InformatIonssäkerhet en lednIngsfråga 3 steg tIll god

ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
Medföljer
Computer Sweden
december 2010
SAmhällssäkerhet & IT
Standardlogotype
Logotype utan övertoningar. Används när färgantalet är begräsnat
Pantone 308 EC Process
C 100% M 0 % Y 0% K 58%
Titangrå
C 23% M 11 %
Klarröd
C 0% M 100 % Y 100% K 0%
Mellanröd
C 0% M 100 % Y 100% K 25%
Mörkröd
C 25% M 100
Vilket behov ett företag har på informationssäkerhet varierar
utifrån verksamheten och styrs genom olika analyser och
riktlinjer av företagen själva. VD är ytterst ansvarig.
Sid 8
3 steg till god
informationssäkerhet
Balanserad informationssäkerhet hos företag och myndigheter är en
grundläggande del i ett säkert samhälle. Det handlar om att ta rätt
risker – och att hantera de andra.
Sid 7
Ledande
kryptering
Sverige har en lång tradition
inom kryptering och levererar
säkra kommunikationssystem
till Europa.
Säker
certifiering
FMVs IT-certifieringen kan
ge en fingervisning till
vad ett företag vill investera i.
Sid 11
Svart/vit logotype.
Pantone 307 EC Process
C 100% M 0 % Y 0% K 27%
Informationssäkerhet
en ledningsfråga
Sid 10
Logotype utan rastrerad skugga, a
när tekniken inte tillåter rasterade
2
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
Informationssäkerhet
berör dig. Och mig.
»» Sverige kommunicerar mer och mer. Informationsmängden som behandlas och lagras är större
än någonsin. Svårigheten kommer i att skapa trygghet i en allt mer digitaliserad och publik värld.
Informationssäkerhet är något som berör oss
alla – beslutsfattare inom offentlig förvaltning och
näringsliv, personer som arbetar med it-frågor och
den enskilda individen.
Brister i vår förmåga att hantera information kan
leda till minskad tillit för produkter och tjänster som
erbjuds i vårt samhälle. Digitaliseringen av information ställer större krav på en säkrare infrastruktur.
Enligt Myndigheten för samhällsskydd och beredskap, MSB, är det därför viktigt att alla har relevant
kunskap om hur Sverige arbetar med säkerhet av information. MSB har i samarbete med Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt
och Post- och telestyrelsen tagit fram en strategi för
samhällets informationssäkerhet.
Strategin, som gäller fram till 2015, är en handlingsplan som bland annat beskriver de arbetsområden, riktlinjer och målsättningar som gäller för
informationssäkerheten. Det övergripande målet är
att upprätthålla ett samhälle som värnar om demokrati, personlig integritet samt en ekonomisk och
politisk stabilitet. I denna målsättning ingår en rad
delmål, bland annat inom brottsbekämpning, krishantering och rättigheter för medborgare. Även att
höja kunskapsnivån hos allmänheten om informationshantering och it-system är en tydlig ambition.
Redan under andra världskriget var Sverige
framstående inom kryptering. Idag levererar det
svenska företaget Sectra säker telefoni till EU. Informationssäkerhet är en ledningsfråga och något
som företag bör arbeta med kontinuerligt med, särskilt när marknaden för molntjänster växer. En del
verksamheter kännetecknas som skyddsvärda och
omfattas av andra regler.
”Man kan se på säkerhet på samma sätt som man
ser bilar. Det är lika lätt att svara på frågan om en
Volvo är säker som att viktig it-information har lagrats säkert. Även om det är en ”säker” bil så kan föraren vara osäker. Samma sak gäller säkerhetssystem. Även om produkten motsvarar kraven, kan
den användas på fel sätt och göra ett system osäkert” som Dag Ströman på FMV så träffsäkert förklarar. Informationshantering är komplext och gränsöverskridande. Samverkan mellan olika instanser är
viktigt. Det handlar inte bara om att förbättra dialogen mellan myndighet, stat och näringsliv i Sverige.
Det krävs också internationellt samarbete, med
våra nordiska grannländer och inom EU.
Informationssäkerhet måste vara ett gemensamt ansvar och en naturlig del i alla verksamheter,
på alla samhällsnivåer. För det berör dig och mig.
”Redan under andra världskriget
var Sverige framstående inom
kryptering”
Johan Hedlund
redaktör
redaktion
Logotype utan rastrerad skugga, används i stora storlekar och
när tekniken inte tillåter rasterade objekt.
Standardlogotype
Producerad av
IDG Custom Publishing AB
Logotype utan övertoningar. Används när färgantalet är begräsnat
Skribenter ............................................... Johan Hedlund, Anna Bellman
Form ........................................................... Christian Sabe, Pernilla Roos
Omslagsbild ............................................................................. Istockphoto
Tryck ................................................................................. Pressgrannar AB
Distribution.................................... Computer Sweden, December 2010
För tematidningar med distribution via IDGs tidningar
kontakta Christer Dånsjö, Affärschef. 08 – 453 60 43.
Svart/vit logotype.
Pantone 307 EC Process
C 100% M 0 % Y 0% K 27%
Pantone 308 EC Process
C 100% M 0 % Y 0% K 58%
Titangrå
C 23% M 11 % Y 0% K 20%
Klarröd
C 0% M 100 % Y 100% K 0%
Mellanröd
C 0% M 100 % Y 100% K 25%
Mörkröd
C 25% M 100 % Y 100% K 39%
Säkerhetspolisen söker
IT-säkerhetsspecialister
I Säkerhetspolisens uppdrag att förebygga brott mot rikets säkerhet ingår även att utöva
tillsyn och ge råd i säkerhetsskyddsfrågor till organisationer som har ett ansvar för
samhällsviktig verksamhet.
