Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Til ledelsen it-sikkerhed for forretningen

2,765
views

Published on

En ultra-kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål: …

En ultra-kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål:
* Hvorfor virksomheder skal risikovurdere deres afhængighed af it?
* Hvordan investerer man optimalt i it-sikkerhed?
* Hvorfor egentlig have et Information Security Management System?
* Hvorfor skal man arbejde med beredskab og nødprocedurer?

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,765
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Denne præsentation giver nogle ikke-tekniske svar på :Hvorfor virksomheder skal risikovurdere deres afhængighed af itHvordan man investerer optimalt i it-sikkerhedHvorfor have et Information Security Management SystemHvorfor skal man arbejde med beredskab og nødprocedeurer
  • Mange virksomheder har udmærket styr på fysiske & tekniske tiltag. Men uden en passende mængde administrative tiltag, giver de tekniske / fysiske kun ringe værdi. Eksempel 1: Et adgangskontrolsystem hvor der man ikke helt ved hvem der har adgangskortene kun ringe værdi-Eksempel 2: En firewall der ikke administreres giver kun en meget ringe beskyttelse- Hem bestemmer firewall regler – er det en tekniske eller en ledelses beslutning om vi må bruge Facebook, Skype, Bring YourOwn Device. Hvordan undgår vi nøglepersonafhængighed et eksempler på administrative tiltag.Bemærk at ”optimeret” it-sikkerhed ikke betyder højest mulige absolut it-sikkerhed – det betyder det niveau, der passer bedst til den konkrete virksomhed.
  • I Europa er ISO 2700x serien langt den mest udbredte. Når man bruger samme standard som de fleste, øger man genkendelses-graden, hvilket opfattes bedre end et selv-opfundet koncept og system. Det giver mere troværdighed.To virksomheder er ikke ens; Vigtigheden af sikkerhed derfor også forskellig, og derfor skal når det er muligt man bruge sikkerhedstandarder der giver fleksibilitet fremfor firkantede check-liste standarder. Alt sammen argument for ISMS jævnfør ISO 27001.Sikkerhedspolitik er en del af ISMS – den overordnede sikkerhedspolitik er ledelsens erklæring til organisationen om ambitionsniveauet for informationssikkerhed.
  • Nogle kalder beredskabsplan for ”plan for fortsat drift”. It-beredskab er blevet vigtigere i takt med at virksomheders it-afhængighed er vokset.
  • Nogle / alle it-medarbejdere skal måske hjælpe med at få it og/eller systemer på plads igen.Nogle medarbejdere kan måske passe deres arbejde I en vis udstrækning uden it – de arbejder efter en nødprocedureVirksomheden vil måske vælge at sende nogle medarbejdere hjem med it bliver genetableret.
  • IT GRC betyder IT Governance, Risk og Compliance Management, og begrebet dækker over flere forskellige discipliner. For eksempel sikkerhedspolitik, strategi og beredskab. IT GRC handler også om at vurdere leverandører - både på jorden og i skyen, sårbarheder og konsekvenser. Og om at efterleve branchekrav, lovkrav som persondatalov og standarder som ISO 27001, Cobit,PCI DSS.
  • Transcript

    • 1. It-sikkerhed for forretningen Derfor skal virksomheder styrederes informationssikkerhed Lars Neupart, Direktør & Stifter Neupart A/S LN@neupart.com, @neupart © Neupart A/S
    • 2. Hvorfor risikovurdere it? Usikkerhed kan ødelægge en virksomhed: Forventede tab kan vi gardere os imod og budgettere med. Uforudsete tab kan være fatale for os. Større it-afhængighed = større usikkerhed. Vi er nødt til at synliggøre den usikkerhed, it-afhængigheden påfører virksomheden. Med it-risikovurderinger kan vi differentiere vores it-sikkerhed og tilpasse den til virksomhedens krav. © Neupart A/S
    • 3. Optimér it-sikkerhedsinvesteringen Forebyggende Udbedrende Her begynder det at tiltag tiltag Flere virksomheders knibe for nogle. Der dårlige samvittighed. Vi er ofte ikke tid og Sikkerheds- ved, at vi bør gøre noget ressourcer til det. Beredskabs- ved det, men hvordan politik strategi kommer vi i gang? Logning Compliance It-beredskabsplan Administrative Awareness checks tiltag Ændrings- System- Disaster Recovery Optimeret it-sikkerhed styring dokumentation procedurer kræver et balanceret fokus på alle fire Firewall Antivirus Standby- Standby- udstyr driftscenter sikkerhedskvadranter Fysiske / tekniske Alarm- RAID Virtualisering Backup tiltag system Redundans Mest fokus er ofte rettet Adgangskontrol- Server-snapshots Der er ikke helt så mod dette område. system stærkt fokus Og de fleste har godt Brandslukning her, men alle er enige Server- om, at fx backup er styr på det. cluster vigtigt. © Neupart A/S
    • 4. Hvorfor etablere et ISMS? ISMS = Information Security Management System = Ledelsessystem. ISO 27001 Justerer løbende sikkerheden til forretningsmæssige behov Fleksibelt: ISO 27001 er IKKE en “one-size-fits-all-standard” ISO 2700x er ved at blive den foretrukne standard © Neupart A/S
    • 5. Hvorfor it-beredskab? 1. Beredskabet skal sikre forretningen mod tab. (Risikovurderinger identificerer potentielle tab) 2. Beredskab bruges til at styre risici forårsaget af sjældent forekommende hændelser, der kan have store konsekvenser. 3. Investeringer i beredskab skal stå i et fornuftigt forhold til de risici, som virksomheden er udsat for. © Neupart A/S
    • 6. Nødprocedurer Beskriver hvad medarbejdere skal lave mens it er nede. En del af beredskab © Neupart A/S
    • 7. Om Neupart Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC- løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. ISO27001-certificeret Første it-sikkerhedsleverandør i DK. Certificeret siden 2003 (BS7799 / ISO 27001) © Neupart A/S