Bergen næringsråd 14122011-per-thorsheim

Sikring av sensitiv informasjon

Per Thorsheim CISA, CISM, CISSP-ISSAP Sikkerhetsrådgiver Twitter: @thorsheim Linkedin.com/in/thorsheim

Vestenfjeldske SikkerhedsCompagnie - Vi er 10 stk i Bergen som møtes jevnlig til ”Mat & Prat” - Ulik bakgrunn, kompetanse og stillinger - Målsetning: gi fornuftige råd om sikkerhet - Alt vi sier, skriver og gjør er på egen regning & ansvar

Oddbjørn Thomas Per Erlend Lars

Erik Per-Arne Terje Alexander Jan Fredrik Thomas

Kilde: Lieberman Software (USA), Desember 2011, basert på 300 intervjuede it-ansatte

26% vet om IT-kolleger som snoker

Lønn, strategidokumenter og planer

42% Sier at IT-staben deler passord

og systemtilganger internt

Tidligere ansatte har fortsatt tilgang

48% Sier at virksomheten ikke

har krav om jevnlig bytte

av passord på systemkontoer

Forenkler uautorisert tilgang over tid

«Gamle dager»

Policy

Standarder

Retningslinjer

Codes of

Conduct «Kardemommelov»

Policy

Standarder

Retningslinjer

Sikkerhet & Kvalitet

Statoil – Codes of Conduct

http://www.statoil.com/en/About/EthicsValues/Downloads/Ethics%20code%20of%20conduct.pdf

IT og informasjon

Datatilsynet (om BYOD):

Innsynsrett gjelder heller ikke i utstyr som arbeidstaker selv eier.

Dette betyr at arbeidsgiver ikke har innsynsrett i dokumenter som er lagret i arbeidstakers private utstyr, selv om dette fra tid til annen

benyttes til arbeidsrelatert aktiviteter.

www.datatilsynet.no/upload/epostforskriften_merknader.pdf

CoD «Kardemommelov»

Policy

Standarder

Retningslinjer

Kvalitet & Sikkerhet

«oss»

Administrasjonen utarbeider CoD (Juridisk avd.)

Styret godkjenner Codes of Conduct

?

Bildet er hentet fra Statoils styresider på www.statoil.com

Styret består av:

Ansattes

representanter • Fagforeninger

Styremedlemmer

• Konsernstruktur • Ledere i ulike

styreverv internt

Eksterne styremedlemmer

• «Styregrossister» • Representanter

fra eier(e)

Bildet er hentet fra Statoils styresider på www.statoil.com

Styremedlemmer – en risiko?

Og 33 minnepinner hadde virus i tillegg…

Fakta om PIN kode på iPhone & iPad

+

1. Max en time for å ”knekke” 4-sifret PIN 2. Ingen mulighet for å spore eller slette enheten

Informasjonsflyt…

Ansattes

representanter • Fagforeninger

Styremedlemmer

• Konsernstruktur • Ledere i ulike

styreverv internt

Eksterne styremedlemmer

• «Styregrossister» • Representanter

fra eier(e)

Kvartalsrapport Konsern stab; Juridisk Økonomi Informasjon

…@hotmail.com? Budfirma? Telefax? Post?

Børsmelding til markedet

Oversettelse av tekst

Innhold / design / trykk

Intern lagring & tilgang?

Bildet er hentet fra Statoils styresider på www.statoil.com

IT og informasjon

Tiltak

Tiltak #1: Passordbeskyttelse

Ytterligere tiltak

• Rutine for innsyn i ansattes e-post & filer

• Makuleringsmaskin (krysskutter)

• Sluttrundeskjema for styremedlemmer, inkl:

– Innlevering / destruksjon av papir

– Sletting av telefon, iPad & PC

• Skriftlige krav til sikkerhet hos:

– Tjenesteleverandør

– Samarbeidspartnere

• 24x7 ”Vakttelefon” for primærinnsidere, inkl. styremedlemmer og eksterne

Per Thorsheim CISA, CISM, CISSP-ISSAP Sikkerhetsrådgiver

Tlf 90 999 259 per.thorsheim@edb.com

Twitter: @thorsheim

Linkedin.com/in/thorsheim

securitynirvana.blogspot.com

Spørsmål?