För detta uppdrag söker vi nu IT-säkerhetsspecialister med placering vid den nyinrättade
informationssäkerhetsenheten i Stockholm. Arbetsuppgifterna för tjänsten består främst
av tekniska säkerhetsgranskningar och kvalificerad rådgivning.
Vi söker även IT-säkerhetsspecialister med fokus på analys av skadlig kod och IT-forensiker.
Mer information finns på www.sakerhetspolisen.se
4
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
Skyddet för rikets säkerhet
ANNONS
Hela denna tematidning är från IDG Custom publishing
export av produkter som kan användas för i civilt
och militärt syfte. Ett exempel på detta är vissa
krypteringsprogram.
ANNONS
5
Här är myndigheterna som samverkar
kring informationssäkerhet
ISP övervakar Sveriges export
demokrati, personlig integritet samt ekonomisk och politisk
stabilitet. det är något som vi alla värnar om. viss information
måste skyddas extra mycket.
»» I dag är it en naturlig del av vårt samhälle. Vi tar för
givet att den information som vi lämnar är i säkert förvar. Informationssäkerhet är en förutsättning för att
nya funktioner ska kunna fungera i samhället. Informationssäkerheten ska främja medborgaren, näringslivet, samhällets funktioner, brottsbekämpning, finnas
till hjälp vid kriser och ge förtroende för våra it-system.
För att it-system ska kunna användas tryggt och
säkert krävs en helhetssyn kring informationssäkerhet. Viss information måste skyddas extra mycket.
Så kallad skyddsvärd information innebär att den
måste skyddas för att det berör rikets säkerhet.
Skyddet för rikets säkerhet är inte bara en angelägenhet för staten utan också företagens verksamheter. Ett exempel på det är de krav som ställs på ett
företag i ett säkerhetsskyddsavtal.
belagd på grund av rikets säkerhet och ett företag som
ska utföra ett uppdrag åt myndigheten. Innan en myndighet påbörjar en upphandling ska myndigheten
pröva om upphandlingen helt eller delvis ska säkerhetsskyddas. Det som avgör om en upphandling ska
säkerhetsskyddas eller inte är om företaget kan få del
av hemliga uppgifter i förfrågningsunderlaget eller
under uppdragets utförande.
I säkerhetsskyddsavtalet regleras hur säkerhetsskyddet ska utformas, exempelvis hur informationen
om rikets säkerhet ska skyddas eller hur man ska se
till att obehöriga inte får tillträde till platser där verksamhet som har betydelse för rikets säkerhet drivs.
Det kan också finnas situationer när personer som
inte är pålitliga ur säkerhetssynpunkt arbetar med
verksamhet som har betydelse för rikets säkerhet.
Säpo kontrollerar
Säpo är tillsynsmyndighet på säkerhetsskyddsområdet och kontrollerar att myndigheterna följer de lagar och regler som finns. Säpo ska kontrollera att deras skydd är tillräckligt utifrån den verksamhet
myndigheten bedriver. Kontrollerna görs i form av
besök vid myndigheterna där Säpo kontrollerar hur
skyddet är utformat.
Ett annat regelverk som är av betydelse för företag och andra organisationers verksamhet reglerar
Avtal styr
Ett säkerhetsskyddsavtal reglerar förhållandet mellan en myndighet med information som är sekretess-
Inspektionen för strategiska produkter, ISP, är den
statliga myndighet som kontrollerar Sveriges export
av försvarsmateriel och produkter med dubbla användningsområden, det vill säga sådana produkter
som kan användas både i civil verksamhet och för
försvarsändamål. ISP är också nationell myndighet för FN:s konvention om förbud mot kemiska vapen samt hanterar riktade sanktioner gällande export
till vissa länder.
Vilka produkter omfattas?
ISP har listat de produktkategorier som i vissa fall, beroende på användningsområde och köpare eller användare av produkten, kan omfattas av ISP:s tillsyn.
• Kärnmaterial, anläggningar och utrustning
• Särskilda material och tillhörande utrustning
• Materialbearbetning
• Elektronik
• Datorer
• Telekommunikation och ”informationssäkerhet”
• Sensorer och lasrar
• Navigation och avionik
• Marint
• Rymd och framdrivning
Samverkansgruppen för informationssäkerhet (SAMFI) består av sex myndigheter med särskilda uppgifter inom
informationssäkerhetsområdet. SAMFI ska genom informationsutbyte och samverkan stödja de aktuella myndigheternas uppdrag inom området.
Försvarets materielverk (FMV):
anskaffar, vidmakthåller och avvecklar materiel och förnödenheter
på uppdrag av försvarsmakten och
andra myndigheter. FMV har genom CSEC uppgiften att utforma
ett system för evaluering och
certifiering av it-säkerhet i produkter och system i enlighet med
standarden ISO/IEC 15408, Common Criteria.
Försvarets Radioanstalt (FRA):
tillhandahåller tekniskt stöd med
inriktning på informationssäkerhet till
organisationer som hanterar information som bedöms känslig ur sårbarhetspunkt eller ur ett säkerhets- eller
försvarspolitiskt avseende.
