IT Arkitektur og Sikkerhed

Slides:



Advertisements
Lignende præsentationer
Fokusgruppe Hvad er en fokusgruppe?
Advertisements

Kombinatorik, sandsynlighed og statistik
N ETVÆRKSARBEJDE I FORBINDELSE MED EVALUERINGEN AF AT DELMÅL. I DENTIFIKATION AF DET GODE AT FORLØB.
Case: Tekst på Call-To-Action link
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
Ressourceoptimering og vurdering af kemi i produkter – To værktøjer Maria Strandesen FORCE Technology ReThink Business/Region Midtjylland 29. nov 2012.
Ekspertevaluering Lucas Wxyz og René Rosendal. SnitkerGroup.
Firewalls & netsikkerhed Henrik Størner,
Lektion 4 – Fordybelses- og fornyelsesfasen
WLAN (Trådløs Ethernet)
Information Systems work and Analysis of Change
Cost/benefit Værktøjets formål Fremgangsmåde og brug Husk at…
Hvordan gjorde vi i it- gruppen? - Præsentation af skema og resultater.
2 Kvalitative og kvantitative metoder
Forandringsprocessens risici og den indre sammenhæng i processen
PNG PNG betyder, Portable Network Graphics, og PNG er godt til at behandle billeder, og bliver bedre og bedre jo flere data der kommer ind på billedet,
Knowledge Management E-BUSS Session 5 & 6, - 7. Marts 2006 v. Morten Thanning Vendelø
WorldIQ A/S - Technology Briefing
Forskellige typer af interview
Søgning - et værktøj til videndeling Inspirationsseminar 31. oktober 2006.
Biostatistics mm5 SPSS crash course II. But why? Hvorfor læser vi videnskabelig litteratur? Hvordan læser vi?
Samfundsvidenskab Hvad er samfundsvidenskab?
Værdisætning af grønne områder
Backup/Storage Søren Helmer Jensen.
Learning Objectives 5 Steps of a Significance Test Assumptions
Den Regionale LEAN Enhed
IT Arkitektur og Sikkerhed
Animation på teksten Danish Red Cross 1 ss. Animation på teksten Latrines HVEM OG PÅ HVILKEN BAGGRUND TRÆFFER BESLUTNING OM VALG AF MODEL2
Videregående pc-vejledning 60+Bornholm Velkommen til.
Elever med særlige behov Lidt om allerede installerede hjælpe programmer i windows vista.
Tests Prototype Åbent spørgeskema Test i usability laboratorium
Udregning af UseCasePoints UCP = UUCP*TCF*EF UseCasePoint = Ujusteret Use Case Point * Tekniske Komplexitets Faktor * Miljø Mæssige Faktor.
Hvordan kommer jeg videre? Chefkonsulent Anders W. Madsen Microsoft Danmark.
Forbedringsprojekt om målinger - SCKK 2004 Måleovervejelser Overvejelser inden I beslutter jer for en måletype Præsentation af hovedmåletyper Oplæg til.
8.7 Security: Grant and revoke1 Sikkerhed 8.7 Security and User Authorization in SQL.
Apopleksi/Slagtilfælde – en katastrofe som kan undgås
VELKOMMEN TIL KURSET ”FORRETNING OG LEDELSE” Forretning og Ledelse – Lektion1.
Kom/IT præsentation Dette vil jeg komme ind på i løbet af fremlæggelsen: Opgavetype(kampagne) inkl. Begrundelse for valg Målgruppeanalyse Kommunukations.
Projektledelse IT-projektledelse (ITP) Projektledelse og Produktion af Digitalt Indhold (DPI) Projektledelse IT-projektledelse (ITP) Projektledelse og.
Kombinatorik, sandsynlighed og statistik
IT Arkitektur og Sikkerhed Mobil sikkerhed, trådløse teknologier og VPN.
Mobil Usability , ITU. Spørgsmål jeg gerne vil høre: ”Det gik lidt hurtigt, kan du ikke gentage?” ”Kan du ikke snakke lidt langsommere?” ”Skruer.
Sikker og integreret infrastruktur Peter Colsted Direktør Enterprise & Partner Group Microsoft Danmark.
Næste uges opgave Forbered interview med opdragsgiver Spørg til målgruppe, primær sekundær Primære mål og funktioner Alle typer data de kan stille til.
Økonometri – lektion 8 Multipel Lineær Regression
© (2001) Jesper Kjeldskov, Mikael Skov, Jan Stage 1.1 Usability Engineering Outlook eller Pine: Brugbart?
Hvilke dominerende sociale elementer findes der i World of Warcraft, der gør det så populært og vanedannende eller ligefrem afhængigheds- skabende og.
Kombinatorik, sandsynlighed og statistik
Forretning og Ledelse – Lektion 9
IT Arkitektur og Sikkerhed Virus, Malware og hvad er trusselsbilledet?
Projektledelse IT-projektledelse (ITP) Projektledelse og Produktion af Digitalt Indhold (DPI) Projektledelse IT-projektledelse (ITP) Projektledelse og.
Design af brugerflader13.1 Kursusgang 13 Oversigt: Sidste kursusgang Beskrivelser af komponenter Typiske komponenter Arkitektur for en GUI.
Brugerundersøgelse Brugssituationen Dataindsamlingsmetoder Spørgeskema
Sammen skaber vi i morgen Venture City Horsens 10 slides du bør have med /spørgsmål du skal besvare (inspiration Guy Kawasaki) sammen skaber vi i morgen.
KAPITEL 6 Simulationsbaseret Value at Risk
Folkehelsekonferansen Oslo oktober 2015
SUF - gevinstrealisering
Abstraktioner.
Cloud Computing Model-View-Controller
Incidence, risk and resilience for suicide attempts among children and youth born in and living in Denmark in 2007 By MSc. Erik Christiansen.
Trivsel og mental sundhed
Metoden fælles beslutningstagning
Dag 2 – Incident og request fullfillment
Intern tidsmæssig omkostning
Konkurrencestyrelsens afgørelse af 30
Hvad er en risikovurdering?
Klar til smart vækst / GATE21
Forbedringsmodellen Test og læring Hvad ønsker vi at opnå? Mål
Software Construction
Præsentation af IT-sikkerhedsfunktionen
Præsentationens transcript:

IT Arkitektur og Sikkerhed Risiko vurdering og vurdering af IT sikkerheds løsninger

Indhold Risiko analyse Opgave Vurdering af sikkerhedsløsninger Gennemgang af ROI case Gruppe opgaver

Risiko analyse Risiko Analyse er midlet til: Begrunde IT sikkerhedskost Styre IT sikkerhed i en virksomhed Vise at man har ”styr” på tingene (compliance)

Risiko analyse typer Der er grundlæggende to typer risiko analyser: Kvalitativ Kvantitativ Kvalitativ er kendetegnet ved at den ikke bruger tal og kroner/øre og typisk behandler scenarier. Kvantitativ søger at bruge kroner/øre samt sandsynlighed til at finde ud af hvor tit ting sker, hvad det koster og hvad kontroller koster i ration til risikoen.

Kvalitativ risiko analyse Hvordan findes risk? Interview med eksperter - brug af “Delphi” teknikker Brainstorming Gruppe arbejde typisk

Identifying Qualitative Risks Expert Interviews Wideband Delphi Technique Brainstorming Nominal Group Technique Affinity Diagram Analogy Techniques Wideband Delphi – group of experts meet to discuss risks; the coordinator formulates the problem and distributes to experts in the filed. The coordinator creates a scale to rank opinions and send the scale to experts. The experts create their list separately and they only know their position. The coordinator combines results and than everyone meets to discuss results – the experts lave and univocally resubmit changes. Process is repeat several times. Nominal Group Technique (NGT) each member of a small group (6-12) writes down what he or she thinks are the major issues. First person reads off one item form their list and item is recorded on a pad. Next person does the same and this continues in order until all lists are exhausted. Each member privately ranks the results and they are tabulated into one final ranked list. Builds on brainstorming, NGT. Identify all risks and look for commonalty and break those into major sub categories that are controllable.

