informasjonssikkerhet på reisen

Informasjonssikkerhet på reisen

Direktoratet for forvaltning og IKT

Om Difi

Visjon: utvikle offentlig sektor

Digitalisering Anskaffelser Organisering og ledelse

Oslo Leikanger

240

02.09.2014


Seksjon for informasjonssikkerhet

Difi etablerte i 2013 et kompetansemiljø for informasjonssikkerhet som skal:

Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Prioriterte områder i 2014:• økt risikoforståelse• økt bruk av styringssystemer for

informasjonssikkerhet• mer systematisk arbeid med sikkerhet i

utvikling av digitale tjenester

02.09.2014


Litt om meg

RiksrevisjonenIT-revisor

Korttidsrådgiver – kapasitetsbygging av riksrevisjoner i utviklingsland – Malawi og Sør-Afrika

Statens vegvesen vegdirektoratetInternrevisjonen

02.09.2014


Hva er informasjon?

Hva er informasjonssikkerhet?

Hva er internkontroll?

KIT – trusler og sårbarheter

Informasjonssikkerhet på reisen

02.09.2014


Hva er (digital)informasjon?

Består av data I seg selv har data ofte ingen mening

Kan være spredt og komme fra flere kilder

Kombineres data og «oversettes» til noe vi forstår, blir det informativt og det kalles informasjon

Dessuten:Muntlig og papirbasert informasjon

02.09.2014


Informasjon har en verdi – ulik informasjon har ulik verdi for ulike personer og organisasjoner

Informasjon og informasjonsbehandling har blitt ryggraden i samfunnet og er integrert i nesten alle samfunnsprosesser

02.09.2014


Hva er informasjonssikkerhet? 1/2

Sikring av informasjonensTilgjengelighet

Konfidensialitet

Integritet

Er informasjonen tilgjengelig når vi trenger den?

Er informasjonen sikret mot uautorisert innsyn?

Er informasjonen sikret mot uautorisert og utilsiktet endring eller manipulering?

02.09.2014


Tap av tilgjengelighet og integritet

Betyr at ansatte, ledere og eksterne brukere av virksomhetens tjenester ikke får tilgang til relevant og riktig informasjon.

02.09.2014


Tap av konfidensialitet

Gjelder i hovedsak brudd på lovpålagt taushetsplikt eller brudd på virksomhetsinterne føringer om hva som skal unntas offentlighet

02.09.2014


Hva er informasjonssikkerhet? 2/2

Ofte motstrid mellom tilgjengelighet og konfidensialitet

God informasjonssikkerhet er balansert sikkerhet

God informasjonssikkerhet skal være en muliggjører

02.09.2014


God (balansert) informasjonssikkerhet

Bidrar til måloppnåelse

Sikringstiltak er kostnadseffektive

Bidrar til etterlevelse av regelverk

02.09.2014


Hva er internkontroll?

Handler om at ledelsen skal ha tilstrekkelig styring og kontroll for at virksomheten skal nå sine mål

Målrettet og effektiv drift

Pålitelig rapportering

Overholdelse av lover og regler

02.09.2014


Hvorfor har vi bremser på en bil?

For å kunne stoppe?

For å kunne kjøre raskt, effektivt og målretta?

Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må

Hensiktsmessige sikringstiltak er en muliggjører

Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

02.09.2014


Alle virksomheter har internkontroll

(i større eller mindre grad)

På informasjonssikkerhetsområdet er modenheten lav (internkontrollen er lite repeterbar, ansatte forstår lite av hensikten, osv)

God informasjonssikkerhet betinger Ledelsesforankring

Sikkerhetskultur

Risikoforståelse

02.09.2014


Hvorfor internkontroll på informasjonssikkerhetsområdet?

Medvirke til at informasjonsbehandlingen på best mulig måte bidrar til realisering av virksomhetsmålene

Dagens bruk av informasjonsteknologi har gjort at tilstrekkelig og balansert sikring av KIT er kritisk for å nå disse målene

02.09.2014


TruslerTjenestenektangrep

Man in the middle(Wifi, blåtann)

Tyveri av utstyr og dokumenter

Brukerfeil, både bevisste og ubevisste

….

….

02.09.2014


Sårbarheter

Mangelfull bevissthet og opplæring

Manglende overvåking av systemer, etc

Mangelfulle eller manglende retningslinjer, policyer, etc

Dårlig kontinuitetsplanlegging

…

…

02.09.2014


Trusler og sårbarheter

Trusselaktører utnytter sårbarheter. Motivasjon kan være:

Personlig gevinst (penger, «cred»)

Politiske overbevisninger

Andre lands etterretning (spionasje)

…

…

02.09.2014


Eksempel

Ansatt i Finanstilsynet surfer på åpent Wifi på konferanse

Trusselaktør avlytter alle wifi-tilkoblinger ved bruk av egnet programvare

Trusselaktør utnytter sårbarhet i nettverkskonfigurasjonen på PCen til den ansatte

Trusselaktør får tilgang til børssensitiv informasjon

02.09.2014

Direktoratet for forvaltning og IKT02.09.2014


Hvordan oppnås balansert sikkerhet?