Försvarsmakten (FM): har föreskrifts- och tillsynsansvar för
Ord- och förkortningslista
CCRA (Common Criteria Recognition Arrangement) – En internationell samarbetsorganisation
som erkänner ömsesidigt utfärdade certifikat.
Inom CCRA utvecklas såväl standarden Common
Criteria som metoder och regelverk för att stödja
CCRA avtalet.
CSEC – Sveriges Certifieringsorgan för it-säkerhet. Är placerat på FMV och ansvarar för uppbyggnad, drift och förvaltning av ett system för evaluering och certifiering av IT-säkerhet i produkter
och system i enlighet med standarden Common
Criteria (CC).
Digitala kontrollsystem (SCADA- Supervisory
Control And Data Aquisition) – Datorbaserade
system för styrning, reglering och övervakning av
fysiska processer som exempelvis elektricitet, gas,
spårbunden trafik och dricksvattenförsörjning.
Rakel – Gemensamt radiokommunikationssystem
för organisationer i samhället som arbetar med
allmän ordning, säkerhet eller hälsa.
Common Criteria (CC) – Standarden ISO/IEC
15408:2 005 Evaluation criteria for it security.
Common Criteria är en standard för kravställning,
deklaration och evaluering av säkerhet i IT-produkter och IT-system samt i deras användningsmiljöer.
BITS – basnivå för informationssäkerhet, utgiven
av KBM.
CERT – Computer Emergency Response Team.
Funktion för incidenthantering.
CIP – Critical Infrastructure Protection (skydd av
kritisk infrastruktur).
CIIP – Critical Information Infrastructure Protection (skydd av kritisk informationsinfrastruktur).
CPNI – Centre for the Protection of National
Infrastructure. Brittisk myndighet för säkerhet,
inklusive informationssäkerhet.
EPCIP – European Programme for Critical Infrastructure Protection.
FIDI – Forum för informationsdelning avseende
informationssäkerhet. En modell för samverkan
inom informationssäkerhet mellan privata och
offentliga aktörer.
FIDI-SC – Samverkansforum för aktörer beroende
av industriella kontrollsystem (SCADA).
FOI – Totalförsvarets forskningsinstitut.
GovNet – Governmental Network. En gemensam,
skyddad informations- och kommunikationsinfrastruktur för myndighet eller för offentlig sektor.
Industriella kontrollsystem – Datorbaserade
aktörer inom sitt ansvarsområde.
Vidare ska FM särskilt leda och
samordna signalskyddstjänsten
inklusive arbetet med säkra kryptografiska funktioner som ska skydda
skyddsvärd information.
Myndigheten för samhällsskydd
och beredskap (MSB): har i
uppgift att stödja och samordna
samhällets informationssäkerhet.
Myndigheten har föreskriftsrätt när
det gäller informationssäkerhetsarbetet hos statliga myndigheter.
Post- och telestyrelsen (PTS):
har ansvar för infrastruktur inom
kommunikationsområdet
Rikskriminalpolisen (RKP): bekämpar grov organiserad brottslighet, på nationell och internationell
nivå. Målet är att motverka de
kriminella organisationernas möjligheter att agera i Sverige. RKP utgör
också en svensk kontaktpunkt inom
ramen för G8 24/7-arrangemang,
Interpol och Europol när det gäller
it-relaterad brottslighet.
Säkerhetspolisen (SÄPO): ansvarar för tillsyn och rådgivning
inom informationssäkerhetsområdet för samhällsviktiga civila verksamheter. Tillsynen och rådgivningen avser skydd av rikets säkerhet
och skydd mot terrorsim.
Rikspolisstyrelsen (RPS): representeras genom Rikskriminalpolisen
(RKP) och Säkerhetspolisen
(SÄPO).
Visente söker rådgivare med inriktning på
Strategisk Informationssäkerhet
Uppdrag: Visentes krävande kunder finns inom alla sektorer och har
behov av följande tjänster: Policy och riktlinjer för informationssäkerhet,
utbildning (interaktiv och på plats), analyser (GAP, risk, IT-revision, etc.),
löpande informationssäkerhetsarbete, projektledning, certifiering, juridik
(sekretess, PuL, etc.), teknisk analys av nätverk, servrar och applikationer
(ej krav), processer och rutiner för informationssäkerhet.
system för styrning, reglering och övervakning av
fysiska processer som exempelvis elektricitet, gas,
spårbunden trafik och dricksvattenförsörjning.
Benämns även SCADA.
MUST – Militära underrättelse- och säkerhetstjänsten.
NCT – Nationellt centrum för terrorhotbedömning.
NTSG – Nationella telesamverkansgruppen.
SGSI – Swedish Government Security Intranet.
Svenskt nationellt nät som används för kommunikation mellan svenska myndigheter och med
EU-kommissionens nät TESTA.
SOF – Svensk Internet Operatörs Forum. SOF är
ett samarbetsorgan för de svenska huvudoperatörerna på Internet i Sverige.
VISENTE
söker rådgivare inom
Informationssäkerhet
www.visente.com
Kompetensprofil: Högskoleutbildning (systemvetare, civilekonom, civilingenjör eller motsvarande). Magisterexamen är meriterande. Minst ett
års erfarenhet av rådgivning inom IT-säkerhets- eller informationssäkerhetsområdet. Vilja att arbeta i ett litet snabbt växande företag med olika
uppgifter. Certifiering CISA, CISSP, CISM eller liknande är meriterande.
