SlideShare a Scribd company logo

Frukostseminarium om revision av mobila enheter 2013-03-08

Transcendent Group
Transcendent Group

Samma mobila enheter, exempelvis smarta telefoner och surfplattor, används i allt större utsträckning både privat och som arbetsverktyg. Dessa enheter kan i många hänseenden likställas med vanliga datorer men de skiljer sig samtidigt väsentligt ur ett informationssäkerhetsperspektiv. Riskhanteringen kan vara svår eftersom de tekniska förutsättningarna skiljer sig åt. Dessutom uppstår problem när det finns ett stort gap mellan användarnas önskemål om funktionalitet och organisationens strävan att skydda sin information. Mattias Nyholm är konsult på Transcendent Group och kommer att presentera ett tillvägagångssätt för en IT-revision i syfte att utvärdera risker med användningen av mobila enheter. Mattias kommer att beskriva bakgrund, viktiga områden att fokusera på i granskningen, ge tips på kontrollmål som utvärderingen kan ske gentemot och diskutera hur man kan verifiera lämpliga skyddsåtgärder. Mattias har arbetat över tio år med IT- och informationssäkerhet och han har stor erfarenhet av att ställa krav på och utvärdera skyddsåtgärder och säkerhetsmekanismer.

Technology
1 of 18
Revision av mobila enheter Mattias Nyholm
Agenda • Tillvägagångssätt • Planering • Granskningsprogram • Kontrollmål • Bedömning av risker © Transcendent Group Sverige AB 2013
Tillvägagångssätt planera genomför rapportera © Transcendent Group Sverige AB 2013
Bakgrundsinformation • Policy och riktlinjer • Verksamhetens riskanalys • Organisation och människor • Användningsområde för mobila enheter • Tekniska förutsättningar • Hotbild, trender och utveckling • God praxis för säkerhet i mobila enheter © Transcendent Group Sverige AB 2013
Definiera granskningen • Omfattning och inriktning • Avgränsningar • Metod för granskningen • Kontrollmål • Granskningsprogram • Intervjupersoner © Transcendent Group Sverige AB 2013
Kontrollmål - styrning • Riktlinjer för informationssäkerhet inkluderar hantering av mobila enheter. • Risker avseende användning av mobila enheter har utvärderats och dokumenterats. • Specifika riktlinjer för användning av mobila enheter finns fastställda och kommunicerade. • Rutin för hantering av stulna eller borttappade mobila enheter finns fastställd. • Känslig information får inte hanteras på mobila © Transcendent Group Sverige AB 2013 enheter.
Kontrollmål – säkerhet i praktiken • Endast godkända mobila enheter kan användas. • Process för uppdatering av operativsystem för mobila enheter finns fastställd • Rutiner och verktyg för att upptäcka och hantera säkerhetsavvikelser finns och fungerar • Kryptering samt skärmlås med autentisering är tvingande för samtliga mobila enheter. © Transcendent Group Sverige AB 2013
Styrande dokument • Fastställda • Relevanta • Verklighetsanpassade • Heltäckande – anskaffning – användning – underhåll – kassering/stöld © Transcendent Group Sverige AB 2013
”Vi har ingen känslig information på våra mobila enheter” © Transcendent Group Sverige AB 2013
Skyddsmekanismer • Identifiering och autentisering • Infrastruktur och kommunikation • Skydd av data • Skydd mot skadlig kod • Loggning och övervakning © Transcendent Group Sverige AB 2013
”Kryptering samt skärmlås med autentisering är tvingande för samtliga mobila enheter” © Transcendent Group Sverige AB 2013
Granskning av policy AllowNonProvisionableDevices : True DeviceEncryptionEnabled : True RequireStorageCardEncryption : False DevicePasswordEnabled : True AllowStorageCard : True © Transcendent Group Sverige AB 2013
Legala aspekter • Vilka lagar och regleringar gäller? • Finns avtal med användare? • Har vi laglig rätt (och modet) att radera enheter? • Vad gäller för information som lagras på privata enheter? © Transcendent Group Sverige AB 2013
Risk = sannolikhet * konsekvens © Transcendent Group Sverige AB 2013
Riskbedömning • Många små risker • Olika risk för olika grupper • Ta hänsyn till aggregerad risk • Påverkan på incident- hantering © Transcendent Group Sverige AB 2013
Två risker är fler än en risk © Transcendent Group Sverige AB 2013
Sammanfattning • Utgå från befintliga processer • Planera och definiera noga • Tänk helhet: organisation – människa – teknik • Var noga med detaljerna • Ha ett team med olika kompetenser • Ta hänsyn till aggregerad risk • Håll koll på utvecklingen © Transcendent Group Sverige AB 2013
www.transcendentgroup.com

Recommended

Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Transcendent Group
 
Frukostseminarium om compliance 2013-02-07
Frukostseminarium om compliance 2013-02-07Frukostseminarium om compliance 2013-02-07
Frukostseminarium om compliance 2013-02-07
Transcendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
 

Recommended

Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Transcendent Group
 
Frukostseminarium om compliance 2013-02-07
Frukostseminarium om compliance 2013-02-07Frukostseminarium om compliance 2013-02-07
Frukostseminarium om compliance 2013-02-07
Transcendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
 
Oegentligheter - GL44 2013-03-07
Oegentligheter - GL44 2013-03-07 Oegentligheter - GL44 2013-03-07
Oegentligheter - GL44 2013-03-07
Transcendent Group
 
Presentation om IT-risker GARP 2013-10-02
Presentation om IT-risker GARP 2013-10-02Presentation om IT-risker GARP 2013-10-02
Presentation om IT-risker GARP 2013-10-02
Transcendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
Transcendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
Transcendent Group
 
