viktige IKT-utfordringer - NSM
viktige IKT-utfordringer - NSM viktige IKT-utfordringer - NSM
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 5 på topp - viktige IKT utfordringer NSM Sikkerhetskonferanse 2008 12.-13. november Mari Nylund Datasikkerhetsleder NSM mari.nylund@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 1 Hvordan definere ”de fem”? Vi ønsker å oppnå noe: Økt bevissthet hos dere Gi dere motivasjon til å handle Gi noen enkle råd på veien I siste instans; Bedre sikkerhet for dere og for oss alle Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 2
- Page 2 and 3: Nasjonal sikkerhetsmyndighet - Sikr
- Page 4 and 5: Nasjonal sikkerhetsmyndighet - Sikr
- Page 6: Nasjonal sikkerhetsmyndighet - Sikr
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier<br />
5 på topp - <strong>viktige</strong> <strong>IKT</strong> <strong>utfordringer</strong><br />
<strong>NSM</strong> Sikkerhetskonferanse 2008<br />
12.-13. november<br />
Mari Nylund<br />
Datasikkerhetsleder<br />
<strong>NSM</strong><br />
mari.nylund@nsm.stat.no<br />
www.nsm.stat.no<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 1<br />
Hvordan definere ”de fem”?<br />
Vi ønsker å oppnå noe:<br />
Økt bevissthet hos dere<br />
Gi dere motivasjon til å handle<br />
Gi noen enkle råd på veien<br />
I siste instans;<br />
Bedre sikkerhet for dere og for oss alle<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 2
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier<br />
Hvordan definere ”de fem”?<br />
Kriterier for valgene:<br />
Dere er målgruppe<br />
Valgene skal gi en nytte- /merverdi for dere å ta tak i<br />
De skal være erfart av <strong>NSM</strong><br />
De skal være aktuelle akkurat nå<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 3<br />
Hva er <strong>IKT</strong> – hvordan angripe problemstillinger?<br />
Mennesker<br />
Stadig mer krevende – tilgjengelighetskrav<br />
Kunnskap og kompetanse<br />
Holdninger – forholdet mellom liv og lære<br />
Teknologi<br />
Stadig utvikling<br />
Komplisert og uoversiktlige systemer<br />
Opereres av mennesker<br />
Myk sikkerhet<br />
Prosesser<br />
Bevissthet – evne til å definere prosesser i egen virksomhet<br />
Kunnskap om hvordan de henger sammen og hvordan man<br />
setter dem i system og styrer dem<br />
Hard og<br />
strukturell<br />
sikkerhet<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 4
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier<br />
Utfordring 1: Tilgjengengelighet og mobilitet<br />
Hva er utfordringen?<br />
Mobilt kontor, hjemmekontor, e-post, minnepinner..<br />
Uregulert, ukryptert, trådløse nettverk..<br />
Kunnskap, bevissthet, holdninger..<br />
Er dette aktuelt hos deg?<br />
Hvor mange minnepenner er i omløp hos dere?<br />
Har dere gode rutiner for å tilgjengeliggjøre krav og forventninger til<br />
ansatte på alle nivå?<br />
Hva kan vi gjøre? Tiltak/ løsninger<br />
Bevisstgjøring og opplæring<br />
Tydelige krav, styring og kontrollmekanismer<br />
Kryptering<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 5<br />
Utfordring 2: Mobiltelefoner – den lille datamaskin<br />
Hva er utfordringen?<br />
Vi er ikke tilstrekkelig bevisst sårbarheter i vår mobiltelefon/ -bruk,<br />
hvordan vi sikrer den<br />
Bluetooth,<br />
IR, tråd.<br />
Er dette aktuelt hos deg?<br />
Bruker de ansatte sin mobiltelefon på jobb?<br />
Stilles det krav til ansattes mobiltelefonbruk, - bortsett fra tellerskritt?<br />
?<br />
Hva kan vi gjøre for å møte utfordringen?<br />
Informasjon, demonstrasjoner<br />
Veiledning/brosjyrer for sikker bruk<br />
Tilgjengelig oppbevaring utenfor møterom<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 6
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier<br />
Utfordring 3: Konfigurasjonskontroll<br />
Hva er utfordringen?<br />
Komplekse systemløsninger, infrastruktur, programvareoversikt<br />
Hvem gjør hva? Hva styrer IT-drift? Hva ”tillates” bruker?<br />
Er dette aktuelt hos deg?<br />
Kan du verifisere sårbarheten din?<br />
Hvor sårbar er du?<br />
Er det en akseptert risiko?<br />
Hva kan vi gjøre for å møte utfordringen?<br />
Roller og ansvar - tydelig definert<br />
Rett kompetanse – duplisert kompetanse<br />
God/tilgjengelig dokumentasjon – endringsrutiner<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 7<br />
Utfordring 4: Verdivurdering<br />
Hva er utfordringen?<br />
Usikkerhet omkring verdivurdering av egen informasjon<br />
Hva er informasjonen vår verdt?<br />
- for oss, - og for andre?<br />
Hva er konsekvenser ved kompromittering?<br />
Er dette aktuelt for deg?<br />
Er du trygg på at all informasjon er riktig vurdert ift<br />
beskyttelsesbehov?<br />
Er beskyttelsesverdig informasjon underlagt<br />
tilstrekkelige/hensiktsmessige sikkerhetstiltak?<br />
Mulige tiltak/ løsninger<br />
Definere informasjon, objekter og prosesser<br />
Vurdere verdi og beslutte beskyttelsesbehov<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 8
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier<br />
Utfordring 5: Ledelse/styring<br />
Hva er utfordringen?<br />
Manglende oversikt over virksomhetens prosesser<br />
Manglende vilje/evne til å ta ansvar<br />
Tilfeldig prioritering<br />
Er dette aktuelt hos deg?<br />
Har du oversikt og kontroll?<br />
Vet du hva som skjer hos dere?<br />
Er vi gode eksempler?<br />
Hva kan vi gjøre for å møte utfordringen?<br />
Definere, forankre og prioritere sikkerhetsansvar<br />
Implementere og vedlikeholde styringssystem for<br />
sikkerhet<br />
Ressurstilgang - sikre kunnskap og kompetanse<br />
Håndtering – tydelig kommunikasjon, konsekvent<br />
handling<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 9<br />
Planmessig sikkerhetsarbeid ved hjelp av flg. faser;<br />
Undersøke<br />
Kartlegging/inspeksjon/verdivurdering<br />
Beskytte<br />
Tiltak og rutiner<br />
Opplæring!<br />
Detektere<br />
Bevisste valg av mekanismer<br />
for å fange opp avvikshendelser<br />
Reagere<br />
Håndtere situasjoner<br />
Gjenopprette<br />
Hva gikk galt – hvordan unngå samme og lignende hendelser, reflektere<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 10
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier<br />
Oppsummering - 5 på topp<br />
1. Tilgjengelighet og mobilitet<br />
2. Mobiltelefoner – den lille datamaskin<br />
3. Konfigurasjonskontroll i informasjonssystemene<br />
4. Verdivurdering – hva er informasjonen verdt<br />
5. Ledelse/styring<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 11<br />
Spørsmål<br />
Takk for oppmerksomheten.<br />
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier 12