Goda språkliga och kommunikationskunskaper på svenska.
Lönemodell: Lön, pension och övriga ersättningar i direkt relation till
fakturering, kombinerat med en garantiersättning.
Om företaget: Visente Information Security AB är en ledande leverantör
av tjänster inom strategisk informationssäkerhet. Vi är experter på ISO/
IEC 27000-serien och har extremt krävande kunder och intressanta uppdrag. Verksamheten bedrivs från kontoret i Kista.
Ansökan: Känn efter - är det här ett jobb för dig? Om det känns rätt, vänta
inte utan skicka ett mail med ditt CV till jobs@visente.com. Personligt brev
krävs inte. Alla ansökningar hanteras strikt konfidentiellt. För mer information ring vd Fredrik Björck 08 5000 7373 (växel).
6
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
7
Tre steg till
god informationssäkerhet
Tre steg till god informationssäkerhet
»» Balanserad informationssäkerhet hos företag
och myndigheter är en grundläggande del i ett säkert samhälle. Med maximal säkerhet avstannar utBalanserad
informationssäkerhet
veckling
och ekonomisk
tillväxt är inte möjlig –hos
vareföretag och myndigheter är en grundläggande del i ett säkert
sig
i form av vinst
eller
för ekonomin
i
samhälle.
Medi företaget
maximal
säkerhet
avstannar
utveckling och ekonomisk tillväxt är inte möjlig – vare sig i
stort. Det är det som gör säkerhet svårt – det handform
av vinst
i företaget
eller för
i stort. Det är det som gör säkerhet svårt – det handlar om
lar
om attta
rätt risker
– och att hantera
de ekonomin
andra.
Om man lyckas med det bidrar säkerheten till oss,
att ta rätt risker – och att hantera de andra. Om man lyckas med det bidrar säkerheten till oss, till
till organisationer och till samhället. För att nå det
målet
krävs en insatsoch
i organisationer
som kan
organisationer
till samhället.
Förbe-att nå det målet krävs en insats i organisationer som kan beskrivas
skrivas i tre steg till god informationssäkerhet; anai tre steg
till införa.
god informationssäkerhet; analysera, utforma, införa.
lysera,
utforma,
Utbildning inom
informationssäkerhet
it används idag i stort sett
av alla invånare i sverige
och trenden ökar. att det
finns utbildning inom
informationssäkerhet är
därför viktigt.
»» För den enskilde individen är kunskapen nödvändig för att kunna skydda privat information och känna sig trygg med exempelvis transaktioner över nätet. För företagen är kompetens inom området
viktigt för att kunna hantera konfidentiell information och ha en god beredskap för situationer som kan
uppstå. Dessutom har en stor övning genomförts där
flera företag och myndigheter samverkade.
Chief Information Assurance Officer (CIAO)
Utbildningen genomförs av FHS med stöd från MSB,
PTS och FRA. Nu har kursen modifierats och anpassats till en svensk/europisk målgrupp. CIAO-kursen
har fokus på riskhanteringen mellan personal, processer och teknik i syfte att uppnå verksamhetens mål.
Informationssäkerhetsakademin
Swedish Standards Institute, SIS, startade Informationssäkerhetsakademin 2008. Kursen är uppbyggd
kring standardsviten 27000. Standarderna i
27000-serien används i fler och fler sammanhang, i
synnerhet inom rättsliga regelverk. Därför är det av
stor betydelse att det finns utbildningsmöjligheter
inom detta område.
Övning ger insikter
Att öva för att öka kompetensen är viktigt. Särskilt för
situationer där flera olika organisationer behöver sam-
arbeta kring en gemensam fråga. 2008 genomförde 3
000 deltagare från Regeringskansliet, centrala myndigheter, länsstyrelser, kommuner, organisationer och företag samt från allmänheten en samverkansövning.
Scenariot i övningen handlade om omfattande itattacker mot det finansiella systemet som påverkade
aktörer inom ekonomisk säkerhet, polis och andra
aktörer på nationell och regional nivå. Att samordna
insatserna i övningen skulle visa sig vara centralt.
Förtroende var en annan viktig fråga. Ett av målen i
övningen var att förmedla trovärdig, relevant och lättillgänglig information till media och allmänhet. Efter övningen kunde viktiga lärdomar dras.
En bra samverkan i en krissituation kräver en
tydlig roll- och ansvarsfördelning. Det är viktigt
med förståelse för hur beslut och åtgärder som tas
av inblandade personer i en kris påverkar övriga inblandade aktörer. Även rutiner som effektivt skapar
en gemensam lägesuppfattning är centralt.
Analysera
Analysera
Verksamhetsanalys inleder arbetet. För informationssäkerhet
innebär det att
verksamheten
identiVerksamhetsanalys
inleder
arbetet.
För informationssäkerhet innebär det att verksamheten identifierar
fierar och listar de kritiska informationstillgångaroch (information,
listar de kritiska
informationstillgångarna
(information, system). Säkerhetskraven, verksamhetens
na
system).
Säkerhetskraven,
verksamhetens
egna
och
sådana
som
följer
av
lagar
egna och sådana som följer av lagar och avtal, beskrivs övergripande i en så kallad
och avtal, beskrivs övergripandei en så kallad inforinformationssäkerheten inom olika områden. Man
27001 och 27002 ger något hundratal ”best practimationsklassning.
