Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI
Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende web-services bliver sikkerhed en større og større udfordring Virksomheders overlevelse er afhængig af tilgængelighed, troværdighed og fortrolighed af it-systemer og informationer Internationalt samarbejde og deltagelse i internationale koncerner stiller nye krav Efteruddannelse på universitetsniveau efterlyses En masteruddannelse kan være katalysator for samling af kræfterne omkring IT-Sikkerhed og være medvirkende til at styrke forskning og sikre, at faget kommer ind på andre uddannelser 24.10.2003 Oplæg Master i IT sikkerhed 2
Kontekst Masteruddannelse Evt. individuelt tilrettelagt forløb Erhvervspraksis 2 års relevant erhvervserfaring Kandidat 2 års relevant erhvervserfaring Diplom KVU Bachelor 24.10.2003 Oplæg Master i IT sikkerhed 3
Formål med masteruddannelsen Give de studerende indsigt i teknologiske, ledelsesmæssige, sociale og lovgivningsmæssige aspekter af IT-sikkerhed Give de studerende evnen til at anvende indsigten til at opbygge en virksomheds sikkerhedsstrategi og sikre, at strategien gennemføres Give de studerende evnen til at analysere sikkerhedsmæssige problemstillinger og løsninger og foretage en nuanceret og balanceret vurdering Give de studerende forudsætningerne for at arbejde med IT-sikkerhed i sammenhæng med forandringsledelse 24.10.2003 Oplæg Master i IT sikkerhed 4
Målgruppe Målgruppen for uddannelsen er personer med ansvar for ledelse, koordinering eller planlægning af IT-sikkerhed i en virksomhed Der forudsættes et basalt kendskab til ITarkitektur, netværk og drift eller programmering Der optages bachelorer med minimum 2 års erhvervserfaring 24.10.2003 Oplæg Master i IT sikkerhed 5
Principper bag masteruddannelsen - Kvalificeret sikkerhedsledelse kræver basal indsigt i de teknologiske udfordringer, risici og løsninger - Sikkerhedsledelse er en stor ledelsesmæssig udfordring, der kræver indsigt i menneskelig og organisatorisk adfærd og i forandringsledelse - Sikkerhedsledelse handler også om økonomi og jura 24.10.2003 Oplæg Master i IT sikkerhed 6
Omfang og pris En masteruddannelse er en deltidsuddannelse. Den varer 2 år med en forventet arbejdsbelastning på 20 timer om ugen. Man vil typisk mødes 4-5 gange pr semester fra torsdag til lørdag resten foregår som selvstændigt hjemmearbejde med kommunikation over nettet Prisen for masteruddannelsen bør være ca kr 100000. 24.10.2003 Oplæg Master i IT sikkerhed 7
Uddannelsen i IT-sikkerhed Semester 1 2 3 4 Kursusoversigt (der kan evt. være tale om valgfag på 3. semester. IT-jura vil så få sit eget modul) Krisestyring (HHA) Kommunikation, styring IT-sikkerhed (HHA+AU) (Begreber, Standarder, Lovgivning, Arkitektur,Trends) Sikkerhedsledelse(HHA) (Trusler, Strategi og politik, Risikovurdering, Beredskab, Implementering, Kontrol og Rapportering) Arkitektur og protokoller(au) Metoder, modeller og designprincipper Masterafhandling Organsation og ledelse(hha) Kommunikations Sikkerhed(AU) Kryptering(AU) Projekt Projekt Projekt 24.10.2003 Oplæg Master i IT sikkerhed 8
IT-sikkerhed (10 ECTS) Formål: At give de studerende kendskab til rammerne for IT-sikkerhedsarbejde Indhold: Aktuelle trends i Informationssikkerhed Sikkerhedsbegreber Normer, værn, kontroller Sårbarheder, risici og trusler Kravstyper: Rådgivende, Retningsgivende, Regulerende Værnstyper: Forebyggende, Opdagende, Korrigerende, Sikkerhedsmål : fortrolighed, integritet, autentifikation, tilgængelighed, uafviselighed Nationale og internationale IT-sikkerhedsinitiativer National sikkerhedsstrategi og tiltag (eg. Makrotrusler) Internationale interesser og tiltag Standarder, internationale og nationale Lovgivning, international og national Etiske forhold Sikkerhedsarkitekturer, i forhold til sikkerhedsbegreber Fysisk / Platform / System / Data Organisation / Politik 24.10.2003 Oplæg Master i IT sikkerhed 9
