Download   Report
  1. No category

Her er det tilladt at gi gas! ATV kørsel i varieret terræn

Dagsorden
1. Præsentation
2. Roskilde Universitet
3. Risikostyring - hvorfor?
4. Ledelsesopbakning
5. ISO27001
6. Forretningsorienteret risikostyring
7. It-teknisk sikkerhedsstyring
8. Hvordan bruges risikostyring på Roskilde Universitet
9. Hvilke fordele har vi af risikostyring på universitetet
10. Opsummering
11. Tips & tricks
Præsentation
Henrik Jensen – Roskilde Universitet, OCG, CISSP, CISM, CRISC
31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
I dag it-sikkerhedskonsulent på Roskilde Universitet (RUC)
Informations
sikkerhed
Roskilde Universitet
• Ca. 9.000 studerende
• Ca. 1.200 ansatte (undervisere og administrativt personale)
• Ca. 200 administrative og statiske medarbejdere
• Universitetet ligger samlet på én campus i Roskilde, ved Trekroner
• Roskilde Universitet (RUC) er en forsknings-, formidlings- og uddannelsesinstitution
• Forskning (administration af resultater og økonomi)
• Formidling og uddannelse (administration af studerende)
• Administration (lov- og myndighedskrav)
RUC’s fornemmeste opgave er at bidrage til eksperimenterende, nyskabende former
for læring og videnskabelse
Risikostyring, hvorfor?
Hvad risikere vi og findes der en ”Silverbullit”?
• Kompromittering af fortroligheden
• Indvirkning på tilgængeligheden af systemer og/eller processer
• Påvirkning af integriteten (pålideligheden) af vores data og informationer
Motiver for risikostyring
• Revision
• Gør vi det for revisionens skyld?
• Driftsstabilitet
• Gør vi det for at sikre driftsstabilitet (af alle
forretningsområder)?
• Compliance
• Gør vi det for at efterleve lov- og myndighedskrav?
Struktur, struktur, struktur
Ledelsesopbakning
• Universitetsdirektøren er meget fokuseret på informationssikkerhed
• Kvartalsmæssig afrapportering om ”rigets tilstand” til ledelsen
• Risikobilledet er kommunikationsmidlet mellem mig og ledelsen
• Der udarbejdes handlingsplaner for opnåelse af et acceptabelt sikkerhedsniveau (opfølning)
• Det er vigtigt at jeg sidder hvor jeg gør, jeg er forretningens vagthund over for IT
• Varetager RUC’s interesser i forbindelse med it-revisionen
• Står på mål for, at lov- og myndighedskrav er implementeret på RUC
• På RUC er det ledelsen som træffer beslutning om risikoniveauet (eks. DDOS)
ISO27001
Vi er som offentlig institution underlagt sikkerhedsstandarden ISO27001
• Hvad siger ISO27001 om risikostyring:
• Koordinerede aktiviteter til at lede og styre en virksomhed med hensyn til risiko
(handlingsplaner)
• Identificere en metodik til risikovurdering, der passer til ISMS-systemet (rød,
gul, grøn scenarier)
• Udarbejde kriterier for risikovillighed og identificere de risikoniveauer, der kan
accepteres (accept, nedbringelse, eliminering eller forsikre sig)
Den valgte metodik til risikovurdering skal sikre, at risikovurderinger giver
sammenlignelige og reproducerbare resultater (og det er så her Control Manager
kommer ind i billedet).
Forretningsmæssige perspektiv
• Processer
• CRM, Løn, Mail og kalendere, ERP
• Administrativ
• Kan vi agere som vi ”plejer”
• Operationelt
• Kan vi levere det vi skal (i alle led af ”værdikæden”)
• Teknisk
• Har vi sårbarheder i forhold til F I T
It-teknisk
Tekniske sårbarheder (eller basal og grundlæggende it-sikkerhed)
•
•
•
•
•
•
•
Adgangskontrolsystemer (RBAC)
Fysisk indretning
Infrastrukturmæssige sammensætning
HW og SW
Netværk (Firewall, Routere, kryptering og VPN)
Sikkerhedskopier
AntiVirus, IDS, IPS
Hvad med overensstemmelsen med klassificering samt lov- og
myndighedskrav (informationssikkerhed)?
Risikostyring på RU
Sikkerhedsmæssige implementeringer foretages KUN i forhold til det aktuelle risikobillede:
• Risikovurderinger foretages på periodisk basis, typisk 1 gang om året eller der
foretages væsentlige ændringer
• Risikovurderinger foretages både på det administrative, operationelle og tekniske
niveau
• Risikovurderingerne inddrager aspekter som sårbarheder i allerede foretagne
sikkerhedsmæssige implementeringer, sårbarheder i kontroller og ved manglende
operationelle rutiner
• Risikovurderinger er dynamiske og reflektere altid ændringer i den teknologiske
udvikling (BYOD), manglende kontroller (lov- og myndighedskrav) og
adfærdsmæssige ændringer (DropBox)
• Risikovurderinger præsenteres altid som stoplys scenarier og gerne præsenteret i
kvartaler, hvilket gør dem lettere at forholde sig til
• Risikovurderinger bruges som værktøj til at præsentere ”rigets tilstand” over for
ledelsen, og skaffer som regel velvillige sponsorer (hvis risiciene præsenteres i et
forretningsmæssigt perspektiv) (f.eks. DDOS = NG firewalls på RU)
Fordele
Risikostyring som værktøj til værditilførsel?
• Giver hverken for lidt eller for meget sikkerhed
• Fokus på risici i processerne (f.eks. ændringsstyring = mindre brandslukning)
• Vi arbejder med risici i forbindelse med services, processerne og projekterne
(hurtigere i mål med aktiviteterne)
• Vi vælger eller fravælger ud fra et sikkerhedsmæssigt perspektiv (FIT) – altså
ingen investering i sikkerhed uden at denne er forretningsmæssigt begrundet
(det vi beskytter har større værdi end den sikkerhedsmæssige implementering
der foretages)
Opsummering
Ledelsesansvar
Plan
Afs. 5.1 Ledelsens
forpligtelser
Afs. 4.2.1 etablering
og styring af ISMS
Dokumentationskrav til ISO27001 - ISMS:
·
·
·
·
·
·
Dokumenteret ISMS politik
Dokumenterede anvendelsesområder (SOA) for ISMS
Procedurer og foranstaltninger til støtte for ISMS
Beskrivelse af metodikken til risikovurdering
Risikovurderingsrapporten
Risikohåndteringsplanen
Afs. 5.2.
Ressourcestyring og
bevidsthed
Risici:
Eksempelvis:
Act
Eksterne som lovkrav, hackere,
miljømæssige, forsyningsmæssige m.v.
Afs. 4.2.4
Vedligeholdelse og
forbedring af ISMS
Interne som forretningsprocesser,
immaterielle (omdømme, pålidelighed),
medarbejdere m.v.
Forbedring af ISMS
(Afs. 8)
·
·
·
Afvigelser fra
kravene i ISMS
Er alle
forebyggende
foranstaltninger
identificeret
Ændrede risici
Overordnet:
Risici der kan have indvirkning på
virksomhedens mål og strategier
Kontrol med ISMS
(Afs. 6)
Check
Afs. 4.2.3
·
Overvågning og
revurdering af ISMS ·
·
Opfyldes alle
sikkerhedskrav?
Er ISMS effektivt
implementeret og
vedligeholdt?
Fungere ISMS som
forventet?
Do
Afs. 4.2.2
Implementering og
drift af ISMS
Ledelsens evaluering
af ISMS (Afs. 7)
·
·
·
·
·
Metrikker
Risikoreducering
CSF
KPI
KGI
Tips & tricks
•
•
•
•
•
•
BIA
Sårbarheder
Handlingsplaner
Kontrol af implementeringer
Korrigerende handlinger
Struktur, struktur, struktur
Q&A
?
Erfaringer fra innføring av ISO 27001 i danske kommuner

