Til ledelsen it-sikkerhed for forretningen
•Download as PPTX, PDF•
0 likes•1,637 views
En ultra-kort præsentation som giver korte og ikke-tekniske svar på disse spørgsmål: * Hvorfor virksomheder skal risikovurdere deres afhængighed af it? * Hvordan investerer man optimalt i it-sikkerhed? * Hvorfor egentlig have et Information Security Management System? * Hvorfor skal man arbejde med beredskab og nødprocedurer?
Recommended
More Related Content
More from Lars Neupart
More from Lars Neupart (8)
Til ledelsen it-sikkerhed for forretningen
- 1. It-sikkerhed for forretningen Derfor skal virksomheder styre deres informationssikkerhed Lars Neupart, Direktør & Stifter Neupart A/S LN@neupart.com, @neupart © Neupart A/S
- 2. Hvorfor risikovurdere it? Usikkerhed kan ødelægge en virksomhed: Forventede tab kan vi gardere os imod og budgettere med. Uforudsete tab kan være fatale for os. Større it-afhængighed = større usikkerhed. Vi er nødt til at synliggøre den usikkerhed, it-afhængigheden påfører virksomheden. Med it-risikovurderinger kan vi differentiere vores it-sikkerhed og tilpasse den til virksomhedens krav. © Neupart A/S
- 3. Optimér it-sikkerhedsinvesteringen Forebyggende Udbedrende Her begynder det at tiltag tiltag Flere virksomheders knibe for nogle. Der dårlige samvittighed. Vi er ofte ikke tid og Sikkerheds- ved, at vi bør gøre noget ressourcer til det. Beredskabs- ved det, men hvordan politik strategi kommer vi i gang? Logning Compliance It-beredskabsplan Administrative Awareness checks tiltag Ændrings- System- Disaster Recovery Optimeret it-sikkerhed styring dokumentation procedurer kræver et balanceret fokus på alle fire Firewall Antivirus Standby- Standby- udstyr driftscenter sikkerhedskvadranter Fysiske / tekniske Alarm- RAID Virtualisering Backup tiltag system Redundans Mest fokus er ofte rettet Adgangskontrol- Server-snapshots Der er ikke helt så mod dette område. system stærkt fokus Og de fleste har godt Brandslukning her, men alle er enige Server- om, at fx backup er styr på det. cluster vigtigt. © Neupart A/S
- 4. Hvorfor etablere et ISMS? ISMS = Information Security Management System = Ledelsessystem. ISO 27001 Justerer løbende sikkerheden til forretningsmæssige behov Fleksibelt: ISO 27001 er IKKE en “one-size-fits-all-standard” ISO 2700x er ved at blive den foretrukne standard © Neupart A/S
- 5. Hvorfor it-beredskab? 1. Beredskabet skal sikre forretningen mod tab. (Risikovurderinger identificerer potentielle tab) 2. Beredskab bruges til at styre risici forårsaget af sjældent forekommende hændelser, der kan have store konsekvenser. 3. Investeringer i beredskab skal stå i et fornuftigt forhold til de risici, som virksomheden er udsat for. © Neupart A/S
- 6. Nødprocedurer Beskriver hvad medarbejdere skal lave mens it er nede. En del af beredskab © Neupart A/S
- 7. Om Neupart Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC- løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. ISO27001-certificeret Første it-sikkerhedsleverandør i DK. Certificeret siden 2003 (BS7799 / ISO 27001) © Neupart A/S
Editor's Notes
- Denne præsentation giver nogle ikke-tekniske svar på :Hvorfor virksomheder skal risikovurdere deres afhængighed af itHvordan man investerer optimalt i it-sikkerhedHvorfor have et Information Security Management SystemHvorfor skal man arbejde med beredskab og nødprocedeurer
- Mange virksomheder har udmærket styr på fysiske & tekniske tiltag. Men uden en passende mængde administrative tiltag, giver de tekniske / fysiske kun ringe værdi. Eksempel 1: Et adgangskontrolsystem hvor der man ikke helt ved hvem der har adgangskortene kun ringe værdi-Eksempel 2: En firewall der ikke administreres giver kun en meget ringe beskyttelse- Hem bestemmer firewall regler – er det en tekniske eller en ledelses beslutning om vi må bruge Facebook, Skype, Bring YourOwn Device. Hvordan undgår vi nøglepersonafhængighed et eksempler på administrative tiltag.Bemærk at ”optimeret” it-sikkerhed ikke betyder højest mulige absolut it-sikkerhed – det betyder det niveau, der passer bedst til den konkrete virksomhed.
- I Europa er ISO 2700x serien langt den mest udbredte. Når man bruger samme standard som de fleste, øger man genkendelses-graden, hvilket opfattes bedre end et selv-opfundet koncept og system. Det giver mere troværdighed.To virksomheder er ikke ens; Vigtigheden af sikkerhed derfor også forskellig, og derfor skal når det er muligt man bruge sikkerhedstandarder der giver fleksibilitet fremfor firkantede check-liste standarder. Alt sammen argument for ISMS jævnfør ISO 27001.Sikkerhedspolitik er en del af ISMS – den overordnede sikkerhedspolitik er ledelsens erklæring til organisationen om ambitionsniveauet for informationssikkerhed.
- Nogle kalder beredskabsplan for ”plan for fortsat drift”. It-beredskab er blevet vigtigere i takt med at virksomheders it-afhængighed er vokset.
- Nogle / alle it-medarbejdere skal måske hjælpe med at få it og/eller systemer på plads igen.Nogle medarbejdere kan måske passe deres arbejde I en vis udstrækning uden it – de arbejder efter en nødprocedureVirksomheden vil måske vælge at sende nogle medarbejdere hjem med it bliver genetableret.
- IT GRC betyder IT Governance, Risk og Compliance Management, og begrebet dækker over flere forskellige discipliner. For eksempel sikkerhedspolitik, strategi og beredskab. IT GRC handler også om at vurdere leverandører - både på jorden og i skyen, sårbarheder og konsekvenser. Og om at efterleve branchekrav, lovkrav som persondatalov og standarder som ISO 27001, Cobit,PCI DSS.