Faghópur um stjórnun upplýsingaöryggis: Fréttir og pistlar

Vitundarmál vegna upplýsingaöryggis í víðu samhengi

Fundurinn sem var á vegum faghóps um upplýsingaöryggi var tekinn upp og er aðgengilegur á facebooksíðu Stjórnvísi. Jón Kristinn Ragnarsson í stjórn faghópsins stjórnaði fundinum. Vitundarmál vegna upplýsingaöryggis geta verið margskonar og að mörgu sem hægt er að huga. Á þessari kynningu voru skoðuð vitundarmál í víðu samhengi og tækifæri til að gera enn betur. Einnig hvernig fyrirtæki standa að innri og ytri samskiptum en líka hvernig stuðlað er að aukinni vitund meðal borgara landsins. Samvinna og samstarf var til grundvallar enda oft leiðin að farsælli og hagkvæmri lausn. 

Hermann Þór Snorrason, sérfræðingur á Fyrirtækjasviði Landsbankans sagði frá því hvernig Landsbankinn stendur að vitundarvakningu um netöryggi gagnvart bæði einstaklingum og fyrirtækjum. Í erindinu fjallaði Hermann um ytri netöryggisfræðslu bankans, ferlinu við textaritun, hvernig gagnaöflun er háttað, samstarfinu við auglýsingastofur og erlenda banka, hann lýsti viðbrögðum viðskiptavina við fræðsluefninu og fleiru í þeim dúr. Hermann hefur m.a. stýrt netbönkum og vefþjónustum Landsbankans og vann að innleiðingu RSA-öryggiskerfisins sem byggir m.a. á mynstur- og umhverfisgreiningum og hefur ritað fjölda greina um netöryggismál banka.

Daði Gunnarsson hjá Lögreglunni á Höfuðborgarsvæðinu sagði okkur frá samstarfi lögreglu um allan heim þegar kemur að netbrotamálum og hver þróunin er innan íslensku lögreglunnar þegar kemur að þessu ört vaxandi máli. Farið var yfir skýrslu EUROPOL um skipulögð afbrot á netinu (IOCTA) og hvað er sameiginlegt með henni og raunveruleikanum á Íslandi. Þá ræddi hann um samstarfsaðila á sviði netbrota og netöryggis bæði innlenda og erlenda. Þá fór hann einnig yfir námskeið sem í boði er fyrir verðandi lögreglumenn í Háskólanum á Akureyri með áherslu á netbrot og netöryggi. Daði er með MSc. í Forensic computing and cybercrime investigations frá UCD og er með CFCE vottun frá IACIS. Hann hefur sótt mörg námskeið á vegum lögreglunnar í tengslum við netbrot og netrannsóknir ásamt því að kenna í Háskólanum á Akureyri, Lögregluháskólanum í Noregi (PHS), Evrópska lögregluskólanum (CEPOL) og gert námsefni fyrir EUROPOL, CEPOL o.fl.

Daníel Máni Jónsson, Öryggisstjóri hjá Valitor sagði frá hvað Valitor er að gera varðandi öryggis vitundarvakningu meðal starfsmanna sinna. Hann varpaði fram nokkrum heilræðum sem gott getur verið að hafa á bakvið eyrað þegar fyrirtæki setja saman áætlun og efni fyrir vitundarherferðir sínar. Daníel Máni þreytist seint á að fjalla um mikilvægi samstarfs og samtals þegar kemur að öryggismálum, hvort sem er innan fyrirtækja eða milli fyrirtækja. Upplýsingaöryggi er ekki einstaklingsíþrótt heldur hópíþrótt.  Daníel Máni hefur lengst af starfað í hröðum heimi greiðslumiðlunar þar sem öryggi og traust eru lykil þættir og þó hann hafi farið vítt og breytt um skipurit Valitor hafa öryggismál yfirleitt verið ofarlega á baugi í þeim hlutverkum sem hann hefur gengt hjá félaginu og dótturfélögum.

