Informasjonssikkerhet på reisen
Direktoratet for forvaltning og IKT
Om Difi
Visjon: utvikle offentlig sektor
Digitalisering Anskaffelser Organisering og ledelse
Oslo Leikanger
240
02.09.2014
Direktoratet for forvaltning og IKT
Seksjon for informasjonssikkerhet
Difi etablerte i 2013 et kompetansemiljø for informasjonssikkerhet som skal:
Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
Prioriterte områder i 2014:• økt risikoforståelse• økt bruk av styringssystemer for
informasjonssikkerhet• mer systematisk arbeid med sikkerhet i
utvikling av digitale tjenester
02.09.2014
Direktoratet for forvaltning og IKT
Litt om meg
RiksrevisjonenIT-revisor
Korttidsrådgiver – kapasitetsbygging av riksrevisjoner i utviklingsland – Malawi og Sør-Afrika
Statens vegvesen vegdirektoratetInternrevisjonen
02.09.2014
Direktoratet for forvaltning og IKT
Hva er informasjon?
Hva er informasjonssikkerhet?
Hva er internkontroll?
KIT – trusler og sårbarheter
Informasjonssikkerhet på reisen
02.09.2014
Direktoratet for forvaltning og IKT
Hva er (digital)informasjon?
Består av data I seg selv har data ofte ingen mening
Kan være spredt og komme fra flere kilder
Kombineres data og «oversettes» til noe vi forstår, blir det informativt og det kalles informasjon
Dessuten:Muntlig og papirbasert informasjon
02.09.2014
Direktoratet for forvaltning og IKT
Informasjon har en verdi – ulik informasjon har ulik verdi for ulike personer og organisasjoner
Informasjon og informasjonsbehandling har blitt ryggraden i samfunnet og er integrert i nesten alle samfunnsprosesser
02.09.2014
Direktoratet for forvaltning og IKT
Hva er informasjonssikkerhet? 1/2
Sikring av informasjonensTilgjengelighet
Konfidensialitet
Integritet
Er informasjonen tilgjengelig når vi trenger den?
Er informasjonen sikret mot uautorisert innsyn?
Er informasjonen sikret mot uautorisert og utilsiktet endring eller manipulering?
02.09.2014
Direktoratet for forvaltning og IKT
Tap av tilgjengelighet og integritet
Betyr at ansatte, ledere og eksterne brukere av virksomhetens tjenester ikke får tilgang til relevant og riktig informasjon.
02.09.2014
Direktoratet for forvaltning og IKT
Tap av konfidensialitet
Gjelder i hovedsak brudd på lovpålagt taushetsplikt eller brudd på virksomhetsinterne føringer om hva som skal unntas offentlighet
02.09.2014
Direktoratet for forvaltning og IKT
Hva er informasjonssikkerhet? 2/2
Ofte motstrid mellom tilgjengelighet og konfidensialitet
God informasjonssikkerhet er balansert sikkerhet
God informasjonssikkerhet skal være en muliggjører
02.09.2014
Direktoratet for forvaltning og IKT
God (balansert) informasjonssikkerhet
Bidrar til måloppnåelse
Sikringstiltak er kostnadseffektive
Bidrar til etterlevelse av regelverk
02.09.2014
Direktoratet for forvaltning og IKT
Hva er internkontroll?
Handler om at ledelsen skal ha tilstrekkelig styring og kontroll for at virksomheten skal nå sine mål
Målrettet og effektiv drift
Pålitelig rapportering
Overholdelse av lover og regler
02.09.2014
Direktoratet for forvaltning og IKT
Hvorfor har vi bremser på en bil?
For å kunne stoppe?
For å kunne kjøre raskt, effektivt og målretta?
Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må
Hensiktsmessige sikringstiltak er en muliggjører
Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko
02.09.2014
Direktoratet for forvaltning og IKT
Alle virksomheter har internkontroll
(i større eller mindre grad)
På informasjonssikkerhetsområdet er modenheten lav (internkontrollen er lite repeterbar, ansatte forstår lite av hensikten, osv)
God informasjonssikkerhet betinger Ledelsesforankring
Sikkerhetskultur
Risikoforståelse
02.09.2014
Direktoratet for forvaltning og IKT
Hvorfor internkontroll på informasjonssikkerhetsområdet?
Medvirke til at informasjonsbehandlingen på best mulig måte bidrar til realisering av virksomhetsmålene
Dagens bruk av informasjonsteknologi har gjort at tilstrekkelig og balansert sikring av KIT er kritisk for å nå disse målene
02.09.2014
Direktoratet for forvaltning og IKT
TruslerTjenestenektangrep
Man in the middle(Wifi, blåtann)
Tyveri av utstyr og dokumenter
Brukerfeil, både bevisste og ubevisste
….
….