Organisation og ledelse (5 ECTS) Formål: At give de studerende en forståelse for organisation, ledelse, styring af forandringer og specifikt it-ledelse Indhold: Organisation Processer, identifikation af kærneprocesser og kompetencer Strategiarbejde Implementering af forandringer Alignment mellem forretningsstrategi og it-strategi Udbyder : Handelshøjskolen i Århus 24.10.2003 Oplæg Master i IT sikkerhed 10
Kommunikationssikkerhed (5 ECTS) Formål: Introducere de studerende til sikker kommunikation på usikre net, sikkerhed I distribuerede systemer og udfordringer ved brug af www Indhold: En introduktion til de vigtigste begreber i kryptologi, herunder symmetrisk og asymmetrisk(publickey) kryptering, autentificering af meddelelser, digitale signaturer og certikater. Der vil blive lagt vægt på en forståelse af metodernes funktionalitet og anvendelse, snarere end på de underliggende algoritmer En præsentation af de vigtigste standarder og protokoller der anvendes ved sikker kommunikation, med eksempler på anvendelser på Internettet, herunder f.eks. firewalls, autentificeret nøgleudveksling (SSL), X.509, m.v. En introduktion til begreberne sikkerhedspolitik og sikkerhedsmodeller, med eksempler fra f.eks. design af operativsystemer, programmeringssprog, eller sikkerheds -API'er. En oversigt over de vigtigste "faldgruber": konkrete sikkerhedsrisici, der følger af dårligt design eller implementation, herunder f.eks. overflow angreb, misbrug af sikkerheds-api'er, m.v. Udbyder. Datalogisk institut 24.10.2003 Oplæg Master i IT sikkerhed 11
Sikkerhedsledelse (10 ECTS) Formål: Give de studerende en dybere forståelse af de forretningsmæssige og ledelsesmæssige aspekter af informationssikkerhed Indhold: Trusselsbilledet IT-sikkerhedsstrategi og politik IT-sikkerhedsstyringssystemer ISMS Sikkerhedsplanlægning Risk management (selvrisiko/forsikring/sikring/opbygning) Metoder og værktøjer (OCTAVE m.fl.) Initiativer (forsikring) Opstilling af sikkerhedskrav Evaluering af sikkerhedsløsninger Implementering Uddannelse, motivation, awareness Processer, organisering Tekniske projekter Beredskaber (afhængig af hændelsestype og organisation / DRP+BC+VRP) Overvågning og kontrol Opfølgning og vedligeholdelse Udbyder: Handelshøjskolen i Århus 24.10.2003 Oplæg Master i IT sikkerhed 12
Sikkerhedsarkitektur og protokoller (5 ECTS) Formål: At give de studerende dyb indsigt i metoder, modeller og designprincipper indenfor sikkerhedsarkitektur og -protokoller Indhold: Access kontrol og sikkerhedsmodeller, f.eks. Bell-La Padula Principper for sikkerhedsprotokoller og forskellige typer PKI Identifikationsprotokoller og opsætning af sikre kanaler, zeroknowledge Protokoller til mere generelle formål, f.eks. Pengetransaktioner og E- handel, E-voting og Auktioner Udbyder: Datalogisk Institut 24.10.2003 Oplæg Master i IT sikkerhed 13
Kryptering (5 ECTS) Formål: At give de studerende dyb indsigt i kryptering Grundlæggende begreber, definitioner af sikkerhed Symmetrisk kryptering og Autentificering DES, AES Modes of use, CBC m.v. MAC Asymmetrisk kryptering og Digitale signaturer RSA Modes of use, OAEP m.v. Hash Funktioner SHA1 Nye teknikker eller algoritmer til kryptering (kvante-kryptering,.) Udbyder : Datalogisk afdeling 24.10.2003 Oplæg Master i IT sikkerhed 14
Krisestyring, bekæmpelse af sikkerhedsbrud (5 ECTS) Formål: at give de studerende dyb indsigt I håndtering af sikkerhedsbrud Indhold: - Rapportering om sikkerhedsbrud - Sikkerhedskontroller og principper - Krisestyring - Beredskabsplaner og katastrofeplaner - Standarder for sikkerhedscertificering - Ekstern kommunikation Udbyder: Handelshøjskolen i Århus 24.10.2003 Oplæg Master i IT sikkerhed 15
Master afhandling (15 ECTS) Masterafhandlingen er det afsluttende projekt på masteruddannelsen og afspejler færdigheder i forbindelse med ledelse af IT-sikkerhed evt med konkret implementering i egen virksomhed Afhandlingen kan omfatte diskussion af teorier, begrundelse for valg af metoder og fremgangsmåder, gennemførelse af empiri, indsamling af informationer mv. Emnet kan typisk være opstilling af sikkerhedsplaner, valg af sikkerhedsløsninger eller implementering af løsninger i en organisation. 24.10.2003 Oplæg Master i IT sikkerhed 16