Embed Size (px)
DESCRIPTION
Min presentasjon fra frokostseminaret til Bergen Næringsråd, i samarbeid med Den Norske Dataforening og EDB Ergogroup.
Citation preview
Sikring av sensitiv informasjon
Per Thorsheim CISA, CISM, CISSP-ISSAP Sikkerhetsrådgiver Twitter: @thorsheim Linkedin.com/in/thorsheim
Vestenfjeldske SikkerhedsCompagnie - Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat” - Ulik bakgrunn, kompetanse og stillinger - Målsetning: gi fornuftige råd om sikkerhet - Alt vi sier, skriver og gjør er på egen regning & ansvar
Oddbjørn Thomas Per Erlend Lars
Erik Per-Arne Terje Alexander Jan Fredrik Thomas
Kilde: Lieberman Software (USA), Desember 2011, basert på 300 intervjuede it-ansatte
26% vet om IT-kolleger som snoker
Lønn, strategidokumenter og planer
42% Sier at IT-staben deler passord
og systemtilganger internt
Tidligere ansatte har fortsatt tilgang
48% Sier at virksomheten ikke
har krav om jevnlig bytte
av passord på systemkontoer
Forenkler uautorisert tilgang over tid
«Gamle dager»
Policy
Standarder
Retningslinjer
Codes of
Conduct «Kardemommelov»
Policy
Standarder
Retningslinjer
Sikkerhet & Kvalitet
Statoil – Codes of Conduct
http://www.statoil.com/en/About/EthicsValues/Downloads/Ethics%20code%20of%20conduct.pdf
IT og informasjon
Datatilsynet (om BYOD):
Innsynsrett gjelder heller ikke i utstyr som arbeidstaker selv eier.
Dette betyr at arbeidsgiver ikke har innsynsrett i dokumenter som er lagret i arbeidstakers private utstyr, selv om dette fra tid til annen
benyttes til arbeidsrelatert aktiviteter.
www.datatilsynet.no/upload/epostforskriften_merknader.pdf
CoD «Kardemommelov»
Policy
Standarder
Retningslinjer
Kvalitet & Sikkerhet
«oss»
Administrasjonen utarbeider CoD (Juridisk avd.)
Styret godkjenner Codes of Conduct
?
Bildet er hentet fra Statoils styresider på www.statoil.com
Styret består av:
Ansattes
representanter • Fagforeninger
Styremedlemmer
• Konsernstruktur • Ledere i ulike
styreverv internt
Eksterne styremedlemmer
• «Styregrossister» • Representanter
fra eier(e)
Bildet er hentet fra Statoils styresider på www.statoil.com
Styremedlemmer – en risiko?
Og 33 minnepinner hadde virus i tillegg…
Fakta om PIN kode på iPhone & iPad
+
1. Max en time for å ”knekke” 4-sifret PIN 2. Ingen mulighet for å spore eller slette enheten
Informasjonsflyt…
Ansattes
representanter • Fagforeninger
Styremedlemmer
• Konsernstruktur • Ledere i ulike
styreverv internt
Eksterne styremedlemmer
• «Styregrossister» • Representanter
fra eier(e)
Kvartalsrapport Konsern stab; Juridisk Økonomi Informasjon
…@hotmail.com? Budfirma? Telefax? Post?
Børsmelding til markedet
Oversettelse av tekst
Innhold / design / trykk
Intern lagring & tilgang?
Bildet er hentet fra Statoils styresider på www.statoil.com
IT og informasjon
Tiltak
Tiltak #1: Passordbeskyttelse
Ytterligere tiltak
• Rutine for innsyn i ansattes e-post & filer
• Makuleringsmaskin (krysskutter)
• Sluttrundeskjema for styremedlemmer, inkl:
– Innlevering / destruksjon av papir
– Sletting av telefon, iPad & PC
• Skriftlige krav til sikkerhet hos:
– Tjenesteleverandør
– Samarbeidspartnere
• 24x7 ”Vakttelefon” for primærinnsidere, inkl. styremedlemmer og eksterne
Per Thorsheim CISA, CISM, CISSP-ISSAP Sikkerhetsrådgiver
Tlf 90 999 259 [email protected]
Twitter: @thorsheim
Linkedin.com/in/thorsheim
securitynirvana.blogspot.com
Spørsmål?
