5. Riskhanteringsprocess Riskbedömning Riskanalys BP 1 Bedömning accepterad BP 2 Åtgärd accepterad Ja Ja Nej Nej Hotframtagning Risk bedömning Utvärdering av risker Granskning och övervakning av risker Riskåtgärder Acceptera risk Etablera styrning Kommunicera riskerna
6. Riskåtgärdsprocess Nej Ja Riskbedömning Resultat Alternativa åtgärder Minska Isolera Undvika Överför Kvarstående Risk Acceptera Risk
7. Riskhantering Flytta – Genom åtgärder Undvikande – Avstå Risköverföring – Försäkring Riskfinansiering – Avtala bort
25. Vad är informationssäkerhet? Svarta pengar Informationssäkerhet betyder att: Informationen skall vara säker, tillgänglig, spårbar och riktig så att företaget, dess medarbetare, kunder, ägare samt leverantörer och andra intressenter skall kunna vara säkra Om informationen är äkta , tillförlitlig och inte kan ifrågasättas så kan alla intressenter känna sig säkra
26. Budskap No. 29 October 2008 Releasing your potential - protecting your credentials!
Notes de l'éditeur
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public Affär eller verksamhet = prestation inom landsting och kommun. WM-data jobbar med säkerhet utifrån verksamhetens krav. Vår spetskompetens hjälper dig att balansera säkerhet och verksamhet. Tekniken allt mer avancerad WM-datas djupa tekniska kompetens och tekniska miljöer garanterar säkerhet i din produkt och verksamhet. Detta gäller såväl driftsäkerhet, som skydd av eller tillgång till känslig information. Hur har du löst säkerhetsfrågorna? Det är alltid människors agerande som avgör. Först när ni har fått in säkerhetstänkandet som en naturlig del av medarbetarnas dagliga rutiner har ni verklig informationssäkerhet. WM-data finns för ert stöd – vi kan!
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public Risk beror på: Tillgångens värde Hotet mot tillgången Sannolikheten för att ett hot ska infalla Sårbarhetens storlek Kvalitativ eller kvantitativ riskanalys kan användas. Riskhantering är att: undvika risken acceptera risken förflytta risken, t. ex. till ett försäkringsbolag minska hot, sårbarhet och påverkan av brott ==> Reducering av risk uppnå en hanterbar nettorisk Åtgärder att sätta in faller inom områdena: Procedurer, människor, fysiska eller produkter (teknik) eller Förebyggande, korrigerande och upptäckande Hjälpmedel för riskanalys finns ett flertal. Skydda enbart viktiga saker mot realistiska hot.
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public IT förändrar gamla sätt att arbeta genom nya rutiner och möjligheter till kommunikation. All informationshantering, antingen den sker via papper, via dator eller är talad, ställer krav på säkerhetsrutiner. Information kan skyddas på ett flertal sätt och behovet av skydd för informationen varierar. Varje företag bör definiera sin egen säkerhetsnivå via en riskanalys där affärsverksamhetens behov av öppenhet, tillgänglighet och flexibilitet vägs mot de hot och risker som existerar i omgivningen. All investering i att säkra information måste vägas mot de konsekvenser det blir om tillgången förloras eller förstörs. De åtgärder som tas bör stå i proportion till värdet på informationen (=tillgången) de är tänkta att skydda. Kostnaden för att implementera åtgärder bör vägas mot kostnaden för varje incident/ förstörelse och risken att detta sker. Skydda endast det som behöver skyddas mot realistiska hot! Använd sunt förnuft! Försök att maximera effekten vid användning av säkerhetsbudgeten. Titta på en mix av fysisk, logisk och organisatorisk säkerhet + tekniska mätningar av säkerheten. Exempel på säkerhetslösningar: Säkerhetsorganisation Utbildning och övning Incidentrapportering Viruskontroll Avbrottsplan Begränsningar i rätten att kopiera program Efterlevnad av rättsliga krav, interna regler samt kontraktuella krav Efterlevnad av säkerhetspolicyn
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public 15.000 sjukhusjournaler hittade på soptipp 30.000 lösenord till Internetkonton frisläppta på Internet 25 personer på utvecklingsavdelning hoppade av till konkurrent Banker betalar miljonbelopp till utpressande crackers 300.000 kontokortsnummer stulna varav en del publicerades på WEBen Misstänkt spion anställd på ABB Brand i tunnel i Kista Intentia och Reuters – vad säger lagen? Information är en viktig tillgång som, precis som alla andra affärstillgångar, har ett värde för en organisation och följaktligen behöver skyddas på ett bra sätt. Syftet med informationssäkerhet är att skydda information från olika hot så att affärsverksamheten kan fortgå och minimering av skador sker om någonting händer. Information kan finnas i många former. Den kan vara skriven på papper, lagrad elektroniskt, skickad med vanligt brev eller elektroniskt, visas på film eller spridas vid ett vanligt samtal. Nyhetsartiklar visa fler brott mot informationssäkerheten idag än någonsin tidigare. 1999-09-21 publicerade den brittiska tidningen ”The Register” att flera banker har betalat ut stora belopp till utpressande crackers under det senaste året. Noris Verbraucherbank, Tyskland, utfäste en belöning på 45.000 kr till den person som kunde lämna information om en cracker som försökte pressa banken på över 4 miljoner kronor. Polisen i London har bekräftat åtminstone två fall där finansföretag har betalat sammanlagt mer än 13 miljoner kronor till utpressare.