 

Innleiðing á stjórnunarkerfi upplýsingaöryggis ISO27001, hvað svo? Ásamt reynslusögu frá Landsneti.

Fundurinn var tekinn upp og er aðgengilegur á facebooksíðu Stjórnvísi. Ólafur Róbert Rafnsson, ráðgjafi og formaður tækninefndar hjá Staðlaráði Íslands um upplýsingaöryggi og persónuvernd fjallaði um helstu atriði sem hafa þarf í huga við innleiðingu á ISO staðlinum, að starfrækja stjórnunarkerfi um upplýsingaöryggi og almennt um staðla á þessu sviði.

Ásmundur Bjarnason, forstöðumaður upplýsingatækni hjá Landsneti sagði frá nýlegri vottun á ISO 27001 hjá fyrirtækinu og hvernig hefur tekist að bæta öryggismál og menningu á þessari vegferð.

Aðalfundur faghóps um upplýsingaöryggi

Þann 7.maí fór fram aðalfundur stjórnar faghóps um upplýsingaöryggi en faghópurinn var stofnaður þann 19.nóvember 2019. Á fundinum var farið yfir störf faghópsins síðan hann tók til starfa ásamt því að ný stjórn var kjörin.  

Stjórn faghóps Stjórnvísi um upplýsingaöryggi árið 2020-2021 skipa:

    • Anna Kristín Kristinsdóttir, Isavia. Formaður
    • Arnar Freyr Guðmundsson
    • Davíð Halldórsson, KPMG
    • Hrefna Arnardóttir, Advania
    • Jón Elías Þráinsson, Landsnet
    • Margrét Kristín Helgadóttir, Fiskistofa
    • Margrét V. Helgadóttir, Pósturinn
    • Margrét Valdimarsdóttir, Credit Info
    • Jón Kristinn Ragnarsson, Ion ráðgjöf (nýr)

Við þökkum fráfarandi stjórnarmeðlimum kærlega fyrir störf sín og bjóðum nýja stjórn hjartanlega velkomna til starfa.  

Ábyrgir stjórnarhættir - auknar kröfur um gagnsæi

Á þessum morgunfundi fjallaði Ólafur Sigurðsson framkvæmdastjóri Birtu lífeyrissjóðs um auknar áherslur fjármagnveitenda á ábyrgar fjárfestingar. Að því loknu fjallaði Sigurður Ólafsson út frá sjónarhóli stjórnarmanns, um auknar kröfur til ófjárhagslegra viðbótarupplýsinga. Þessar upplýsingar veita innsýn, eru mikilvægar til að auka gagnsæi og þurfa að byggja á vönduðum stjórnarháttum. 

Birta lífeyrissjóður nálgast ábyrgar fjárfestingar sem hugmyndafræði sem miðar að því að bæta vænta ávöxtun og áhættu til lengri tíma með sjálfbærni sem megin markmið samkvæmt UFS flokkun. Það sem er í boði eru viðmið ESG Reporting Guide 2,0, GRI Standards og IR Integrated Reporting. (ófjárhagslegar upplýsingar).  Meðalhófið er mikilvægt.
Ólafur tók nokkur dæmi af UFS umræðu; umhverfið, samfélagið og stjórnarhættir.  Birta styrkir Virk sem er mikilvægt og þar er hægt að ræða um fjárhagslega stærð.
Það er frábært framlag sem felst í að veita umhverfisverðlaun í atvinnulífinu því það virðist minnka kostnað og bæta framlegð sem verður vegna tiltektar í rekstrinum.
Árið 2015 voru gefnar út leiðbeiningar um stjórnarhætti fyrirtækja af Viðskiptaráði Íslands, Nasdaq Iceland og SI.  Leiðbeiningarnar fela í sér tilmæli til viðbótar við lög og reglur og þeim fylgir meiri sveigjanleiki þar sem grundvöllur leiðbeininganna um stjórnarhætti fyrirtækja er “fylgið eða skýrið” reglan.  Stjórnarhættir eiga að vera virðisskapandi.
Vínbúðin og ISAVIA vinna skv. GRI.  GRI 300 er ekkert annað en fjárhagslegar upplýsingar.  Það að draga úr útblæstri dregur úr kostnaði.  Í GRI 400 eru áhugaverðar kennitölur eins og hve margir voru veikir vegna álags í vinnu.  Fari talan yfir 5% í veikindum þá er það sannarlega farið að hafa áhrif á rekstur fyrirtækisins.  Sama á við um fræðslu og þróun þegar fyrirtæki fjárfesta í menntun starfsmanna sem svo hætta vegna of mikils álags.  Til að dæma um hvort þetta eru verðmyndandi upplýsingar þá þurfa upplýsingarnar að vera til staðar yfir 5 ára tímabil.
Þegar borin er saman arðsemi eigin fjár og þess að fylgja reglunum þá er fylgnin ekki mikil ca. 0,07 en alla vega, þá leiðir það ekki til lakari árangurs.  Margt bendir til að það bæti ávöxtun og minnki áhættu Birtu.

