DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Relaterede dokumenter
ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Risikostyring ifølge ISO27005 v. Klaus Kongsted

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Informationssikkerhedspolitik for Horsens Kommune

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Præsentation af Curanets sikringsmiljø

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Security & Risk Management Summit

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

1. Introduktion til SoA Indhold og krav til SoA 4

IT-sikkerhed som et byggeprojekt?

ANBEFALING: En mærkningsordning for it-sikkerhed

Informationssikkerhedspolitik

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Vejledning om evaluering af beredskab. April 2015

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Stilling+Brixen. Kvalitetsledelse. Opbygning og implementering af ledelsessystemer på vej mod certificering

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Bilag 1 Databehandlerinstruks

CYBERFORSIKRING OFFENTLIG KONFERENCE

Security & Risk Management Summit 2016

Stilling+Brixen. Kvalitetsledelse. Implementering af ledelsessystemer på vej mod certificering ISO 1090 ISO 3834 ISO 9001 ISO ISO/OHSAS 18001

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

INFORMATIONS- SIKKERHEDSPOLITIK

Torben Waage Partner

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

it-sikkerhed i produktionen DE 5 TRIN

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Kursus: Ledelse af it- sikkerhed

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Sikkerhedspolitik Version d. 3. oktober 2013

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

It-beredskabsstrategi for Horsens Kommune

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

50 råd om udvikling, forankring, formidling, udmøntning og evaluering af relationsstrategien.

Faxe Kommune. informationssikkerhedspolitik

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Sikkerhedspolitik Version d. 6. maj 2014

En mærkningsordning for it-sikkerhed

Sikkerhedsvurderinger

Produktspecifikationer Private Cloud Version 2.5

Placering af materiel til opfyldelse af anvisninger Implementeringsplan

Kickstart din virksomheds digitale rejse

CYBER RISIKOAFDÆKNING

INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Tilsyn med Databehandlere

Dropbox vej til overholdelse af GDPR

Trivselsundersøgelse

SKI It-rådgivning SKI It-konsulenter. Leon Johansen SKI

RISIKOVURDERING I PRAKSIS

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

ISO Ledelsesværktøj til digital risikostyring

Sikkerhedspolitik Version: 2.4 Dokument startet:

Sådan får du styr på de digitale risici

Kommunikationsstrategi for Brugerklubben SBSYS

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Fællesregional Informationssikkerhedspolitik

Det rette fundament for procesforbedringer

Sådan målretter du din netværksarkitektur

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Obligatorisk projekt 4: Sikkerhed

Foreløbige erfaringer med implementering af persondataforordningen i Kulturministeriet Torsten Friis

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Informationssikkerhedspolitik. Frederiksberg Kommune

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Sikkerhed og Revision 2015

Dansk Passiv Brandsikring DS Certificering A/S

POLITIK FOR INFORMATIONSSIKKERHED

Service Level Agreement (SLA)

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Guide til bedre beredskabsstyring. April 2015

Assens Kommune Sikkerhedspolitik for it, data og information

Produktspecifikationer Private Cloud Version 2.6

IT-sikkerhedspolitik S i d e 1 9

IT-SIKKERHED HOS MOBILIZE ME APS

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

NOVAX One. Overlad ansvaret til os

Guide til awareness om informationssikkerhed. Marts 2013

Status på kvalitetsstyring på Natur- og Miljøområdet.

Transkript:

DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT

Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv KOMBIT lægger ud for it-løsninger, og kommunerne betaler først for løsningerne, når de er i drift KOMBITs bestyrelse består af 5 borgmestre og 3 medarbejderrepræsentanter En kommunal porteføljegruppe rådgiver KOMBITs ledelse KOMBIT er i 2016 ca. 180 medarbejdere

KOMBITs behov Billede af sikkerheden og de største sikkerhedsrisici Detaljeret beskrivelse af nuværende informationssikkerhed holdt op i mod ISO 27002 standarden Et billede af modenheden hos vores medarbejdere Overblik over de kritiske digitale sikkerhedsrisici Prioriterede anbefalinger til forbedringer af informationssikkerheden holdt op imod KOMBITs behov Rapport til brug for både ledelse, sikkerhed og teknik

Hvad fik KOMBIT ud af en sikkerhedsanalyse? Erfaren og målrettet sparring og rådgivning KOMBIT fik en detaljeret beskrivelse af nuværende informationssikkerhed KOMBIT fik et billede af ISO 27002 modenheden KOMBIT fik et overblik over de kritiske sikkerhedsrisici KOMBIT fik prioriterede anbefalinger til forbedringer af informationssikkerheden holdt op imod de konkrete behov

Sikkerhedsanalysen var en hjælp til ISO processen Gennemgangen baseredes på ISO 27002 standardens kontroller ISO 27002 kontrollerne var en god guide til at sikre, at vi kom hele vejen rundt. Ingen grund til at bruge andet end anerkendt standard og best practice

