It-sikkerhed - It-politik og Risikostyring

Organisationer har en risikoanalyse og beredskabsplan samlet i en såkaldt it-politik, der beskriver hvordan organistationens medarbejder skal agere, når de bruger it-redskaber.

Aktuelt trusselsbillede

Ifølge MentorIT skal vi i 2018 være opmærksom på følgende trusselsbillede:

  • Flere eksempler på udnyttelse af software, der ikke er opdateret (ransomeware)
  • Flere fysiske sikkerhedsbrud i de virksomheder, hvor det simpelthen er ”for let” at komme ind
  • Øget tendens til fejlfinding i hardware, som kan bruges kriminelt
  • Udnyttelse af uskolede medarbejdere, der ikke er klædt på til de IT-kriminelles approach til dem

Læs artiklen og:
# Vurder om det trusselsbillede stadigt passer? Undersøg, hvad andre kilder mener?
# Hvad kan du/organisationer/virksomheder gøre for at undgå disse trusler?

Risikoanalyse med risikomatrix

Fire faser i risikostyring

Trusselsanalyse.png


Risikostyring i en organisation eller virksomhed er typisk styret af en model, ofte baseret på ISO27k. Den introduceres i følgende video af Risk Factory, der udbyder kurser i it-sikkerhed (1:44, engelsk): https://www.youtube.com/watch?v=hPwmeYPE6VI

Kort fortalt kan en risikostyring deles op i 4 faser, der løbende gentages:

  1. Forudsig sikkerhedsbrud (Risikoidentifikation): gennem brainstorm og viden om hvilke trusler, der findes opstilles en række mulige scenarier.
  2. Forebyg sikkerhedsbrud (Risikoanalyse): truslerne vurderes i forhold til omfang, mulige konsekvenser og sandsynligheden for at de indtræffer. Samtidigt laves en plan for hvad der skal ske hvis man bliver udsat for truslen.
  3. Opdag sikkerhedsbrud: organisationen eller virksomheden skal have en række værktøjer, der gør at de opdager, hvis sikkerheden bliver brudt.
  4. Håndter sikkerhedsbrud: her træder en plan for at imødegå en trussel ind herunder at stoppe et sikkerhedsbrug, genoprette systemer og iværksætte et arbejde, så det ikke gentager sig.

Opgave: Udarbejd sikkerhedsplan og vurder it-politikken for en organisation

Med basis i en case-organisation, f.eks. jeres skole, en forening eller en virksomhed, skal I gennemgå en risikoanalyse:

1) Identifikation af trusler

Lav en liste med mulige trusler for den organisation I arbejder med. - Tag eventuelt udgangpunkt i eksemplerne i skemaet nedenfor:

Div_itsikkerhed.png
Heatmap.png

2) Analyse af trusler

Lav et skema, som det i eksemplet til højre og placer truslerne i risikomatrixen efter konsekvens og sandsynlighed.

3) Plan for risikostyring

På baggrund af risikoanalysen udarbejdes beredskabsplan for hvordan vi opdager og stopper truslerne, der berøre alle 4 faser for risikostyring:

  1. Forudsigelse af sikkerhedsbrud:
  2. Forebyggelse af sikkerhedsbrud:
  3. Monitorering af sikkerhedsbrud:
  4. Håndtering af sikkerhedsbrud:

4) Vurdér organisationens it-politik

Find frem til den it-politik der er i jeres case-organisation/skole.

Vurder om it-politikken håndterer de trusler i har fundet frem til i jeres analyse:

  • er der trusler der ikke håndteres?
  • er der områder, der berøres for overfladisk?
  • tager politikken også fat på, hvad der skal gøres ved sikkerhedsbrud

Vurder til sidst om reglerne fornuftige/gennemførlige eller gør folk bare noget andet?

Ekstra

  • Kom evt. med et bud på en justering af teksten i it-politikken.
  • Lav ordbog med forklaring af forkellige trusler (evt. gruppevist)
Medmindre andet er angivet, er indholdet af denne side licenseret under Creative Commons Attribution-NonCommercial 3.0 License