AVARN Security - Företagspresentation
AVARN Security - FöretagspresentationAVARN Security - Företagspresentation
AVARN Security - Företagspresentation
Noomi Greenfield
 
ITO-PRESS2015
ITO-PRESS2015ITO-PRESS2015
ITO-PRESS2015
Martin Cederberg
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
Idenet
 
Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
Transcendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Transcendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Transcendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
Transcendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Transcendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Transcendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Transcendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Transcendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
 

More Related Content

Similar to Frukostseminarium om revision av mobila enheter 2013-03-08

Oegentligheter - GL44 2013-03-07
Oegentligheter - GL44 2013-03-07 Oegentligheter - GL44 2013-03-07
Oegentligheter - GL44 2013-03-07
Transcendent Group
 
Presentation om IT-risker GARP 2013-10-02
Presentation om IT-risker GARP 2013-10-02Presentation om IT-risker GARP 2013-10-02
Presentation om IT-risker GARP 2013-10-02
Transcendent Group
 
AVARN Security - Företagspresentation
AVARN Security - FöretagspresentationAVARN Security - Företagspresentation
AVARN Security - Företagspresentation
Noomi Greenfield
 

Similar to Frukostseminarium om revision av mobila enheter 2013-03-08 (8)

Oegentligheter - GL44 2013-03-07
Oegentligheter - GL44 2013-03-07 Oegentligheter - GL44 2013-03-07
Oegentligheter - GL44 2013-03-07
 
Presentation om IT-risker GARP 2013-10-02
Presentation om IT-risker GARP 2013-10-02Presentation om IT-risker GARP 2013-10-02
Presentation om IT-risker GARP 2013-10-02
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
 
AVARN Security - Företagspresentation
AVARN Security - FöretagspresentationAVARN Security - Företagspresentation
AVARN Security - Företagspresentation
 
ITO-PRESS2015
ITO-PRESS2015ITO-PRESS2015
ITO-PRESS2015
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
 

More from Transcendent Group

More from Transcendent Group (20)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 

Frukostseminarium om revision av mobila enheter 2013-03-08

  • 2. Agenda • Tillvägagångssätt • Planering • Granskningsprogram • Kontrollmål • Bedömning av risker © Transcendent Group Sverige AB 2013
  • 3. Tillvägagångssätt planera genomför rapportera © Transcendent Group Sverige AB 2013
  • 4. Bakgrundsinformation • Policy och riktlinjer • Verksamhetens riskanalys • Organisation och människor • Användningsområde för mobila enheter • Tekniska förutsättningar • Hotbild, trender och utveckling • God praxis för säkerhet i mobila enheter © Transcendent Group Sverige AB 2013
  • 5. Definiera granskningen • Omfattning och inriktning • Avgränsningar • Metod för granskningen • Kontrollmål • Granskningsprogram • Intervjupersoner © Transcendent Group Sverige AB 2013
  • 6. Kontrollmål - styrning • Riktlinjer för informationssäkerhet inkluderar hantering av mobila enheter. • Risker avseende användning av mobila enheter har utvärderats och dokumenterats. • Specifika riktlinjer för användning av mobila enheter finns fastställda och kommunicerade. • Rutin för hantering av stulna eller borttappade mobila enheter finns fastställd. • Känslig information får inte hanteras på mobila © Transcendent Group Sverige AB 2013 enheter.
  • 7. Kontrollmål – säkerhet i praktiken • Endast godkända mobila enheter kan användas. • Process för uppdatering av operativsystem för mobila enheter finns fastställd • Rutiner och verktyg för att upptäcka och hantera säkerhetsavvikelser finns och fungerar • Kryptering samt skärmlås med autentisering är tvingande för samtliga mobila enheter. © Transcendent Group Sverige AB 2013
  • 8. Styrande dokument • Fastställda • Relevanta • Verklighetsanpassade • Heltäckande – anskaffning – användning – underhåll – kassering/stöld © Transcendent Group Sverige AB 2013
  • 9. ”Vi har ingen känslig information på våra mobila enheter” © Transcendent Group Sverige AB 2013
  • 10. Skyddsmekanismer • Identifiering och autentisering • Infrastruktur och kommunikation • Skydd av data • Skydd mot skadlig kod • Loggning och övervakning © Transcendent Group Sverige AB 2013
  • 11. ”Kryptering samt skärmlås med autentisering är tvingande för samtliga mobila enheter” © Transcendent Group Sverige AB 2013
  • 12. Granskning av policy AllowNonProvisionableDevices : True DeviceEncryptionEnabled : True RequireStorageCardEncryption : False DevicePasswordEnabled : True AllowStorageCard : True © Transcendent Group Sverige AB 2013
  • 13. Legala aspekter • Vilka lagar och regleringar gäller? • Finns avtal med användare? • Har vi laglig rätt (och modet) att radera enheter? • Vad gäller för information som lagras på privata enheter? © Transcendent Group Sverige AB 2013
  • 14. Risk = sannolikhet * konsekvens © Transcendent Group Sverige AB 2013
  • 15. Riskbedömning • Många små risker • Olika risk för olika grupper • Ta hänsyn till aggregerad risk • Påverkan på incident- hantering © Transcendent Group Sverige AB 2013
  • 16. Två risker är fler än en risk © Transcendent Group Sverige AB 2013
  • 17. Sammanfattning • Utgå från befintliga processer • Planera och definiera noga • Tänk helhet: organisation – människa – teknik • Var noga med detaljerna • Ha ett team med olika kompetenser • Ta hänsyn till aggregerad risk • Håll koll på utvecklingen © Transcendent Group Sverige AB 2013