Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed

Offentliggjort afFrederikke Fischer Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "IT Arkitektur og Sikkerhed"— Præsentationens transcript:

1 IT Arkitektur og Sikkerhed
Security awareness, love, politikker og BCP/DRP

2 Sikkerhedsledelse generelt
En sikkerhedsleder er ansvarlig for: Den overordnede styring af sikkerheden i virksomheden med det formål at sikre at ingen ukendte og uaccepterede risici tages, samt sikre at sikkerhedstiltag i videst muligt omfang er I overenstemmelse med virksomhedens strategi, etik, forretningsmodeller og lignende.

3 Sikkerhedsledelse generelt
Continuously valuate the operating business procedures ability to comply with the security policy Report to senior management Obligation to report directly to the Chief Executive Officers or the Board of Directors concerning any high risk situation with respect to security. Manage the development and implementation of a DRP Liaison and manage relations with external auditors Perform controls that ensure that requirements and advice from FSA, auditor or external security tests are adequately addressed Approve and manage relationship with external security vendors and security service providers. Provide or procure advice to the board, senior management and operational staff when requested. Develop, document and maintain an information security management system, including security strategy and policies. Manage the implementation of security policy Do daily check on operational security and report warnings on significant risks identified. Perform controls as per requested by board or senior management. Function as a focal point for all security related communication internally or externally and maintain an overview of the security effort as a whole in the bank.

4 Sikkerhedsledelse generelt
Hvad er god sikkerhedsledelse? Alle metoder SKAL arbejde med følgende grundprincipper: Det skal være komplet Det skal være synligt Det skal være forståeligt Det SKAL følges

5 Sikkerhedsledelse generelt
Forankring i organisationen IT Business Unit

6 Sikkerhedsledelse generelt
Forankring i organisationen Følgende fordele og ulemper bør overvejes Funktionsadskillelse Adgang til information, IT resourcer, IT projekter, administration af sikkerhed Forretningsforståelse Budget

7 Sikkerhedsledelse generelt
Forankring i organisationen Ét eksempel: Rapporter til CFO Dotted til CEO og bestyrelsen Budget kontrolleret af CFO IT resourcer tildelt via en prioritiserings proces, styret af CFO, FO Director samt IT ledelsen.

8 Sikkerhedsledelse generelt
Sikkerhedsmedarbejdere Troværdige Eksperter/administratorer Ikke-kriminel baggrund Erfaring Certificeringer

9 Risiko styring Risiko styring
Formålet er at allokere resourcer til de mest relevante områder Kan være forankret I sikkerhedsfunktionen, kan også være forankret I Risk Management funktionen, eller være en hybrid – typisk involverende en komité

10 Risiko styring Risiko styring Sandsynlighed
Omkostning ved indtræffelse Mitigeret risk Mitigeringseffektivitet Residuel risk Accepteret risk Overført risk Undgået risk

11 Risiko styring Formularen for paranoia Hvor ovenstående mødes: Aktiv
Trusselsagent Hvor ovenstående mødes: Er tilgængeligheden truet? Er integriteten truet? Er fortroligheden truet?

12 ISO 17799, BS 7799 Hoved standarden for Security Management
BS 7799 består af 2 dele Best practices Baseline Man kan blive cerficeret imod BS 7799

13 ISO 17799, BS 7799 Anvendelse af standarderne Framework til politikker
Due diligence Checklister

14 ISO 17799, BS 7799 Eksempel på anvendelse:
Opbygning af overordnet sikkerhedspolitik

15 Juridiske overvejelser
Love, regulering af industri, IP, patenter, varemærker. Dette er i sikkerhedsfunktionens yderområde så følgende bør overvejes: Inkluder egen juridisk ekspertise Inkluder ekstern rådgivning Ansæt intern sikkerhedsekspertise

16 Juridiske overvejelser
Typiske situationer sikkerhed er i berøring med jurisdiske aspekter: Fortrolighed – person- eller kundefølsomme oplysninger. Revision FSA/FDA eller lignende Security Incidents 

17 Forensics Undersøgelsen af en ’event’
Personen der udfører undersøgelsen Disciplinære processer Retssager Chain of Custody Objektiv rapportering

18 Security awareness Formålet med security awareness er at:
Sikre at medarbejdere kender reglerne Få medarbejdere til at forstå hvorfor der er regler Kommunikere konsekvenser ved regel overtrædelse Kommunikere det lovpligtige – Vi læser mails, optager telefonsamtaler, etc.

19 Security awareness Balancering Risiko styrings principper
Regler og politikker Vidensdeling mht. hvad kan der rent faktisk indtræffe af ubehageligheder

20 Security awareness Metode Afhænger af virksomhedens størrelse og art
Automatisk med software til at styre udsendelsen af indhold og prøver Face-to-Face sessioner Firmablad, Brochurer, etc. Plenum sessioner – den årlige skovtur eller strategy day.