Nu vet vi Nu
alltså
är vad
utformar
de processer
ces”
inom
Man går igenom
informationsklassning.
vetvadvi som
alltså
som
ärinformationssäkerhet.
skyddsvärt (informationstillgångarna)
och
hur (incidenthantering, behörigdessa goda idéer och jämför med hur det ser ut idag
hetsadministration, etc.) för informationssäkerhet
skyddsvärt (informationstillgångarna) och hur säsäkerhetskraven
serviut.
vi vet
inte
risker
vi har.rimligt
Därför
en riskanalys.
och vad
som verkar
medkrävs
kunskapen
från de
somRiskanalysen
anges i styrande kan
dokument.
kerhetskraven
ser ut. Men
vetMen
inte vilka
risker
vi vilka
tidigare
analyserna.
har.
Därför
krävs
en
riskanalys.Riskanalysenkan
vara verksamhetsövergripande eller för en specifik informationstillgång. Med utgångspunkt i vad som
vara verksamhetsövergripande eller för en specifik
Införa
inträffat tidigare,Med
kunskap
och erfarenhet
om verksamheten och dess IT-stöd, skapas
och
bedöms
fiktiva
informationstillgång.
utgångspunkt
i vad som
Utforma
Nu är
det dags
att lämna
ritbordet och göra verkliginträffat tidigare, kunskap och erfarenhet om verkMed utgångspunkt i skyddsbehovet fastställs de
het av planerna. Policy och riktlinjer kommuniceras
scenarier
dataintrång).
Manfikbeskriver
konsekvenserna
skulle
om scenariet
inträffar,
samheten
och(brand,
dess IT-stöd,
skapas och bedöms
ut i verksamheten,
säkerhetslösningar anskaffas
mål ochvilka
säkerhetsåtgärder
som krävs
för en bli
balantiva
scenarier (brand,
Manibland
beskriver
ochen
införs,
medarbetarna
Grunden är åtgärdersannolikheten
fördataintrång).
detta, samt
vad serad
maninformationssäkerhet.
kan göra åt det. GAP-analysen
ger oss
genväg.
Vi tar vi utbildas (online, på
vilka konsekvenserna skulle bli om scenariet inträfplats). MSBs webbplats www.informationssäkerna i standarderna, vilka kompletteras vid behov.
med
oss kunskapen
från
två vad
analyserna
och
GAP-analys
förhållande
vedertagna
far,
sannolikheten
för detta,
samtde
ibland
man
Man
tar gör
fram en
policy
och styrande idokument
för in-till het.se
ger mer information och metodik.
formationssäkerhet. Genom policyn anger ledningkan göra åt det.GAP-analysenger oss en genväg. Vi
standarder inom informationssäkerhet. ISO/IEC
27001 och 27002 ger något hundratal ”best practices”
tar vi med oss kunskapen från de två analyserna och
en inriktningen för informationssäkerheten innegör
en informationssäkerhet.
GAP-analys i förhållande tillMan
vedertagna
fattande
dessgoda
mål, idéer
krav och
ansvar.
De med
andra hurFredrik
Björck
inom
går igenom
dessa
och
jämför
det ser
ut idag och
standarder inom informationssäkerhet. ISO/IEC
styrande dokumenten anger regler och rutiner för
Doktor i informationssäkerhet, Visente
vad som verkar rimligt med kunskapen från de tidigare analyserna.
Analysera
Utforma
Införa
Verksamhetsanalys
Fastställa
säkerhets-åtgärder
Planera
genomförande
Riskanalys
Utforma
Säkerhetsprocesser
Konstruera och
anskaffa
GAP-analys
Utforma policy och
styrande dokument
Införa
Figur: Tre steg till god informationssäkerhet
”Verksamhetsanalys
inleder arbetet. För
informationssäkerhet innebär det att
verksamheten identifierar och listar de
kritiska informationstillgångarna”
8
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
Informationssäkerhet
en ledningsfråga
vilket behov ett företag har på informationssäkerhet
varierar utifrån verksamheten och styrs genom olika analyser
och riktlinjer av företagen själva. vd är ytterst ansvarig.
»» Behovet av att lagra information elektroniskt
ökar hela tiden. Kraven på lagringskapacitet och
tillgänglighet ökar samtidigt som IT-miljön blir allt
mer komplex. Lagringslösningarna varierar i funktion, skalbarhet och tillgänglighet. Det kan ställa
stora krav på lagringslösningarna och samtidigt
också stora krav på säkerhet och backuper. För företaget är det också viktigt att information som företag har är lättillgängligt. Informationen måste kunna arkiveras och hittas, inte bara lagras inför
framtiden.
Många företag betraktar informationssäkerhet
som enbart en IT-fråga. Men att se till att företaget
har ett bra säkerhetsskydd för information är en
ledningsfråga. För att göra en heltäckande bedöm-
ning av hur företagen ska arbeta med informationssäkerhet räcker det inte med att enbart titta på vilken produkt företaget erbjuder eller hur företaget
arbetar internt med säkerhet.
Det kan exempelvis finnas anledning för ett företag att skydda sina leverantörer, kunder eller andra
intressenter. Att bedöma skyddsbehovet på ett korrekt sätt handlar också om att göra en ordentlig omvärldsanalys.
Kontinuerligt arbete viktigt
För att bedöma vilket skyddsbehov företaget har
krävs en intern och extern verksamhetsanalys som
inkluderar risk och sårbarhetsscenarier. Det är viktigt att arbeta med dessa frågor löpande eftersom
förutsättningarna inom företaget och i omvärlden
hela tiden
förändras.
