Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Riskhantering

2,815 views

Published on

Published in: Business, Economy & Finance
  • Be the first to comment

Riskhantering

  1. 1. Nils Thulin Riskhantering – Hur då?
  2. 2. Bakgrund <ul><ul><li>Säkerhetsrelaterade tjänster är ej ”synliga” i dagens erbjudande ut mot marknaden </li></ul></ul><ul><ul><li>Ökad efterfrågan och krav på paketerade tjänster inom området </li></ul></ul><ul><ul><li>Stort antal utv. aktiviteter identifierade som ”skär igenom” nuvarande tjänsteområden </li></ul></ul><ul><ul><li>Historiskt lågt fokus, bristande prioritering och drivkraft… </li></ul></ul><ul><ul><li>Securityerbjudande inte integrerat.. </li></ul></ul><ul><ul><li>Kan vi göra mer i Norra Norrland??? </li></ul></ul>
  3. 3. Skapar säkerhet bättre affärer? <ul><li>Informationssäkerhet och Riskhantering handlar om att säkerställa en verksamheten i kontinuitet. </li></ul><ul><li>Mer avancerad teknik kräver högre säkerhet </li></ul><ul><li>Lösta säkerhetsfrågor skapar förtroende </li></ul><ul><li>Säkerhetstänkandet bör vara en naturlig del i all verksamhet </li></ul>
  4. 4. Risktyper
  5. 5. Riskhanteringsprocess Riskbedömning Riskanalys BP 1 Bedömning accepterad BP 2 Åtgärd accepterad Ja Ja Nej Nej Hotframtagning Risk bedömning Utvärdering av risker Granskning och övervakning av risker Riskåtgärder Acceptera risk Etablera styrning Kommunicera riskerna
  6. 6. Riskåtgärdsprocess Nej Ja Riskbedömning Resultat Alternativa åtgärder Minska Isolera Undvika Överför Kvarstående Risk Acceptera Risk
  7. 7. Riskhantering Flytta – Genom åtgärder Undvikande – Avstå Risköverföring – Försäkring Riskfinansiering – Avtala bort
  8. 8. Accepterbar risknivå – vad är det? <ul><li>Vad kan ledningen acceptera? </li></ul><ul><li>Hur stora risker är de beredda att ta? </li></ul><ul><li>Var ligger ansvaret för riskexponeringen? </li></ul>
  9. 9. Varför informationssäkerhet? <ul><li>Hantering av sekretessbelagd information </li></ul><ul><li>Nyckelpersoner på företaget </li></ul><ul><li>Publiceringsrutiner </li></ul><ul><li>Hantering av media </li></ul><ul><li>Kontinuitetsplanering </li></ul><ul><li>Lagar och förordningar </li></ul>Information är nyckeln till organisationers framgång och tillväxt.
  10. 10. Hinder för informationssäkerhet <ul><li>Det som ledning och styrelse upplever vara h ö ga kostnader f ö r att implementera informationss ä kerhet </li></ul><ul><li>Brist p å support fr å n ledning och styrelse </li></ul><ul><li>Brist p å utbildning av medarbetare och slutanv ä ndare </li></ul><ul><li>Brist p å utbildad och kompetent informationss ä kerhetspersonal </li></ul><ul><li>Avsaknad av intern informationss ä kerhetspolicy </li></ul><ul><li>Brist p å centraliserad informationss ä kerhetsfunktion </li></ul><ul><li>Oklar ansvarsf ö rdelning f ö r informationss ä kerheten </li></ul><ul><li>Teknisk komplexitet </li></ul>
  11. 11. Säkerhetsnivå
  12. 12. Informationssäkerhet - mer än IT-säkerhet 75 % 25 %
  13. 13. Koordinering med system
  14. 14. Riskhantering <ul><li>För att man skall få en effektiv riskhantering krävs bl a: </li></ul><ul><ul><li>Att ledningen i företaget anser att riskhantering är viktigt </li></ul></ul><ul><ul><li>Att det finns resurser och kompetens </li></ul></ul><ul><ul><li>Att man har goda rutiner och metoder som följs (ledningssystem) </li></ul></ul><ul><ul><li>Att man genomför riskanalys på kritiska processer </li></ul></ul>