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public
HAS 4.0 2008, Intro LIS 2008-01-30 Security: Public
Identify needs for offering development and/or packaging; describe the offering/product/service in brief, the skills/capabilities required, reason for selecting the service/product and an estimate of investment required. Storage Healthcheck Recurrent analyse and maintenance of Storage at customer site. Startup with presentation and education with workshop of current environment. Detailed plan with frequent visiting at customer site. This is carried through by senior analyst with good technical skills. The product is not yet prepared and is on design phase and the result is sales material with guideline/templates to the senior analyst. Estimated development time is 120 hours. Backup analyse and maintenance An proactive service with the objective to secure an reliable data backup for the customer. There is several options which are – Verify restore, Analyse the backup and backup overview. The knowledge of common backup technics and several different solution is needed and overall knowledge in WM-data Storage Concepts. To prepare and make this package cost 120 hours. Storage Strategy Within an IT strategy the storage strategy is key. The offer is to develop this strategy together with the customer. Elements in the strategy is – Datapolicy, Backup- and Restore strategy, Archive, Disaster/Recovery, Performance-, Availablity-, Scalability- and capacityplanning. The competence needed is senior strategy analyst with very good experience and skills. The fundamental guideline and sales material is estimated to 120 hours. Design Strategy Customer needs qualified personell to design a cost-efficient storage solution. The design is made from a conceptual, logical and physical perspective. The development of the design strategy explanation and route is estimated to 80 hours. Storage Implementation We implement the storage environment based on storage design strategy. The offer is based on loyalty to our customer and therefore needs competence of a varity of vendor solutions. Development of the package is estimated to 120 hours.
HAS 4.0 2008, Intro LIS 2008-01-30 22. September 2008 | HAS 4.0 2008, LIS IT förändrar gamla sätt att arbeta genom nya rutiner och möjligheter till kommunikation. All informationshantering, antingen den sker via papper, via dator eller är talad, ställer krav på säkerhetsrutiner. Information kan skyddas på ett flertal sätt och behovet av skydd för informationen varierar. Varje företag bör definiera sin egen säkerhetsnivå via en riskanalys där affärsverksamhetens behov av öppenhet, tillgänglighet och flexibilitet vägs mot de hot och risker som existerar i omgivningen. All investering i att säkra information måste vägas mot de konsekvenser det blir om tillgången förloras eller förstörs. De åtgärder som tas bör stå i proportion till värdet på informationen (=tillgången) de är tänkta att skydda. Kostnaden för att implementera åtgärder bör vägas mot kostnaden för varje incident/ förstörelse och risken att detta sker. Skydda endast det som behöver skyddas mot realistiska hot! Använd sunt förnuft! Försök att maximera effekten vid användning av säkerhetsbudgeten. Titta på en mix av fysisk, logisk och organisatorisk säkerhet + tekniska mätningar av säkerheten. Exempel på säkerhetslösningar: Säkerhetsorganisation Utbildning och övning Incidentrapportering Viruskontroll Avbrottsplan Begränsningar i rätten att kopiera program Efterlevnad av rättsliga krav, interna regler samt kontraktuella krav Efterlevnad av säkerhetspolicyn
HAS 4.0 2008, Intro LIS 2008-01-30 22. September 2008 | HAS 4.0 2008, LIS Riskanalysen, ur verksamhetens perspektiv, är central för hela ledningssystemet för informationssäkerhet. Den påverkar såväl den övergripande policyn som Uttalande om tillämplighet och Kontinuitetsplan. Dessutom är den basen för att välja områden där styrmedel och -mål måste sättas in - från standarden eller från annat håll. Det måste finnas en process som säkerställer att riskanalysen görs om ifall nya hot uppstår i omgivningen som påverkar verksamheten.