Men att driva
en verksamhet helt utan
att ta risker
är svårt.
Alla företag måste alltså ha en plan för katastrofhantering.
Vad ska företaget göra om olyckan är framme? I och
med att it-miljön blir allt mer komplicerad krävs
det också ofta att fler personer arbetar med att ta
hand om it-miljön.
Samtidigt som systemen blir alltmer komplicerade så ökar hoten utifrån. Säkerhetslösningar
skyddar såväl datorer och mobiltelefoner, servrar,
lagringslösningar och andra nätverksprodukter
från skadliga program. Det blir flera lösningar som
används och då gäller det att företagen har en framtidssäker strategi.
Läs mer på www.informationssakerhet.se
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
9
Så säkert är molnet
allt fler företag väljer att använda tjänster i molnet. men
är de här tjänsterna tillräckligt säkra? svaret är att kunden
måste ställa tydliga krav.
»» Kundvårdssystem, affärssystem och projektplatser. Marknaden för molntjänster verkar bara
fortsätta att växa. Under 2014 räknar Gartner med
att företag köper molntjänster för 112 miljarder dollar, ungefär 878 miljarder kronor. Bara i Sverige väntas olika typer av molntjänster omsätta 3,9 miljarder
kronor i år, enligt it-analysföretaget Radar Group.
Förespråkarna talar om att det blir mer kostnadseffektivt, flexibelt och enkelt men hur är det
egentligen med säkerheten kring tjänsten? Även här
tvistar de lärde. Det är ungefär lika många som menar att tjänsterna inte alls är bra när det handlar om
information som kräver hög säkerhet. Andra menar
att det till och med kan vara säkrare att låta någon
annan ta hand om företagets information.
Många menar att tjänsterna kan skräddarsys och
att geografiskt spridda företag kan få en gemensam
lösning att jobba med då alla kommer åt lösningen
via nätet. Ett företags kunder kan lättare integreras
via samma system och det är lättare att interagera
dem i olika processer. Att fler företag placerar sina
tjänster i nätet sägs dessutom ha positiva effekter
för miljön och energiförbrukningen. På det här sättet slipper företaget investera i egna servrar eller
använda de gamla i källaren.
Molnet har dykt upp som ett alternativ till lokal
säkerhet. I stället för att ha egen säkerhetspersonal
och egen utrustning går det att lägga ut allt i molnet.
Molnleverantörerna har experter som de flesta företag inte skulle ha råd att anlita. De har också produkter som alla inte har råd att köpa. Men det innebär också att du måste lita fullständigt på de
människor som du köper tjänsten av.
Det bästa är att se till att leverantören är en lokal
svensk leverantör av lite större storlek. Då kan du
kontrollera säkerheten på plats. En annan fördel
om leverantören är svensk är att svensk lag gäller.
Om det är en internationell aktör och ett intrång
sker är det lagen i det andra landet som gäller.
När man gör en upphandling av en tjänst som
finns i molnet är det mycket viktigt att precisera vilken säkerhet man vill uppnå. Tänk på att leverantören kommer att göra allt för att försöka övertyga dig
om att säkerheten är på topp. Det kan finnas information som kan vara mycket intressant för itbrottslingar som bland annat personregister, kundregister och leverantörsregister.
Ord- och förkortningslista –del 2
Oavbrutet skydd för servrar och
stationära och bärbara datorer.
Proaktivt skydd mot skadlig kod för filer,
e-post, HTTP/FTP och chatprogram.
Personlig brandvägg med centraliserad
eller lokal hantering.
Automatiska P2P-uppdateringar.
Profilbaserade skyddsinställningar och
grupphantering.
On-demand och schemalagd skanning
där resultaten syns i realtid.
Detaljerade, sammanfattande rapporter,
även med nyckeltal.
Hej!
Panda Securitys molntjänster
vinner priser titt som
tätt nu för tiden!
Vad sägs om “Runner Up” i Wall
Street Journal Technological
Innovation Awards (september)
för Panda Cloud Antivirus och
“Bäst i Test” för Panda
Cloud Office Protection
i TechWorlds stora test om
SaaS-tjänster i höstas?
Fram till nyår har vi kampanj på vår
säkerhetslösning för e-post, då vi
löser ut dig från din nuvarande
leverantör och du
betalar 25% mindre än till denne.
Har du ingen sådan tjänst får
du 25% på våra listpriser.
Kontakta din återförsäljare
av Panda Security eller ring
oss på 08-505 532 00.
E-post ren från skadlig kod, spam och
phishing.
Perimeter för antivirus och anti-spamskydd.
Filter för innehåll och uppkoppling.
Aktivitetsrapporter för e-posttrafik.
Administrationen kan delegeras.
Webbmail med tio dagar e-postbackup.
Surfa säkert och kontrollerat.
Skydd mot skadlig kod, botnät, phishing och
avancerade hot i Web 2.0.
Kontroll över tillgången till webben och
användandet av bandbredd.
URL-filtrering och granulär kontroll av
applikationer för Web 2.0.
Lokal meddelartjänst för e-post.
Skydd mot förlust av data (DLP).
Konfigurering på företags-, domän- och användarnivå.
Globala rapporter i realtid.
cloudprotection.pandasecurity.com
Upptäck Panda Cloud Protection, optimal säkerhet för ditt företag
med minimal investering i tid, personal och infrastruktur.
