Strategi, politik og procedurer

Bagvedliggende filosofi
IT sikkerhedsledelse
Værdisæt aktiver, herunder data og information
• ”Alt der har værdi for virksomheden”

Risikoanalyse
Trusselvurdering, Threatmodeling
Forbyggende aktiviteter
PDCA (plan, do, check, act)
Dokumentation
Og gentag
Få alle andre med
• Helt overordnet : strategien – better safe than sorry, eller ??
• Politikker – hvad må du, hvordan skal du, husk…, standarder osv
• Procedurer, evt. indbygget i systemerne – når du, skal du….. 1,2,3, - og 4 skal
godkende
• Forskellige kampagner – Awareness – specielt i forhold til persondata i øjeblikket.

• Nogle bliver bygget ind i kulturen, andre skal håndhæves mere udtrykkeligt
Informationssikkerhedspolitikker
• Ledelse måde at vise vejen på, så godkendt af ledelsen.
• Skal efterleve love, regulativer m.v.
• Meddelt alle medarbejdere og relevante eksterne
• Awarenesskursus for at udbrede kendskabet.

• Review jævnligt
Organisering af informationssikkerhed
Roller og ansvar
• CISO, (CSO), Sikkerhedschef, Sikkerhedansvarlig, DPO, Sikkerhedsmedarbejder,
Sikkerhedskonsulent, …
• ”Seggregation of duties” / funktionsadskillelse
• Kontaktpersoner (myndigheder, interesseorganisationer, …)
Mobile enheder
• Stjålne bærbare
• Trådløst på hoteller og caféer
Hjemmearbejdspladser /distancearbejde
Før ansættelse
• Jobbeskrivelse og kompetencekrav
• Screening
• Dokumentation for eksaminer
• Check af CV
• Arbejds- og opholdtilladelse
• Pas eller lignende med foto
• Referencer
• Straffeattest/børneattest
• Kreditoplysninger
• Sikkerhedsgodkendelse

7
Under ansættelse
• Ved underskrift bekræfte sine roller og forpligtigelser i
forbindelse med ISMS – også senere ændringer
• Fortrolighedserklæring
• Regler om ophavsret
• Overholdelse af love, regler og politiker. Konsekvenser
ved brud.
• Træning/uddannelse, vedligeholdelse af kompetencer
• Løbende vurdering af adfærd m.v.
8
Ændring af ansættelse
• Fjernelse/tildeling af rettigheder og forpligtelser
• Omfordeling af rettigheder/forpligtelser for andre
• Udskiftning af passwords, tokens, …
•…

9
Ophør af ansættelse
• Fjernelse af rettigheder og forpligtelser
• Returnering af “assets” (computer, mobil, nøgler, firmabil,
software, dokumenter, …)
• Bevarelse af viden?
• Omfordeling af forpligtelser
• Føres til døren og få eftersendt sine personlige ejendele?
• Udskiftning af passwords, tokens, …
• Indskærpe fortrolighedsforpligtelse

10
Leverandører m.v.
• Tilsvarende forholdsregler for
• Underleverandører
• Eksterne konsulenter
• Studentermedhjælpere
• Løsarbejdere
• Frivillige
• Praktikanter
•…

11
Repetition
Intro : FIT - fortrolighed, integritet og tilgængelighed
Hvor kommer trusler fra – tragten
Risikoanalyse og håndtering + Threat modelling
Hent mere info fra omverdenen, Center for
Cybersikkerhed, Datatilsynet. NIST mfl.
GDPR – hvad er nyt, Hvordan skal begreberne forstås –
personoplysninger
Identifikation, autentifikation, autorisation
Privacy by design – mindset og designpatterns
Netværk, firewalls, kryptering
Repetition- fortsat
Incident respons – beredskab og håndtering
Alle de forskellige former for angreb – fra man-in-the-midle, orme, trojanske heste
Lidt mere teknik: forebyg netværk, forbyg på operativsystemniveau og på
applikationsniveau
Sikkerhedsledelse, politikker og procedurer
Læringsmålene
Viden og forståelse Den studerende har:
Viden om gængse it-sikkerhedstrusler
Viden om organisationsprincipper for it-funktionen
Viden om strategi, politik og procedurer i relation til it-sikkerhed.
Færdigheder
Den studerende kan:
Identificere it-sikkerhedsmål og -mekanismer i praksis
Identificere it-sikkerhedsmekanismer til imødegåelse af identificerede it-sikkerhedstrusler
Opstille scenarier for konkrete trusler mod it-sikkerheden i en given
Kompetencer
Den studerende kan:
Udarbejde strategier, politikker og procedurer for it-sikkerhed
Deltage i den organisatoriske planlægning af en it-funktion
Holde sig opdateret om nye trusler mod it-sikkerheden
Tilegne sig kompetencer i it-sikkerhedsmekanismer gennem strukturerede læringsforløb.
Spørgsmål
Til noget af alt det, vi har været igennem
Til opgaven
Til andet

Husk evalueringen?
Husk at tilmelde jer nye fag i efteråret 
Arbejde med eksamensopgaven
• Blev udleveret 26/5
• Muligt at lave sit eget case. Bør allerede nu være fundet.
• 9/6 undervises der, men Kell er begrænset omfang til stede til vejledning.
• 16/6 kl. 23.00 aflevering på Wiseflow. Mail fra systemet er afsendt.
• 24-25/6 er der mundtlig eksamen. Skriv dig på ”ønskelisten”. Listen kan ændres f.eks. andres
manglende aflevering eller censors trafikale muligheder.

16