forskel på en phishing-mail og en rigtig . Hvis du er i tvivl, så er der her et par tommelfingerregler: Tjek altid afsenderadressen og vær opmærksom på selv de mindste ændringer 11

13 Klik ikke på links fra afsendere, du ikke stoler på Tjek altid, hvor linket rigtig peger hen. Det gør du ved at holde musen over linket uden at trykke på det. Har du klikket på linket, skal du tjekke URL-linjen i din browser. I stedet for at klikke på linket, så gå selv ind på hjemmesiden. Så er du nemlig sikker på, at det er den rigtige hjemmeside. Skriv aldrig fortrolig information i en formular, når du har fulgt et link. Er du i tvivl, om en er autentisk, så kontakt afsenderen og spørg via en anden kanal (fx telefon). Svar ALDRIG på den besked, du modtog, da det kan være angriberen du skriver til. Skriv hellere en ny til den rigtige adresse eller ring. CEO-fraud Hovedformålet med CEO-fraud er at franarre den angrebne virksomhed store pengesummer. Angrebet foregår ved, at en angriber kontakter en medarbejder (ofte med økonomiske rettigheder) og udgiver sig for at være en chef (fx topdirektør), som skal have gennemført en hastende bankoverførsel. Det kan ske via eller ved telefonisk opringning, hvor angriberen vil lyde meget overbevisende. I nogle tilfælde kan angriberen have hacket chefens , så det ligner en rigtig . Hvis du modtager en forespørgsel om at overføre en større mængde penge, skal du være meget opmærksom. Husk at bruge din sunde fornuft og gøre følgende: Tjek afsenderen og vedkommendes sprogbrug er der noget som virker underligt? Kontakt selv afsenderen (via ny direkte , SMS eller telefon) for at verificere, at anmodningen om overførslen er korrekt Følg altid Nykredits procedure for overførsler, også selvom du direkte bliver bedt om at omgå den. 12

14 Mistænkelige forhold Hvad skal du gøre, hvis du fatter mistanke Hvis du mister en enhed eller andet udstyr Mister du en enhed, som har været brugt til Nykredit-relateret arbejde (det kan være din private enhed eller Nykredits), eller et databærende medie (fx USBnøgle eller ekstern harddisk), skal du omgående informere IT-Sikkerhed på eller ringe på tlf Du skal være særligt opmærksom på, om du mister en USB-nøgle, da en sådan ofte er lille og let at overse. En USB-nøgle kan indeholde fortrolig information, og det kan få katastrofale følger, hvis den falder i de forkerte hænder. Derfor skal du altid kryptere dine USB-nøgler, når de indeholder fortrolig information. Mistanke om uvedkommende personer i Nykredit Hvis du ser en person, der ikke bærer gæstekort og tydeligvis ikke hører til i bygningen, skal du henvende dig til vedkommende og spørge ind til vedkommendes ærinde. Hvis det er nødvendigt, skal du følge vedkommende til receptionen. Er du utryg ved situationen, kan du altid henvende dig i receptionen eller ringe til Nykredit Service på tlf , som vil være behjælpelig med at tilkalde vagtpersonale eller politi. Kontakt i øvrigt Nykredit Service i alle tilfælde, hvor du oplever mistænkelig adfærd hos personer, der befinder sig i eller omkring Nykredits bygninger. Mistanke om forsøg på IT-angreb Hvis du modtager mistænkelige s, har mistanke om, at din computer er inficeret af malware eller konstaterer andet brud på IT-sikkerheden, skal du omgående kontakte IT-sikkerhed på tlf eller [email protected]. Det er vigtigt, at du ringer ved selv den mindste mistanke hellere ringe en gang for meget end en gang for lidt. Skader på Nykredits bygninger Hvis du observerer fysiske skader på en bygning, fx huller i hegnet eller muren, smadrede vinduer eller andet mistænkeligt, skal du straks orientere Nykredit Service på tlf