RisikovurderingerSannsynligheten for at «noe» kan skje

Konsekvensene av at «noe» skjer

Mange forskjellige metoder, men formålet er å identifisere situasjoner og hendelser som kan true virksomhetens måloppnåelse

Hvilken betydning har tap av konfidensialitet for vår måloppnåelse? For brukerne våre? For samarbeidspartnere?

Hvilken betydning har tap av tilgjengelighet?

Hvilken betydning har tap av integritet?

02.09.2014


Identifiserte risikoer som er over det nivået ledelsen i virksomheten har bestemt at er akseptabelt, må gjøres noe med

Tiltak utformes, planlegges og implementeres

02.09.2014


Informasjonssikkerhetstiltak

Pedagogiske Eks opplæring og bevisstgjøring av ansatte

OrganisatoriskeRoller og ansvar

AdministrativeRetningslinjer, prosedyrer, rutiner, veiledninger, etc)

TekniskeIKT og andre verktøy

FysiskeBygninger, rom, dører, skap, mv

02.09.2014


Tiltakene vil (bør) med andre ord reflektere ledelsens risikoappetitt

Men… Er tiltakene forståelige og fremstår de fornuftige?

Oppleves de som hindre? Spesielt på reisen?

02.09.2014


Alle virksomheter har internkontroll

(i større eller mindre grad)

På informasjonssikkerhetsområdet er modenheten lav (internkontrollen er lite repeterbar, ansatte forstår lite av hensikten, osv)

God informasjonssikkerhet betinger Ledelsesforankring

Sikkerhetskultur

Risikoforståelse

02.09.2014


Informasjonssikkerhetspolicy

Legger rammene for arbeidet med informasjonssikkerhet i virksomheten

Bør inneholde krav til ansatteMå ha bevissthet omkring virksomhetens sikkerhetsmål og betydningen disse har for virksomheten

Vite hvilken type informasjon man behandler

Etterlevelse av krav, retningslinjer, rutiner som gjelder og for arbeidet som utføres

Eks. «Retningslinjer for informasjonssikkerhet på reisen»

02.09.2014


På reisen

Situasjonsavhengig hva som er viktig for den enkelte

Tilgjengelighet oppleves ofte som avgjørende for at den reisende får utført nødvendige oppgaver

Ønsket om tilgjengelighet, og eventuelle brudd på retningslinjene, kan medføre uante konsekvenser

«Overdrevent» fokus på konfidensialitet kan samtidig medføre unødvendige kostnader

02.09.2014


Noen reiseråd 1/3

Hva sier NSM, PST, UD, osv?

Tenk gjennom hva slags type informasjon du har med deg

Nordmenn er attraktive mål

Informasjon har en verdi – hva skjer dersom din informasjonen havner i gale hender?

Tenk gjennom hvordan du ellers gjør det på private reiser

02.09.2014


Noen reiseråd 2/3

Vurdér egne reise-PCer som er «tomme»

Kjør ikke oppdatering på PC når du er utenlands, i alle fall ikke dersom du ikke kan stole 100% på kilden

Oppdater PC før du reiser

Sørg for at virussignaturbasen er oppdatert og at antivirus er AKTIV

Brannmur påslått

02.09.2014


Noen reiseråd 3/3

Gå aldri fra PCen.

Lån aldri minnepinner. Lån heller aldri bort minnepinner

Skru av Wifi og blåtann på offentlige steder (tlf, nettbrett og PC)

Vurdér om PC skal avleveres IT-drift før denne kobles til jobbnettverk når du har kommet hjem

Tenk gjennom hva slags informasjon du har med deg. Må alt være med?

Sørg for at fjernsletting er aktivert for mobile enheter

02.09.2014


Dersom ulykken er ute:

For all del gi beskjed til rette instans der du jobber!

02.09.2014


Tenk som en trusselaktør - og forstå hvordan angrep utføres og hva som gjør det mulig, samt hva det kan føre til.

02.09.2014


Kontaktinformasjon

[email protected]

infosikkerhet.difi.no

Internkontroll.infosikkerhet.difi.no

02.09.2014

http://infosikkerhet.difi.no/

informasjonssikkerhet på reisen

Documents