Erfaringer fra innføring av ISO 27001 i danske kommuner

Vejledning i informationssikkerhedsstyring (ISMS)

Vejledning i informationssikkerhedsstyring (ISMS)

Ansøgning om buskort - Stenoskolen Nakskov

Ansøgning om buskort - Stenoskolen Nakskov

Embedslægen om skimmelsvamp.pdf

Embedslægen om skimmelsvamp.pdf

OKNYGAARD SØGER DYGTIG ERFAREN

OKNYGAARD SØGER DYGTIG ERFAREN

8. Bestyrelsens arbejde med risikostyring

8. Bestyrelsens arbejde med risikostyring

Brenderup Realskole. En enestående skole..pdf

Brenderup Realskole. En enestående skole..pdf

RISIKO- RÅDGIVEREN - Danske Risikorådgivere

RISIKO- RÅDGIVEREN - Danske Risikorådgivere

Projekt titel Genetiske profil af tarmbakterier ved anorexia

Projekt titel Genetiske profil af tarmbakterier ved anorexia

En model til at arbejde mere sikkert

En model til at arbejde mere sikkert

Studieforløbsbeskrivelse

Studieforløbsbeskrivelse

SKALCEM 3000

SKALCEM 3000

Handlingsplanen er publiceret i marts 2015 og kan downloades her

Handlingsplanen er publiceret i marts 2015 og kan downloades her

Bogliste til Maskinmesteruddannelsen

Bogliste til Maskinmesteruddannelsen

Powerpoints v. Else Iversen

Powerpoints v. Else Iversen

Se præsentation

Se præsentation

DKCERT Trendrapport 2016

DKCERT Trendrapport 2016

abcdocz.com

© Copyright 2024