Birta breytir ekki heiminum en lýsir yfir vilja til samstarfs og tengir sig við markmið. Birta hefur fjárfest bæði í Marel og Össur og einnig í mörgum nýsköpunarfyrirtækjum.  Nýsköpun og uppbygging á innviðum tengjast markmiðum nr.9 sem er nýsköpun og uppbygging og byggja upp trausta innviði, stuðla að sjálfbærri iðnvæðingu.  Niðurstaða Ólafs er sú að það þurfi viðbótarupplýsingar og nú er öskrandi tækifæri fyrir gagnaveitur. 

Sigurður sagði ófjárhagslegar upplýsingar verða fjárhagslegar til lengri tíma.  Í dag er öskrað eftir upplýsingum og kallað eftir gagnsæi og réttum upplýsingum í stjórnkerfinu, á almennum og opinberum markaði.  Skýrsla stjórnar um ófjárhagsleg mál getur uppfyllt þessa þörf.  Endurksoðendur gefa álit sitt að ársreikningi, í skýrslu stjórnar koma upplýsingar úr samfélagsskýrslunni ESG/GRI. Úr ársreikningi koma tölur sem skipta máli fyrir fjárfesta og meta fyrirtækið út frá þeim gögnum sem þar eru settar fram.  Endurskoðendur staðfesta að í skýrslu stjórnar sé verið að fjalla um ákveðin málefni.  Stjórnarmaðurinn er því ábyrgur fyrir að þær upplýsingar sem komi fram í skýrslu stjórnar séu ábyggilegar.  Félag endurkoðenda telja að óvissa ríki um hvort endurskoðun skuli ná til upplýsinga í skýrslu stjórnar eða eingöngu staðfesti að  upplýsingar séu veittar án álits á réttmæti þeirra.  Ársreikningaskrá RSK sýnir að úrbóta er þörf.  Sérstaklega verður gengið eftir því að kanna upplýsingagjöf í skýrslu stjórnar hvað varðar ófjárhagslegar upplýsingar. 

Ófjárhagslegar upplýsingar eru viðbótarupplýsingar og mikilvægt fyrir stjórnarmenn að kynna sér þær vel, þær séu vandaðar og hægt að treysta því að þær séu í lagi.  Málið snýst um 65.gr. og 66.gr. í 6.kafla skýrslu stjórnar.  Í Skýrslu stjórnar 8.grein skal upplýsa um aðalstarfsemi og gefa yfirlit yfir þróun, stöðu og árangur í rekstri félagsins ásamt lýsingu á megináhættu og óvissuþáttum.  Spurningar sem vert er að velta upp eru t.d. Er stjórnarmaður viss um að fylgt sé skilgreindu verklagi og góðum stjórnarháttum? Mega bankar og lífeyrissjóðir fjárfesta í eða lána fyrirætkjum ef vandaðar ófjárhagslegar viðbótarupplýsingar liggja ekki fyrir. Eru ófjárhagslegar viðbótarupplýsingar frá stjórnendum fyrirtækja staðfestar af stjórn?