02.09.2014
Direktoratet for forvaltning og IKT
Sårbarheter
Mangelfull bevissthet og opplæring
Manglende overvåking av systemer, etc
Mangelfulle eller manglende retningslinjer, policyer, etc
Dårlig kontinuitetsplanlegging
…
…
02.09.2014
Direktoratet for forvaltning og IKT
Trusler og sårbarheter
Trusselaktører utnytter sårbarheter. Motivasjon kan være:
Personlig gevinst (penger, «cred»)
Politiske overbevisninger
Andre lands etterretning (spionasje)
…
…
02.09.2014
Direktoratet for forvaltning og IKT
Eksempel
Ansatt i Finanstilsynet surfer på åpent Wifi på konferanse
Trusselaktør avlytter alle wifi-tilkoblinger ved bruk av egnet programvare
Trusselaktør utnytter sårbarhet i nettverkskonfigurasjonen på PCen til den ansatte
Trusselaktør får tilgang til børssensitiv informasjon
02.09.2014
Direktoratet for forvaltning og IKT02.09.2014
Direktoratet for forvaltning og IKT02.09.2014
Direktoratet for forvaltning og IKT
Hvordan oppnås balansert sikkerhet?
RisikovurderingerSannsynligheten for at «noe» kan skje
Konsekvensene av at «noe» skjer
Mange forskjellige metoder, men formålet er å identifisere situasjoner og hendelser som kan true virksomhetens måloppnåelse
Hvilken betydning har tap av konfidensialitet for vår måloppnåelse? For brukerne våre? For samarbeidspartnere?
Hvilken betydning har tap av tilgjengelighet?
Hvilken betydning har tap av integritet?
02.09.2014
Direktoratet for forvaltning og IKT
Identifiserte risikoer som er over det nivået ledelsen i virksomheten har bestemt at er akseptabelt, må gjøres noe med
Tiltak utformes, planlegges og implementeres
02.09.2014
Direktoratet for forvaltning og IKT
Informasjonssikkerhetstiltak
Pedagogiske Eks opplæring og bevisstgjøring av ansatte
OrganisatoriskeRoller og ansvar
AdministrativeRetningslinjer, prosedyrer, rutiner, veiledninger, etc)
TekniskeIKT og andre verktøy
FysiskeBygninger, rom, dører, skap, mv
02.09.2014
Direktoratet for forvaltning og IKT
Tiltakene vil (bør) med andre ord reflektere ledelsens risikoappetitt
Men… Er tiltakene forståelige og fremstår de fornuftige?
Oppleves de som hindre? Spesielt på reisen?
02.09.2014
Direktoratet for forvaltning og IKT
Alle virksomheter har internkontroll
(i større eller mindre grad)
På informasjonssikkerhetsområdet er modenheten lav (internkontrollen er lite repeterbar, ansatte forstår lite av hensikten, osv)
God informasjonssikkerhet betinger Ledelsesforankring
Sikkerhetskultur
Risikoforståelse
02.09.2014
Direktoratet for forvaltning og IKT
Informasjonssikkerhetspolicy
Legger rammene for arbeidet med informasjonssikkerhet i virksomheten
Bør inneholde krav til ansatteMå ha bevissthet omkring virksomhetens sikkerhetsmål og betydningen disse har for virksomheten
Vite hvilken type informasjon man behandler
Etterlevelse av krav, retningslinjer, rutiner som gjelder og for arbeidet som utføres
Eks. «Retningslinjer for informasjonssikkerhet på reisen»
02.09.2014
Direktoratet for forvaltning og IKT
På reisen
Situasjonsavhengig hva som er viktig for den enkelte
Tilgjengelighet oppleves ofte som avgjørende for at den reisende får utført nødvendige oppgaver
Ønsket om tilgjengelighet, og eventuelle brudd på retningslinjene, kan medføre uante konsekvenser
«Overdrevent» fokus på konfidensialitet kan samtidig medføre unødvendige kostnader
02.09.2014
Direktoratet for forvaltning og IKT
Noen reiseråd 1/3
Hva sier NSM, PST, UD, osv?
Tenk gjennom hva slags type informasjon du har med deg
Nordmenn er attraktive mål
Informasjon har en verdi – hva skjer dersom din informasjonen havner i gale hender?
Tenk gjennom hvordan du ellers gjør det på private reiser
02.09.2014
Direktoratet for forvaltning og IKT
Noen reiseråd 2/3
Vurdér egne reise-PCer som er «tomme»
Kjør ikke oppdatering på PC når du er utenlands, i alle fall ikke dersom du ikke kan stole 100% på kilden
Oppdater PC før du reiser
Sørg for at virussignaturbasen er oppdatert og at antivirus er AKTIV
Brannmur påslått
02.09.2014
Direktoratet for forvaltning og IKT
Noen reiseråd 3/3
Gå aldri fra PCen.
Lån aldri minnepinner. Lån heller aldri bort minnepinner
Skru av Wifi og blåtann på offentlige steder (tlf, nettbrett og PC)
Vurdér om PC skal avleveres IT-drift før denne kobles til jobbnettverk når du har kommet hjem
Tenk gjennom hva slags informasjon du har med deg. Må alt være med?
Sørg for at fjernsletting er aktivert for mobile enheter
02.09.2014
Direktoratet for forvaltning og IKT
Dersom ulykken er ute:
For all del gi beskjed til rette instans der du jobber!
02.09.2014
Direktoratet for forvaltning og IKT
Tenk som en trusselaktør - og forstå hvordan angrep utføres og hva som gjør det mulig, samt hva det kan føre til.
02.09.2014
Direktoratet for forvaltning og IKT
Kontaktinformasjon
infosikkerhet.difi.no
Internkontroll.infosikkerhet.difi.no
02.09.2014
Top Related