Kvalitativ risiko matrix

Eksempel MEDIUM HIGH HIGH RISK LOW RISK MEDIUM LOW 12 0%  100% 4   Hostage / Kidnap Strike / Walkout Hostile Takeover  Tornado Chemical Spill / Contamination  Class Action Lawsuit  Loss of IT / Virus   Media Investigation MEDIUM HIGH HIGH RISK Major Explosion   Employee Violence  Breach IT Security  Major Electrical Storm Civil Unrest  Ice Storm   Major Fire  Blizzard Terrorism Industrial Espionage 0%  Sabotage Comm. Disease Neighbor Issue  100% Flood  Suicide Telecomm Failure.  Management Issues LOW RISK MEDIUM LOW Protesters Injury / Death Accusation / Libel / Slander  Maj. Operator Error  Bomb Threat Equipment Malfunc. Power Failure  Organized Crime   Bribery / Extortion  Security Breach Child Care Incident Transportation Incident  Fog  Minor Explosion  4

Kvalitativ risiko analyse opsummering Fordele Simpel at forstå og lave Giver en generel og hurtig opsummering af hvilke områder der bør behandles Ulemper Er svær at lave konsistent Er meget subjektiv i både indhold og måling Giver ikke en cost/benefit analyse

Steps i en kvantitativ risiko analyse Mange svar… Her bruger vi Pfleeger: Identify Assets Determine vulnaribility (threat agent) Estimate likelihood of exploration (ARO) Compute Expected annual loss (ALE) Survey applicable controls and their cost Project annual savings of control

Risiko analyse step 1 og 2 Første to step var: Identify Assets Determine vulnaribility (threat agent) Gøres nemt i skema (tavle) Hvor en threat agent møder en asset har vi et ”noget” vi skal tage stilling til Det gøres i step 3

Step 3 - Estimate likelihood of exploration (ARO) ARO er vigtigt at forstå ARO står for ”Annual Rate of Occurrence” Hvor tit sker det (pr. år) Sandsynlighed for at en event vil ske Hvis en ting sker en gang hvert 10. år er ARO = 0,1 Hvis en event sker 20 gange om året er ARO = 20

Step 4 - Compute Expected annual loss (ALE) ALE står for ”Annual Loss Expectancy” ALE er et af de vigtigste tal i en risiko analyse ALE beregnes som SLE x ARO ARO kender vi men hvad med SLE?

Step 4 – SLE SLE Står for ”Single Loss Expectancy” SLE beregnes som ”Asset Value” x ”Exposure Factor (EF)” Asset Value kan vi godt relatere til men hvad med EF?

Step 4 - EF Exposure Factor = ”Percentage of asset loss caused by identified threat” Går fra 0 til 100% Eksempel: Asset = Web Site, Defaced web site = ??? Asset = Kildekode, Kildekoden stjålet = ???

Step 5 - Survey applicable controls and their cost Nu ved vi hvad det koster. Nu kan vi kigge på hvor meget vi bruger på at forebygge. Beregnes som ”årlig omkostning for kontrol” x ”effektivitet” Brandalarm eksempel: kr. 10.000 x 95% = kr. 9.500

Step 6 - Project annual savings of control = Step 4 – step 5 Altså: ALE + (årlig omkostning til kontrol x effektivitet)

Kvantitativ risiko analyse opsummering Fordele Bruger sandsynlighed Udtrykker i kroner/øre God til behandling af/med management Ulemper Unøjagtig Kan give falske værdier og tryghed Ofte stort arbejde da mange data skal opsamles og behandles

Eksempel

Og så… Vurdering af sikkerhedsløsninger

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.