Embed Size (px)
DESCRIPTION
Dette er min presentasjon fra IT-tinget 2011 (www.it-tinget.no)
Citation preview
Styremedlemmeren sikkerhetsrisiko?
Per ThorsheimCISA, CISM, CISSP-ISSAPSikkerhetskonsulent
Advokatbladet nr 9/2011
Bilde tatt fra www.advokatbladet.no
Vestenfjeldske SikkerhedsCompagnie- Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”- Ulik bakgrunn, kompetanse og stillinger- Målsetning: gi fornuftige råd om sikkerhet- Alt vi sier, skriver og gjør er på egen regning & ansvar
Oddbjørn ThomasPer Erlend Lars Erik
Per-Arne Terje Alexander Jan FredrikThomas
«Gamle dager»
Policy
Standarder
Retningslinjer
IT-tinget 2011 – Per Thorsheim
IT-tinget 2011 – Per Thorsheim
Codesof
Conduct
«Kardemommelov»
Policy
Standarder
Retningslinjer
Kvalitet & Sikkerhet
Statoil – Codes of Conduct
http://www.statoil.com/en/About/EthicsValues/Downloads/Ethics%20code%20of%20conduct.pdf
IT og informasjon
IT-tinget 2011 – Per Thorsheim
IT-tinget 2011 – Per Thorsheim
CoD
«Kardemommelov»
PolicyStandarde
rRetningslinjer Kvalitet &
Sikkerhet
«oss»
Administrasjonenutarbeider CoD(Juridisk avd.)
Styret godkjenner Codes of Conduct
?
Styret består av:
Ansattes representanter
• Fagforeninger
Styremedlemmer
• Konsernstruktur• Ledere i ulike
styreverv internt
Eksterne styremedlemmer
• «Styregrossister»• Representanter
fra eier(e)
IT-tinget 2011 – Per Thorsheim
Styremedlemmer – en risiko?
IT-tinget 2011 – Per Thorsheim
4-sifret PIN på iPhone eller iPad er garantert knekt på < 1 time.
Informasjonsflyt
Ansattes representanter
• Fagforeninger
Styremedlemmer
• Konsernstruktur• Ledere i ulike
styreverv internt
Eksterne styremedlemmer
• «Styregrossister»• Representanter
fra eier(e)
Kvartalsrapport
Konsern stab;JuridiskØkonomiInformasjon
…@hotmail.com?Budfirma?Telefax?Post?
Børsmelding til markedet
Oversettelse av tekst
Innhold / design / trykk
Intern lagring & tilgang?
IT-tinget 2011 – Per Thorsheim
12
Intern lagring & tilgang
IT-tinget 2011 – Per Thorsheim
• System administratorer har teknisk tilgang– Men ikke juridisk tilgang
• Ingen tekniske hindre for tilgang til innsideinformasjon
• Lovlig aktivitet blir sjelden logget– Slettes automatisk etter kort tid
13
Eksterne tjenester
IT-tinget 2011 – Per Thorsheim
HACK
ED
14
Eksterne partnere
IT-tinget 2011 – Per Thorsheim
• Prinsipielt ikke i overensstemmelse med virksomheten:– Codes of Conduct– Sikkerhetspolicy– Standarder– Retningslinjer
• Normalt «sikret» gjennom avtale & taushetserklæring– Reaktivt tiltak: ved brudd; krev erstatning
• Hvor er de proaktive tiltakene?
Tillit er bra. Kontroll er bedre.
IT og informasjon
IT-tinget 2011 – Per Thorsheim
Anbefalte tiltak
IT-tinget 2011 – Per Thorsheim
• Bruk passord beskyttelse på dokumenter– Både ved lagring og forsendelse
• Sett skriftlige krav til eksterne partnere– Sett internrevisjon eller sikkerhetsavd. til å kontrollere dem
• Utfør sikkerhetssjekk / briefing for nye styremedlemmer– Telefon, nettbrett, PC, post og fysiske lokaler
• Sluttrundeskjema ved styremedlemmers fratreden– Fjernsletting av data på iPad/telefon og tilsvarende
• 24x7 VIP vakttelefon for styret + primærinnsidere