21 Security awareness Målgrupperne Management IT Alle nye medarbejdere
Alle eksisterende medarbejdere Specielle målgrupper (virksomhedsafhængigt)

22 Security awareness Én måde at gøre det på
Face-to-Face session med alle nye medarbejdere Kvartals artikel i firmabladet Indlæg på den årlige strategy day s og opslag

23 Security awareness Eksempel

24 Fysisk sikkerhed Perimeter, skalsikkerhed Kritisk områder Logs
Overvågning Alarmer Kube sikkerhed (kontorer) Højværdi områder

25 Fysisk sikkerhed Administration Nøgler Alarmer ID kort

26 Fysisk sikkerhed Miljø sikkerhed Brand Vand Fugt Lyn Kemisk forurening

27 Fysisk sikkerhed Forsyningssikkerhed Køl El (UPS – Generator – Elnet)
Vand Kommunikation

28 HA, BCP, DRP HA = High Availability BCP = Business Continuity Planning
Availability per system BCP = Business Continuity Planning Availability of systems, data, infrastructure DRP = Disaster Recovery Planning Blå blink scenarier

29 HA, BCP, DRP HA HA er et grundelement i BCP Clusters
Redundante systemer Fail proof computer systemer Kommunikations systemer HA er et grundelement i BCP

30 HA, BCP, DRP BCP Evnen til at kunne fortsætte forretningen upåvirket af driftsmæssige forstyrelser Indbefatter blandt andet: Redundant forsyning (data, telefon, strøm etc) Redundante system enheder f. eks harddiske der kan skiftes mens i drift Er altså tiltag der implementeres som en del af den daglige drift, og ansvaret kan ligge hos sikkerhed, det kan ligge hos IT drift, eller hos begge.

31 HA, BCP, DRP DRP Evnen til at kunne fortsætte forretningen i katastrofe tilfælde, for eksempel: 9/11 Brand Adgang forhindret Demonstranter Politi Hvidt pulver Andre Bygning beskadiget

32 HA, BCP, DRP DRP typer Cold site Warm Site Hot site Mobile site

33 HA, BCP, DRP DRP overvejelser Hvilke systemer skal inkluderes Logistik
Medarbejdere Arkiver Aktivering Reversibelt? Hvem beslutter? Hvem afblæser?

34 HA, BCP, DRP generelt Risiko styret BIA Sandsynlighed Væsentlighed
Omkostning

35 HA, BCP, DRP Eksempel

36 Generelle sikkerhedspolitikker
Sikkerhedsstrategi til det strategiske niveau Sikkerhedspolitik til det taktiske niveau Specifikke politikker, baselines, procedures, etc til det operationelle niveau

37 Generelle sikkerhedspolitikker
Sikkerhedsstrategien Skal indeholde væsentlige principper omkring sikkerhedsstyringen: Funktionsadskillelse Lov og regulering Ansvar Konsekvens Rapportering Etc

38 Generelle sikkerhedspolitikker
Sikkerhedspolitikken Formålet er at tilvejebringe et centralt styringsværktøj for sikkerhedsindsatsen i organisationen Inkluderer både tekniske kontroller, audit kontroller, procedurale kontroller, risikostyring samt træning og lignende. Kan/bør være ganske omfattende og SKAL være komplet

39 Generelle sikkerhedspolitikker
Eksempler

40 Q&A David Boye dbo@saxobank.com
CISSP, CISA, Examined BS7799 lead auditor.

Download ppt "IT Arkitektur og Sikkerhed"

Lignende præsentationer

IT Projekt Portefølje Management: styringsmæssige og koordineringsmæssige problemer i en offentlig organisation.

IT Projekt Portefølje Management: styringsmæssige og koordineringsmæssige problemer i en offentlig organisation.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.

Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
IM-Strategi.

IM-Strategi.
Arbejdsmiljøcertificering

Arbejdsmiljøcertificering
Velfærdens Årsdag September 2013

Velfærdens Årsdag September 2013
Vækstvirksomheders udfordringer

Vækstvirksomheders udfordringer
Kursusmodul II Udvidet kursus - Eksportkontrolprocedurer Signe Flege Erhvervsstyrelsen Erhvervs- og Vækstministeriet.

Kursusmodul II Udvidet kursus - Eksportkontrolprocedurer Signe Flege Erhvervsstyrelsen Erhvervs- og Vækstministeriet.
Virksomheders Risk Management i juridisk kontekst

Virksomheders Risk Management i juridisk kontekst
Formål Definere og fastlægge projektets ansvarsmæssige struktur (HVEM?) Roller og ansvar Inddragelse af Interessenter Business Case Fremdrift Organisation.

Formål Definere og fastlægge projektets ansvarsmæssige struktur (HVEM?) Roller og ansvar Inddragelse af Interessenter Business Case Fremdrift Organisation.
Interessenter og interessentanalyse

Interessenter og interessentanalyse
Kommunikation i projekter

Kommunikation i projekter
Kvalitetsstyring som ledelsesværktøj.

Kvalitetsstyring som ledelsesværktøj.
IS-Strategi.

IS-Strategi.
Services Services som fundament for virksomhedens infrastruktur

Services Services som fundament for virksomhedens infrastruktur
IT-Strategi.

IT-Strategi.
Lone Stubberup; Director, EHS Development

Lone Stubberup; Director, EHS Development
Input FMEA Output Shit in = Shit out FMEA

Input FMEA Output Shit in = Shit out FMEA
Virksomheder - definition

Virksomheder - definition
1 IT Service Management - JP/POLITIKENS HUS A/S IT Service Management – JP/Politikens Hus Per Palmkvist Knudsen Frank Stjerne

1 IT Service Management - JP/POLITIKENS HUS A/S IT Service Management – JP/Politikens Hus Per Palmkvist Knudsen Frank Stjerne
IT Service Management – JP/Politikens Hus

IT Service Management – JP/Politikens Hus

Lignende præsentationer

Annoncer fra Google