Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bergen næringsråd 14122011-per-thorsheim

638 views

Published on

Min presentasjon fra frokostseminaret til Bergen Næringsråd, i samarbeid med Den Norske Dataforening og EDB Ergogroup.

  • Be the first to comment

  • Be the first to like this

Bergen næringsråd 14122011-per-thorsheim

  1. 1. Sikring av sensitiv informasjonPer ThorsheimCISA, CISM, CISSP-ISSAPSikkerhetsrådgiverTwitter: @thorsheimLinkedin.com/in/thorsheim
  2. 2. Vestenfjeldske SikkerhedsCompagnie- Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat”- Ulik bakgrunn, kompetanse og stillinger- Målsetning: gi fornuftige råd om sikkerhet- Alt vi sier, skriver og gjør er på egen regning & ansvarOddbjørn Per Thomas Erlend Lars Per-Arne Terje Alexander Thomas Jan Fredrik Erik
  3. 3. 26%vet om IT-kolleger som snoker Lønn, strategidokumenter og planer 42% Sier at IT-staben deler passord Tidligere ansatte har fortsatt tilgang og systemtilganger internt 48% Sier at virksomheten ikke Forenkler uautorisert tilgang over tid har krav om jevnlig bytte av passord på systemkontoerKilde: Lieberman Software (USA), Desember 2011, basert på 300 intervjuede it-ansatte
  4. 4. «Gamle dager» Policy Standarder Retningslinjer
  5. 5. Codes of «Kardemommelov» Conduct Policy Standarder Sikkerhet & KvalitetRetningslinjer
  6. 6. Statoil – Codes of Conducthttp://www.statoil.com/en/About/EthicsValues/Downloads/Ethics%20code%20of%20conduct.pdf
  7. 7. IT og informasjon
  8. 8. Datatilsynet (om BYOD): Innsynsrett gjelder heller ikke i utstyr som arbeidstaker selv eier.Dette betyr at arbeidsgiver ikke har innsynsrett i dokumenter som er lagret i arbeidstakers private utstyr, selv om dette fra tid til annen benyttes til arbeidsrelatert aktiviteter. www.datatilsynet.no/upload/epostforskriften_merknader.pdf
  9. 9. Styret godkjenner Codes of Conduct Administrasjonen utarbeider CoD (Juridisk avd.) CoD «Kardemommelov» ? Policy «oss» Standarder Kvalitet & Sikkerhet RetningslinjerBildet er hentet fra Statoils styresider på www.statoil.com
  10. 10. Styret består av: Ansattes representanter • Fagforeninger • Konsernstruktur Styremedlemmer • Ledere i ulike styreverv internt • «Styregrossister» Eksterne styremedlemmer • Representanter fra eier(e)Bildet er hentet fra Statoils styresider på www.statoil.com
  11. 11. Styremedlemmer – en risiko?
  12. 12. Og 33 minnepinner hadde virus i tillegg…
  13. 13. Fakta om PIN kode på iPhone & iPad +1. Max en time for å ”knekke” 4-sifret PIN2. Ingen mulighet for å spore eller slette enheten
  14. 14. Informasjonsflyt… Ansattes • Fagforeninger Børsmelding til markedet representanter Oversettelse av tekst Innhold / design / trykk • Konsernstruktur Intern lagring & tilgang? Styremedlemmer • Ledere i ulike styreverv interntKvartalsrapport • «Styregrossister» Eksterne styremedlemmer • RepresentanterKonsern stab; fra eier(e)JuridiskØkonomi …@hotmail.com?Informasjon Budfirma? Telefax? Post?Bildet er hentet fra Statoils styresider på www.statoil.com
  15. 15. IT og informasjon
  16. 16. Tiltak
  17. 17. Tiltak #1: Passordbeskyttelse
  18. 18. Ytterligere tiltak• Rutine for innsyn i ansattes e-post & filer• Makuleringsmaskin (krysskutter)• Sluttrundeskjema for styremedlemmer, inkl: – Innlevering / destruksjon av papir – Sletting av telefon, iPad & PC• Skriftlige krav til sikkerhet hos: – Tjenesteleverandør – Samarbeidspartnere• 24x7 ”Vakttelefon” for primærinnsidere, inkl. styremedlemmer og eksterne
  19. 19. Spørsmål?Per ThorsheimCISA, CISM, CISSP-ISSAPSikkerhetsrådgiverTlf 90 999 259per.thorsheim@edb.comTwitter: @thorsheimLinkedin.com/in/thorsheimsecuritynirvana.blogspot.com

×