• Like

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Til ledelsen it-sikkerhed for forretningen

  • 2,751 views
Published

En ultra-kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål: …

En ultra-kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål:
* Hvorfor virksomheder skal risikovurdere deres afhængighed af it?
* Hvordan investerer man optimalt i it-sikkerhed?
* Hvorfor egentlig have et Information Security Management System?
* Hvorfor skal man arbejde med beredskab og nødprocedurer?

Published in Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,751
On SlideShare
0
From Embeds
0
Number of Embeds
6

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Denne præsentation giver nogle ikke-tekniske svar på :Hvorfor virksomheder skal risikovurdere deres afhængighed af itHvordan man investerer optimalt i it-sikkerhedHvorfor have et Information Security Management SystemHvorfor skal man arbejde med beredskab og nødprocedeurer
  • Mange virksomheder har udmærket styr på fysiske & tekniske tiltag. Men uden en passende mængde administrative tiltag, giver de tekniske / fysiske kun ringe værdi. Eksempel 1: Et adgangskontrolsystem hvor der man ikke helt ved hvem der har adgangskortene kun ringe værdi-Eksempel 2: En firewall der ikke administreres giver kun en meget ringe beskyttelse- Hem bestemmer firewall regler – er det en tekniske eller en ledelses beslutning om vi må bruge Facebook, Skype, Bring YourOwn Device. Hvordan undgår vi nøglepersonafhængighed et eksempler på administrative tiltag.Bemærk at ”optimeret” it-sikkerhed ikke betyder højest mulige absolut it-sikkerhed – det betyder det niveau, der passer bedst til den konkrete virksomhed.
  • I Europa er ISO 2700x serien langt den mest udbredte. Når man bruger samme standard som de fleste, øger man genkendelses-graden, hvilket opfattes bedre end et selv-opfundet koncept og system. Det giver mere troværdighed.To virksomheder er ikke ens; Vigtigheden af sikkerhed derfor også forskellig, og derfor skal når det er muligt man bruge sikkerhedstandarder der giver fleksibilitet fremfor firkantede check-liste standarder. Alt sammen argument for ISMS jævnfør ISO 27001.Sikkerhedspolitik er en del af ISMS – den overordnede sikkerhedspolitik er ledelsens erklæring til organisationen om ambitionsniveauet for informationssikkerhed.
  • Nogle kalder beredskabsplan for ”plan for fortsat drift”. It-beredskab er blevet vigtigere i takt med at virksomheders it-afhængighed er vokset.
  • Nogle / alle it-medarbejdere skal måske hjælpe med at få it og/eller systemer på plads igen.Nogle medarbejdere kan måske passe deres arbejde I en vis udstrækning uden it – de arbejder efter en nødprocedureVirksomheden vil måske vælge at sende nogle medarbejdere hjem med it bliver genetableret.
  • IT GRC betyder IT Governance, Risk og Compliance Management, og begrebet dækker over flere forskellige discipliner. For eksempel sikkerhedspolitik, strategi og beredskab. IT GRC handler også om at vurdere leverandører - både på jorden og i skyen, sårbarheder og konsekvenser. Og om at efterleve branchekrav, lovkrav som persondatalov og standarder som ISO 27001, Cobit,PCI DSS.

Transcript

  • 1. It-sikkerhed for forretningen Derfor skal virksomheder styrederes informationssikkerhed Lars Neupart, Direktør & Stifter Neupart A/S LN@neupart.com, @neupart © Neupart A/S
  • 2. Hvorfor risikovurdere it? Usikkerhed kan ødelægge en virksomhed: Forventede tab kan vi gardere os imod og budgettere med. Uforudsete tab kan være fatale for os. Større it-afhængighed = større usikkerhed. Vi er nødt til at synliggøre den usikkerhed, it-afhængigheden påfører virksomheden. Med it-risikovurderinger kan vi differentiere vores it-sikkerhed og tilpasse den til virksomhedens krav. © Neupart A/S
  • 3. Optimér it-sikkerhedsinvesteringen Forebyggende Udbedrende Her begynder det at tiltag tiltag Flere virksomheders knibe for nogle. Der dårlige samvittighed. Vi er ofte ikke tid og Sikkerheds- ved, at vi bør gøre noget ressourcer til det. Beredskabs- ved det, men hvordan politik strategi kommer vi i gang? Logning Compliance It-beredskabsplan Administrative Awareness checks tiltag Ændrings- System- Disaster Recovery Optimeret it-sikkerhed styring dokumentation procedurer kræver et balanceret fokus på alle fire Firewall Antivirus Standby- Standby- udstyr driftscenter sikkerhedskvadranter Fysiske / tekniske Alarm- RAID Virtualisering Backup tiltag system Redundans Mest fokus er ofte rettet Adgangskontrol- Server-snapshots Der er ikke helt så mod dette område. system stærkt fokus Og de fleste har godt Brandslukning her, men alle er enige Server- om, at fx backup er styr på det. cluster vigtigt. © Neupart A/S
  • 4. Hvorfor etablere et ISMS? ISMS = Information Security Management System = Ledelsessystem. ISO 27001 Justerer løbende sikkerheden til forretningsmæssige behov Fleksibelt: ISO 27001 er IKKE en “one-size-fits-all-standard” ISO 2700x er ved at blive den foretrukne standard © Neupart A/S
  • 5. Hvorfor it-beredskab? 1. Beredskabet skal sikre forretningen mod tab. (Risikovurderinger identificerer potentielle tab) 2. Beredskab bruges til at styre risici forårsaget af sjældent forekommende hændelser, der kan have store konsekvenser. 3. Investeringer i beredskab skal stå i et fornuftigt forhold til de risici, som virksomheden er udsat for. © Neupart A/S
  • 6. Nødprocedurer Beskriver hvad medarbejdere skal lave mens it er nede. En del af beredskab © Neupart A/S
  • 7. Om Neupart Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC- løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. ISO27001-certificeret Første it-sikkerhedsleverandør i DK. Certificeret siden 2003 (BS7799 / ISO 27001) © Neupart A/S