Så arbetar
cybertjuven
Cross-site-scripting – Metod som utnyttjar användarens förtroende för
en webbapplikation. Syftet för en angripare är oftast att stjäla känslig
information som exempelvis lösenord eller att förstöra utseendet på en
webbsida. Även länkar till andra webbsidor kan placeras på sidan.
DDoS-attacker (tillgänglighetsattacker) – Aktiviteter som kan överbelasta eller blockera vissa IT-resurser och på det sättet förhindra behörig
åtkomst till resurser i ett IT-system eller fördröja tidskritiska operationer.
SQL-injektioner – Metod som utnyttjar säkerhetshål i hanteringen av
indata i vissa datorprogram som arbetar mot en databas. Problemet
uppstår då indata till en sql-sats inte behandlas på rätt sätt av programmeraren, varpå en attackerare kan använda speciella tecken och kommandon för att manipulera data eller skaffa sig information. Metoden
har fått sitt namn av databasfrågespråket SQL.
Trojan – Program som ofta innehåller illasinnad kod och följer med en
annan fil eller program. Den kan sedan skaffa sig kontroll och utföra det
den är programmerad att göra.
Social Engineering– Då en person använder sig av olika sociala knep för
att skapa förtroende i syfte att förmå någon att lämna ut känslig eller
hemlig information. Nätfiske är en form av social manipulering.
Man-in-the-middle-attack – Utomstående som genom att koppla in sig
på en förbindelse mellan två parter simulerar respektive parts identitet
mot den andre och på det sättet kan avlyssna eller förändra den överförda informationen.
10
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
ANNONS
Hela denna tematidning är från IDG Custom publishing
ANNONS
11
Säker certifiering från FMV
försvarsmakten och myndigheter har ofta mycket höga krav
på informationssäkerhet. för att få hög säkerhet certifierar
fmv it-produkter.
»» Wikileaks påminner oss om att dokument inte
alltid är lika säkra som vi trott tidigare. Känslig information kan komma på villovägar och hur kan då
ett företag vara säker på att bolagets information
inte kommer i fel händer?
Försvarets materielverk, FMV, har till uppgift att
anskaffa, vidmakthålla och avveckla materiel och
förnödenheter på uppdrag av försvarsmakten och
andra myndigheter. FMV har två olika roller inom
it-säkerhetsområdet. Den ena innebär att de kravställer och upphandlar it-tjänster för olika myndigheter. Försvarsmakten kan vara ett mycket intressant mål för aktörer som vill komma åt
säkerhetsluckor i försvaret. Därför ställer FMV
mycket höga krav när de upphandlar säkerhetsprodukter.
Sverige ledande i
världen på kryptering
redan under andra världskriget var sverige framstående inom
kryptering. idag lever traditionen vidare när det svenska
företaget sectra levererar säkra kommunikationssystem till
europa.
»» Sverige har en lång tradition inom kryptering.
Redan under andra världskriget 1940 knäckte professorn Arne Beurling tyskarnas kryptomaskin Gskrivaren på två veckor. Det gjorde att Sverige kunde avlyssna tyskarnas trafik som gick på
telegrafkablar genom Sverige. Det visade sig att den
upprustning som Tyskland gjorde vid bland annat
Östersjökusten var i syfte att anfalla Sovjetunionen
och inte Sverige.
Ungefär samtidigt konstruerade svensken Boris
Hagelin Kryptomaskinen M-209 vilket ledde till serietillverkning och en stor leverans till den amerikanska armén. Genom kryptomaskinen kunde de
skydda militär information. Produkten användes
ända fram till Koreakriget i början av 50-talet.
Mobilen kan enkelt avlyssnas
Det ökade samarbetet mellan myndigheter i europeiska länder ökar även kravet på trygg och säker informationshantering. Bland annat är säkerhet inom
talkommunikation något som blir alltmer viktigt i
Europa. Många tror att dagens mobiltelefoni inte
går att avlyssna eftersom den är digital, men faktum
är att det idag är lika enkelt att avlyssna GSM-telefoni som det var att avlyssna det gamla NMT-systemet. Ämnet presenterades av den tyske säkerhetsforskaren Karsten Nohl 2009 vilket ökade behovet
av att skydda all telefoni från avlyssning i Sverige
och Europa.
Svenskt företag levererar säker
telefoni till Europa
Linköpingsföretaget Sectra levererar sedan
1980-talet system och produkter till myndighetsoch försvarskunder. Produkterna är godkända av
EU och NATO och av flera nationella säkerhetsmyndigheter. Under hösten utsågs Sectra Tiger XS
av EU-rådet till den produkt som ska användas för
säker telefoni inom hela den Europeiska Unionen.
Tiger skyddar information på den högsta klassificeringsnivån Secret och används dagligen i 17 av Europas länder.
För att möta behovet av säker mobiltelefoni för
alla anställda inom civila myndigheter och försvaret
har Sectra utvecklat produkten Panthon på klassificeringsnivån Restricted. Panthon integreras med en
vanlig smartphone och ger användaren möjlighet att
både ringa krypterade samtal och vanliga samtal.
Kryptering räddar liv
Kryptering av sekretessbelagd information inom försvaret handlar ytterst om att rädda liv och om att fredstyrkor ska lyckas i sina uppdrag. De civila användarna
av krypteringstjänster är många. Det kan handla om
beslutsfattare och tjänstemän inom polisen, tullverket, kustbevakningen, vägverket och andra organisationer som behöver skydda känslig information.
