amentor

Varför behövs informationssäkerhet?

amentor
 Amentor

• Grundades 2004
• Kontor i Göteborg & Stockholm
• Specialister inom bl.a. informationssäkerhet, IT-
revision, IT-styrning, projektledning
• Drivit ett flertal stora ”compliance”-projekt
• Merparten av konsulterna har minst en relevant
certifiering (CISA, CISM, CISSP, CGEIT, QSA etc.)
• Medlem i SWCG (Swedish Consulting Group)

amentor
 Vad är Informationssäkerhet?

CIA – Information Security Triangle:

¾ Konfidentialitet (Confidentiality)
Risken att obehöriga har, eller kan tillskansa sig, åtkomst till information som kan
orsaka organisationen väsentlig skada.

¾ Integritet (Integrity)
Risken att information inte är fullständig och korrekt.

¾ Tillgänglighet (Availability)
Risken att information inte är tillgänglig när den behövs.

amentor
 Varför behövs informationssäkerhet?
¾ Information är idag en central tillgång i all affärsverksamhet, den kan
vara nyckeln till företagets tillväxt och framgång och i vissa fall
människors liv och död.

¾ Förlusten av kritisk affärsinformation kan direkt påverka

konkurrensförmåga och kassaflöde. Den kan också fördärva
företagets rykte och kan få långvariga, skadliga effekter.

¾ En ökad användning av IT och Internet som centrala verktyg i

affärsprocesserna medför nya säkerhetsrisker.

¾ Lagar och regleringar kräver att man skyddar information.

amentor
 Lagar, regler & förordningar
¾ Patientdatalagen
¾ Personuppgiftslagen
¾ Svensk kod för bolagsstyrning
¾ Bokföringslagen
¾ Sekretesslagen
¾ Sarbanes-Oxley act
¾ PCI DSS
¾ FDA Regulation 21 CFR Part 11

amentor
 Incidenter

amentor
amentor
amentor
amentor
amentor
amentor
amentor
amentor
amentor
amentor
amentor
 Hur mycket säkerhet behövs?

Det är vare sig möjligt

eller lönsamt att skydda
sig mot alla hot. Istället
gäller det att skydda sig
mot rätt hot - på rätt sätt -
och få en hanterbar
kvarstående risk vid en
medvetet vald
skyddsnivå.

amentor
 Vad alla organisationer bör göra…

¾Klassificera informationstillgångarna
¾Gör riskanalys
¾Skapa och implementera ett ramverk för
informationssäkerhet
¾Utbilda, utbilda, utbilda

amentor
 Riskanalys
Accepterbar risknivå

Sannolikhet

Hög risk

Medium risk

Låg risk

Konsekvens

amentor
 Riskkarta
Accepterbar risknivå

1
3
2
5 4
Sannolikhet

Hög risk
7
Medium risk 8
10
Låg risk 11 9
12

Konsekvens

amentor
 Riskhantering

¾ Undvika
¾ Transferera
¾ Acceptera
¾ Reducera

amentor
 Riskhanteringsmodell

amentor
 Informationsecurity
Information securityframework
framework

Verktyg
(ex. IDS, Anti-virus, UPS, Smart Cards, larm etc.)
IT-revision/Compliance
IT-revision/Compliance

Säkra applikationer

Utbildning
Utbildning
Säker teknisk
infrastruktur

Rutiner & Processer

(Organisation)

Styrdokument
(ex. IT-strategi, informationssäkerhetspolicy,
kontinuitetsplan etc.)

amentor
 info: stefan.simonson@amentor.se

amentor