  15. 15. Riskhantering - Kvalitetsprocess Planera Riskbedömning Genomföra Åtgärdsplan Kontrollera Riskövervakning Agera Ständiga förbättringar
  16. 16. Design – Build - Operate
  17. 17. Generell modell för säkerhetsarbete <ul><li>Hotbild beskriver vilka hot och affärsrisker som finns. </li></ul><ul><li>Sårbarhetsanalys ger en bild av vilka brister som finns. </li></ul><ul><li>När vi vet bristerna och hoten kan vi uppskatta risken för att skada inträffar. </li></ul><ul><li>Affärsberoenden beskriver vilka verksamheter som drabbas vid olika skador. </li></ul><ul><li>När vi känner till affärsberoenden kan vi beskriva affärskonsekvenserna av olika skador. </li></ul><ul><li>När vi känner till risker och affärskonsekvenser kan vi bedöma vilka åtgärder som är rimliga och upprätta en säkerhetsplan. </li></ul>Hotbild Sårbarhets- analys Affärs- konsekvenser Riskanalys Affärs- beroenden Säkerhetsplan
  18. 18. Vad blir resultatet? Plan för kontinuerligt säkerhetsarbete Hotbild Affärs- beroenden Affärs- konsekvenser Sårbarhets- analys Åtgärds- planer Åtgärds- planer Åtgärds- planer Risk- bedömning
  19. 19. Drivers <ul><ul><li>Vi lever i ett informationssamhälle. </li></ul></ul><ul><ul><li>Att ligga steget före, att veta lite mer, ger ett försprång. </li></ul></ul><ul><ul><li>Det gäller överallt; i skolan, i affärslivet och i politiken. </li></ul></ul><ul><ul><li>Information är nyckeln till framgång. </li></ul></ul>
  20. 20. Ett av många budskap <ul><ul><li>Logica – vi skyddar information. </li></ul></ul>
  21. 21. <ul><li>Hur säkert är säkert? </li></ul>Högst osäkert Helt säkert
  22. 22. Defence in Depth <ul><li>Data </li></ul><ul><ul><ul><ul><li>File Encryption, Disk Encryption, Mail Encryption & Signing, RBAC, DLP </li></ul></ul></ul></ul><ul><li>Application </li></ul><ul><ul><ul><ul><li>Application Hardening, Patch Management, antivirus </li></ul></ul></ul></ul><ul><ul><ul><li>Host/Device </li></ul></ul></ul><ul><ul><ul><ul><li>OS Hardening, host FW, Patch Management, smart card, SRP, </li></ul></ul></ul></ul><ul><li>Internal Network </li></ul><ul><ul><ul><ul><li>IPSec, NAP/NAC, segmentation, 802.1x </li></ul></ul></ul></ul><ul><li>Perimeter </li></ul><ul><ul><ul><li>ISA + other FW, Portwise + other Access solutions, VPN quarantine </li></ul></ul></ul><ul><li>Physical Security </li></ul><ul><ul><ul><li>Passage systems (Guards, locks) </li></ul></ul></ul><ul><li>Policies/procedures </li></ul><ul><ul><li>IT Policy, Education, IT Analyses, Incident Management, Continuity plans </li></ul></ul>
  23. 23. Säkerhetsnivå Risker Kostnader Hot, Sannnolikhet & Skada = Risker Affärsbehov Behov av skydd
  24. 24. Riskanalysen – central
  25. 25. Vad är informationssäkerhet? Svarta pengar Informationssäkerhet betyder att:   Informationen skall vara säker, tillgänglig, spårbar och riktig så att företaget, dess medarbetare, kunder, ägare samt leverantörer och andra intressenter skall kunna vara säkra   Om informationen är äkta , tillförlitlig och inte kan ifrågasättas så kan alla intressenter känna sig säkra
  26. 26. Budskap No. 29 October 2008 Releasing your potential - protecting your credentials!

×