Olika säkerhetsnivåer
Gemensamt för både försvaret och inom civila
myndigheter är behovet av att skydda information
både på den högsta klassificeringsnivån Secret och
på den lägre nivån Restricted. Klassificeringen av
informationen är ofta kopplad till vilken befattning
en person har men det finns också ett behov av att
kommunicera säkert mellan alla befattningar i organisationen. Tiger skyddar information på den
högsta klassificeringsnivån och Panthon på nivån
Restricted, men det går även att kommunicera säkert mellan de två nivåerna.
Användarvänlighet viktigt
Det är en viktig säkerhetsaspekt att systemen verkligen används och att de används på rätt sätt. Därför
strävar Sectra efter att erbjuda kryptoprodukter
som är lättanvända. Användarvänlighet i produktutvecklingen är därför centralt.
Komplext att certifiera produkter
Den andra delen av FMV:s roll handlar om att certifiera produkter. Det är en fristående funktion som
sedan 2002 ansvarar för uppbyggnad, drift och förvaltning av ett system och certifiering. Produkterna
certifieras i enlighet med standarden ISO/IEC IS
15408. I dag finns runt 1 500 produkter i världen
som är certifierade efter den standarden.
– Man kan se på säkerhet på samma sätt som man
ser bilar. Det är lika lätt att svara på frågan om en
Volvo är säker som att viktig it-information har lagrats säkert. Även om det är en ”säker” bil så kan föraren vara osäker. Samma sak gäller säkerhetssystem. Även om produkten motsvarar kraven, kan
den användas på fel sätt och göra ett system osäkert, säger Dag Ströman, verksamhetschef för certifieringsorganet CSEC på FMV.
Företag låter utvärdera sina produkter
Företag som vill få en positiv stämpel på sina produkter kan få dem utvärderade av CSEC. Produkterna värderas och får olika nivåer, där 1 ger ett
grundläggande skydd, medan 7 ger ett utomordentligt bra skydd.
Jättar som Microsoft och Oracle är några exempel på företag som låter sina produkter utvärderas
av FMV. Det beror på att myndigheter eller andra
stora institutioner kräver det. – Våra certifieringar är publik information. Om
ett företag vill använda produkter som ger hög säkerhet är det bara att titta på certifieringsnivån. Det
man ska komma ihåg är att hög säkerhet kan innebära höga kostnader, säger Dag Ströman.
Öppen källkod kan både bidra till ökad säkerhet
och försvaga säkerheten. En mobiltelefon med värdefull information kan krypteras och vara lika säker
som en dator. Det finns inga enkla svar när det gäller
säkerhet men certifieringen kan ge en fingervisning
till vad ett företag vill investera i.
Standard ger vägledning
inom informationssäkerhet
hur företag och organisationer hanterar sekretess- och
säkerhetsfrågor inom information samlas oftast i riktlinjer
och andra styrdokument för verksamheten. men vilken
information finns att tillgå för den företagare som är osäker
på hur man går till väga?
»» För att bedöma vilka skyddsbehov en verksamhet
har måste ett företag löpande analysera de risker
som dess informationshantering innebär. Risker
som kan påverka möjligheterna att verksamheten
kan nå sina mål och åtaganden gentemot sina intressenter. Det är viktigt att undersöka alla aspekter av
verksamheten för att fastställa vilken information
som ska vara konfidentiell, vilka krav på riktighet
som ställs och i vilken omfattning information och
informationssystem ska vara tillgängliga för att verksamheten ska fungera som avsett.
Förebyggande åtgärder
Enligt MSB, Myndigheten för samhällsskydd och
beredskap, är det viktigt att arbeta med förebyggande åtgärder. Att ha en god beredskap och en
krisplan om något skulle inträffa är något som
alltid lönar sig.
Tillämpning av de internationella och svenska
standarderna i ISO/IEC 27000-serien ger ett strukturerat och effektivt arbetssätt för verksamheter
som strävar efter förbättrad intern kontroll över informationssäkerheten.
Standarderna definierar relevanta
termer och utgår från arbetsprocessen
Plan-Do-Check-Act, som innebär en kvalitetsprocess som innebär kontinuerlig förbättring och anpassning av behov i en föränderlig
värld. Standarder ger vägledning
för de generella riktlinjer och skyddsåtgärder som
är kopplade till informationssäkerhet.
Arbetet med informationssäkerhet måste ske
med utgångspunkt från varje verksamhets unika situation och behov. En viktig utgångspunkt är krav
avseende riktighet och tillgänglighet.
Digitalisering ger möjligheter
Den digitala infrastrukturen ger många möjligheter. Kommunikationen sker inte bara snabbt och
enkelt, informationsflöden kan dessutom spåras
och loggföras på ett mer effektivt sätt. Sändaren av
information kan exempelvis enkelt få en kvittens
på att mottagaren har tagit del av informationen.
Men denna digitalisering kan också innebära en
ökad sårbarhet.
Att vara behörig användare av information
innebär också ett ansvar. Det kan exempelvis
vara situationer där en person rent tekniskt har
access till information men där det
inte är klarlagt vilken typ av information personen har rätt att
ta del av. Genom analys av säkerhetsloggar kan man exempelvis avgöra
om en användare avsiktligt eller oavsiktligt
har tagit del av fel information.