1 / 43

Att identifiera och hantera IT-risker

Att identifiera och hantera IT-risker. Nicklas Lundblad Riskmanagementdagen 02004-11-24. Föredraget. Några exempel på IT-risker idag Att arbeta med IT-risker Något om framtiden. IT-risker i dag. Fråga: Vad är IT-risker?

oliver
Download Presentation

Att identifiera och hantera IT-risker

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Att identifiera och hantera IT-risker Nicklas Lundblad Riskmanagementdagen 02004-11-24

  2. Föredraget • Några exempel på IT-risker idag • Att arbeta med IT-risker • Något om framtiden

  3. IT-risker i dag Fråga: Vad är IT-risker? Svar: Alla risker som berör eller följer av användningen av informations- och kommunikationsteknik.

  4. Mål med arbetet med IT-risker • Sekretess/Konfidentialitet • Kontroll över vem som får access till vad • Integritet • Kontroll över vem som förändrar vad • Tillgänglighet • Säker tillgång till informationssystem • Spårbarhet • Vem har gjort vad?

  5. Hur arbetar vi med IT-risker? • Genomför en riskanalys • Utforma en informationssäkerhetspolicy • Undersök försäkringar och avtal

  6. Riskanalys • Resursidentifiering. De resurser som skall skyddas måste först identifieras. Vad är det som företaget skall skydda? • Hotidentifiering. Vilka hot kan dessa resurser utsättas för? • Sannolikhetsuppskattning. Vilken är sannolikheten för att de olika hoten realiseras? • Konsekvensanalys. Vad sker om hoten realiseras? (LIS – ISO 17799)

  7. Kritiska resurser – några exempel • Kommunikation • Webbplats • Affärssystem • Produktdatabaser • Kunddata • Med mera!!!

  8. Olika IT-sårbarheter • Externa hot • Interna hot • Fysiska hot • Tiden

  9. Externa hot – exempel • Hackers • Konkurrenter • Terrorister och främmande makt • Virus, maskar m.m.

  10. Hackers – hur tänker de? Onel de Guzman • Onel De Guzman: I am not a hacker; I am a programmer. • CNN Host: Question from: [There] What do you think a virus writer's motivation is? • Onel De Guzman: They want to learn. They want to be creative.

  11. Konkurrenter! Vad gör svenska företag på nätet (SCB 2003)

  12. Främmande makt Spaningsplansincidenten

  13. Terrorism Irakkriget • ”mi2g has noticed a pattern pertaining to politically motivated digital attacks and the mounting threat of war, as research indicates a rise in attacks against the UK and Italy and a decline against France. • The UK has risen from the 8th most attacked country worldwide in February 2002 to the rank of 2nd one year later, and Italy has moved up from the 14th position to 4th, while France's ranking plunged from 4th to 16th. Furthermore, the verifiable and successful digital attacks against the U.S. remain at an all time high of 43,802 with the UK at 7,516, Italy at 4,945 and France at 2,920.

  14. Virus m.m. • Svagheter i program som gör dem känsla för virus m.m. • Buggar i system • Svagheter i kryptografi m.m.

  15. Kostnader (Källa: Trend Micro 2004)

  16. Virusangrepp

  17. Interna hot – några exempel • Anställda • Misstag vanliga • Medvetet sabotage • Före detta anställda • Hämndaktioner

  18. Ron Rivest problem Usability Security

  19. De dansande grisarnas dilemma The user's going to pick dancing pigs over security every time. — Bruce Schneier

  20. Typiska problem • Lösenord på post-it notisar • Nedladdad musik m.m. ”poisoned content” • Missad säkerhetskopiering • Installerade program som inte är kompatibla • Bilagor…

  21. Social ingenjörskonst

  22. Fysiska hot – några exempel • Brand • Stöld • Översvämning

  23. Hur förvarar du dina säkerhetskopior?

  24. Tiden som säkerhetshot Skyddets styrka Tid Trygg period Falsk trygghet

  25. 331 180 151 25 17 SQL Slammer Nimda Welchia/ Nachi Blaster Sasser Patch och hot

  26. Information ruttnar!

  27. Det långa perspektivet

  28. Riskanalysens resultat 1

  29. Riskanalysens resultat 2 Kostnad & sannolikhet

  30. Kostnad Förebygg Åtgärda! Förebygg Acceptera Sannolikhet Riskarbete

  31. Efter riskanalysen: utforma en informationssäkerhetspolicy • Vad är en policy? • Hur utformas en säkerhetspolicy? • Formulera • Förankra! • Kommunicera! • Uppdatera!

  32. Stöd för riskanalys och policyarbete • Standarder • Ex. vis ISO 17799 - LIS • Metoder • OCTAVE m.fl. • Mjukvara för scenarioanalys • Ex.vis SBA Scenario • Breda referensgrupper och förankringsarbete

  33. En policy bör… • …vara övergripande (komplettera med konkreta anvisningar om det behövs) • …inte vara för lång och omfattande (två pärmar?) • …läsas! • …utformas för att hantera och inte eliminera risker • …kopplas till anställningen rättsligt

  34. Behörighetsadministration/åtkomststyrning Behörighetskontroll Loggning och spårbarhet Informationsklassning Införande Systemssäkerhetsplan IT-säkerhetsinstruktioner Skydd mot skadlig programkod IT-nätverk (internt) IT-nätverk (externt) Brandväggar E-post Distansarbete och mobildatoranvändning Kontinuitetsplanering Incidenthantering Säkerhetskopiering och lagring Policyns innehåll - exempel Källa: PTS

  35. Avtal och försäkringar • Ofta glöms avtalen bort i riskanalysen • Vad ansvarar din ISP egentligen för? • Försäkringar • Ännu en ganska outvecklad marknad

  36. Nya risker och säkerhetsutvecklingen • Moln av teknik • Ny teknik – nya risker • Säkerhetsutvecklingen - trender

  37. Ett moln av teknik IT-säkerhetschef

  38. Ny teknik – nya risker

  39. Säkerhetsutvecklingen

  40. Säkerhetsutvecklingen

  41. Säkerhetsutvecklingen

  42. Slutpunkten?

  43. Presentationsdata • Presentationen finns på http://www.kommenterat.net • Frågor? nicklas@skriver.nu Tack!

More Related