Hvilke fordele opnåede KOMBIT ved ekstern bistand? Adgang til viden og kompetencer, som vi ikke har selv Forventning om en effektiv tilgang til processen KOMBIT er selv en ekspertorganisation, så vi har god forståelse for, hvornår vi bør kalde eksperter ind Vi tror på, at dette er en billigere løsning end at gøre det selv

Sikkerhedsanalysen er et værktøj Baserer sig på ISO 27001 processen og ISO 27002 kontrollerne Bruges når man skal i gang, eller hvis det videre arbejde skal planlægges o Opbygning og vedligeholdelse af IT-sikkerhed er en løbende proces Fastlægger de reelle forretningsmæssige krav og behov o Det er vigtigt, at IT-sikkerheden afstemmes med de forretningsmæssige forventninger Tekniske sårbarheder knyttes til forretningsmæssige risici Afklarer det aktuelle sikkerhedsniveau og de største risici/gab o Giver input til en prioriteret handlingsplan for det videre forløb o Kan identificere de lavt hængende frugter

Hvad omfatter en sikkerhedsanalyse? Aktivitet 1 Opstartsmøde Detaljer omkring område for analyse, interviews og adgang til dokumentation aftales Aktivitet 2 Gennemgang af nuværende sikkerhedsstatus, interviews Vigtigt, at det er forretningen, som ejer dette. En sikkerhedsanalyse er ikke en IT afdelingsøvelse Interviews med nøglepersoner hos virksomheden inden for områderne: forretningen, sikkerhed og organisation, samt IT Aktivitet 3 Gennemgang af nuværende implementering, interviews Interviews med nøglepersoner hos kunden inden for områderne: fysisk sikkerhed, netværk, applikationer og server infrastruktur Aktivitet 4 Analyse og behandling Analyse af de indsamlede informationer fra aktivitet 1, 2 og 3 samt udarbejdelse af rapport, herunder indarbejdelse af kundens kommentarer Aktivitet 5 Afrapportering Fremlæggelse af rapport og konklusioner for ledelse og/eller projektdeltagere

Eksempler på anbefalinger På firewallen bør der etableres et dedikeret segment til terminering af XXXnettet, så det ikke længere har direkte og ufiltreret adgang til de servere som er placeret på det nuværende segment I forhold til eftersporing af sikkerhedshændelser bør man også logge trafik kommende indefra og ud, og ikke kun udefra kommende trafik Man kan også overveje tilkøb af VPN licens til det passive firewall modul, således at der er en fuld redundant løsning og så at nedetid ifm. genetablering af VPN tunneler undgås såfremt den aktive node går ned Dette er ikke de konkrete anbefalinger til KOMBIT, men eksemplerne illustrerer, at vi fik meget konkrete anbefalinger, som vi nu enten har implementeret eller står lige foran De forskellige alarmeringsfunktioner på webproxy og mailscanner udstyret bør aktiveres, sådan at unormale hændelser aktivt registreres af IT-afdelingen Der bør indføres kryptering af backupbåndene, som flyttes uden for den primære lokalitet, da der ellers er en risiko for tab af fortrolighed, hvis et bånd forsvinder eller bliver tabt Der bør udformes et sæt IT-regler, som klart beskriver acceptabel brug af firmaets IT-udstyr og konsekvenserne ved brud på disse regler. Reglerne bør accepteres skriftligt af medarbejderen og kvitteringen bør opbevares i personalemappen Vi anbefaler, at den centrale serverrums-ups overvåges, sådan at skift til batteridrift registreres og sikker nedlukning af servere kan ske på en forsvarlig vis. UPS erne bør desuden testes regelmæssigt for at kontrollere, at batterierne har kapacitet nok til at en nedlukningsprocedure kan gennemføres, inden batteriet er fladt. Endvidere bør der overføres statuskommunikation mellem den centrale UPS og serverne, så automatisk nedlukning af serverne ved længerevarende strømafbrydelser kan startes automatisk Der bør laves en beredskabsplan, som beskriver procedurer ved f.eks. virusudbrud og som udpeger de kontaktpersoner, der kan/skal kontaktes ved aktivering af planen

Resultatet Organisationen får: Ledelses-resumé med en opsummering af de kritiske problemer og forbedringsforslag o Detaljeret beskrivelse af nuværende IT-sikkerhed o Et prioriteret billede af gabet imellem den faktiske ITsikkerhed og ISO 27002/ best practices i lyset af forretningens forventninger

Vi startede her hvad er næste step? Certificering i 2017, der skal sikre, at sikkerhedsprocessen og tankegangen er forankret i dagligdagen Tæt samarbejde med KL, kommuner, leverandører og andre om sikkerhed Analysen og certificeringen er bare starten sikkerhed er og vil altid være en del af vores hverdag Vi sender et signal til omverdenen om, at vi tager dette seriøst

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback