It-sikkerhed - It-politik og Risikostyring
Trusselsanalyse.png


Organisationer har i regelen en risikoanalyse og beredskabsplan samlet i en såkaldt it-politik, der beskriver hvordan organistationens medarbejder skal agere, når de bruger it-redskaber.

Risikostyring i en organisation eller virksomhed er typisk styret af en model, ofte baseret på ISO27k. Den introduceres i følgende video af Risk Factory, der udbyder kurser i it-sikkerhed (1:44, engelsk): https://www.youtube.com/watch?v=hPwmeYPE6VI

Fire faser i risikostyring

Kort fortalt kan en risikostyring deles op i 4 faser, der løbende gentages:

  1. Forudsig sikkerhedsbrud (Risikoidentifikation): gennem brainstorm og viden om hvilke trusler, der findes opstilles en række mulige scenarier.
  2. Forebyg sikkerhedsbrud (Risikoanalyse): truslerne vurderes i forhold til omfang, mulige konsekvenser og sandsynligheden for at de indtræffer. Samtidigt laves en plan for hvad der skal ske hvis man bliver udsat for truslen.
  3. Opdag sikkerhedsbrud: organisationen eller virksomheden skal have en række værktøjer, der gør at de opdager, hvis sikkerheden bliver brudt.
  4. Håndter sikkerhedsbrud: her træder en plan for at imødegå en trussel ind herunder at stoppe et sikkerhedsbrug, genoprette systemer og iværksætte et arbejde, så det ikke gentager sig.

Aktuelt trusselsbillede

Ifølge MentorIT skal vi i 2018 være opmærksom på følgende trusselsbillede:

  • Flere eksempler på udnyttelse af software, der ikke er opdateret (ransomeware)
  • Flere fysiske sikkerhedsbrud i de virksomheder, hvor det simpelthen er ”for let” at komme ind
  • Øget tendens til fejlfinding i hardware, som kan bruges kriminelt
  • Udnyttelse af uskolede medarbejdere, der ikke er klædt på til de IT-kriminelles approach til dem

Læs artiklen og:
# Vurder om det trusselsbillede stadigt passer? Undersøg evt. hvad andre kilder mener?
# Hvad kan du/organisationer/virksomheder gøre for at undgå disse trusler?

Opgave: Udarbejd sikkerhedsplan og vurder it-politik for organisation

Med basis i en case-organisation, f.eks. jeres skole, en forening eller en virksomhed, skal I gennemgå en risikoanalyse:

1) Identifikation af trusler

Lav en liste med mulige trusler for den organisation I arbejder med. - Tag eventuelt udgangpunkt i eksemplerne i skemaet nedenfor:

Div_itsikkerhed.png

2) Analyse af trusler

Lav et skema, som det i eksemplet nedenfor og placer truslerne i risikomatrixen efter konsekvens og sandsynlighed.

Heatmap.png

3) Plan for risikostyring

På baggrund af risikoanalysen udarbejdes beredskabsplan for hvordan vi opdager og stopper truslerne, der berøre alle 4 faser for risikostyring:

  1. Forudsigelse af sikkerhedsbrud:
  2. Forebyggelse af sikkerhedsbrud:
  3. Monitorering af sikkerhedsbrud:
  4. Håndtering af sikkerhedsbrud:

4) Vurdér organisationens it-politik

Find frem til den it-politik der er i jeres case-organisation/skole.

Vurder om it-politikken håndterer de trusler i har fundet frem til i jeres analyse:

  • er der trusler der ikke håndteres?
  • er der områder, der berøres for overfladisk?
  • tager politikken også fat på, hvad der skal gøres ved sikkerhedsbrud

Vurder til sidst om reglerne fornuftige/gennemførlige eller gør folk bare noget andet?

Ekstra

  • Kom evt. med et bud på en justering af teksten i it-politikken.
  • Lav ordbog med forklaring af forkellige trusler (evt. gruppevist)
Medmindre andet er angivet, er indholdet af denne side licenseret under Creative Commons Attribution-NonCommercial 3.0 License