Organisationer har en risikoanalyse og beredskabsplan samlet i en såkaldt it-politik, der beskriver hvordan organistationens medarbejder skal agere, når de bruger it-redskaber.
Aktuelt trusselsbillede
Ifølge MentorIT skal vi i 2018 være opmærksom på følgende trusselsbillede:
- Flere eksempler på udnyttelse af software, der ikke er opdateret (ransomeware)
- Flere fysiske sikkerhedsbrud i de virksomheder, hvor det simpelthen er ”for let” at komme ind
- Øget tendens til fejlfinding i hardware, som kan bruges kriminelt
- Udnyttelse af uskolede medarbejdere, der ikke er klædt på til de IT-kriminelles approach til dem
Læs artiklen og:
# Vurder om det trusselsbillede stadigt passer? Undersøg, hvad andre kilder mener?
# Hvad kan du/organisationer/virksomheder gøre for at undgå disse trusler?
Risikoanalyse med risikomatrix
Fire faser i risikostyring
Risikostyring i en organisation eller virksomhed er typisk styret af en model, ofte baseret på ISO27k. Den introduceres i følgende video af Risk Factory, der udbyder kurser i it-sikkerhed (1:44, engelsk): https://www.youtube.com/watch?v=hPwmeYPE6VI
Kort fortalt kan en risikostyring deles op i 4 faser, der løbende gentages:
- Forudsig sikkerhedsbrud (Risikoidentifikation): gennem brainstorm og viden om hvilke trusler, der findes opstilles en række mulige scenarier.
- Forebyg sikkerhedsbrud (Risikoanalyse): truslerne vurderes i forhold til omfang, mulige konsekvenser og sandsynligheden for at de indtræffer. Samtidigt laves en plan for hvad der skal ske hvis man bliver udsat for truslen.
- Opdag sikkerhedsbrud: organisationen eller virksomheden skal have en række værktøjer, der gør at de opdager, hvis sikkerheden bliver brudt.
- Håndter sikkerhedsbrud: her træder en plan for at imødegå en trussel ind herunder at stoppe et sikkerhedsbrug, genoprette systemer og iværksætte et arbejde, så det ikke gentager sig.
Opgave: Udarbejd sikkerhedsplan og vurder it-politikken for en organisation
Med basis i en case-organisation, f.eks. jeres skole, en forening eller en virksomhed, skal I gennemgå en risikoanalyse:
1) Identifikation af trusler
Lav en liste med mulige trusler for den organisation I arbejder med. - Tag eventuelt udgangpunkt i eksemplerne i skemaet nedenfor:
2) Analyse af trusler
Lav et skema, som det i eksemplet til højre og placer truslerne i risikomatrixen efter konsekvens og sandsynlighed.
3) Plan for risikostyring
På baggrund af risikoanalysen udarbejdes beredskabsplan for hvordan vi opdager og stopper truslerne, der berøre alle 4 faser for risikostyring:
- Forudsigelse af sikkerhedsbrud:
- Forebyggelse af sikkerhedsbrud:
- Monitorering af sikkerhedsbrud:
- Håndtering af sikkerhedsbrud:
4) Vurdér organisationens it-politik
Find frem til den it-politik der er i jeres case-organisation/skole.
Vurder om it-politikken håndterer de trusler i har fundet frem til i jeres analyse:
- er der trusler der ikke håndteres?
- er der områder, der berøres for overfladisk?
- tager politikken også fat på, hvad der skal gøres ved sikkerhedsbrud
Vurder til sidst om reglerne fornuftige/gennemførlige eller gør folk bare noget andet?
Ekstra
- Kom evt. med et bud på en justering af teksten i it-politikken.
- Lav ordbog med forklaring af forkellige trusler (evt. gruppevist)