Það er til staðall sem dregur þetta saman, en viðmið hafa ekki verið til hér á landi.  Til eru alþjóðleg viðmið  “The integrated Reporting Framework.  Að lokum sagði Sigurður að stjórnarmenn ættu að kynna sér vel lög og reglur um framsetingu viðbótarupplýsinga, upplýsingar verða að byggja á góðum stjórnarháttum, ferlum og undirliggjandi eftirlits-/stjórnkerfum.  Þessar upplýsingar eru mikilvægar til að auka gagnsæi og veita góða innsýn í rekstrarumhverfi fyrirtækis.  Vönduð og vel unnin skýrsla stjórnar er ein mikilvægasta undirstaða heilbrigðs verðs-og lánshæfismats.  Þetta er ekki sprettur heldur langhlaup.

Hér er hlekkur á áhugavert myndband um "Integrated Reporting Framework": https://videopress.com/v/nboxyfAp
H
ér er hlekkur á vefsvæði Kontra Nordic en þar er að finna ýmsar upplýsingar á þessu sviði: https://kontranordic.com/links/

Fundinum var streymt á Facebook - hér er hlekkur á myndskrána:
https://www.facebook.com/Stjornvisi/videos/2585059381775400/

 

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Ný stjórn faghóps um upplýsingaöryggi.

Fjöldi Stjórnvísifélaga sýndi áhuga á að koma í stjórn faghóps um upplýsingaöryggi, allt afburðafólk. Úr varð stór og sterk stjórn sem endurspeglar vel fjölbreytilega þeirra vinnustaða sem áhuga sýndu.  Fyrsti fundur stjórnarinnar var á Kringlukránni í dag þar sem farið var yfir almennt fyrirkomulag og umboð stjórna Stjórnvísi, hlutverk stjórnar, kosningu formanns og næstu skref.

Stjórnina skipa þau Anna Kristín Kristinsdóttir upplýsingaöryggisstjóri Isavia sem jafnframt er formaður faghópsins, Arnar Freyr Guðmundsson Seðlabanka Íslands, Davíð Halldórsson KPMG, Ebenezer Þ. Böðvarsson Borgun, Hrefna Arnardóttir Advania, Jón Elías Þráinsson Landsneti, Kristín Ósk Hlynsdóttir Rannís, Margrét Kristín Helgadóttir Fiskistofu, Margrét Valdimarsdóttir Creditinfo og Margrét Valgerður Helgadóttir hjá Póstinum. 

Upplýsingar um hvernig fyrirtæki og stofnanir geta undirbúið sig undir gildistöku um breytta persónuverndarlöggjöf frá 2018.

Breytt persónuverndarlöggjöf frá 2018 var viðfangsefni faghópa um CAF/EFQM, gæðastjórnun, ISO og upplýsingatækni var haldinn á Veðurstofu Íslands í morgun.
Fyrr á árinu voru samþykktar umfangsmestu breytingar sem gerðar hafa verið á evrópskri og þ.a.l. íslenskri persónuverndarlöggjöf í rúm 20 ár. Breytingarnar taka gildi á árinu 2018 en fyrir þann tíma þurfa fyrirtæki og stofnanir að aðlaga starfsemi sína að breyttum - og auknum - kröfum til persónuverndar og öryggis persónuupplýsinga. Réttindi einstaklinga eru jafnframt aukin til muna sem einnig kallar á breytingar í starfsemi þeirra sem vinna persónuupplýsingar.
Alma Tryggvadóttir, skrifstofustjóri upplýsingaöryggis frá Persónuvernd sagði lögin hafa haft langan aðdraganda og undirbúning. Annars er reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga og hins vegar tilskipun um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga hjá löggæsluaðilum. Markmiðið er að einstaklingar fái betri stjórn yfir upplýsingar um sig. Þetta er því liður í að bæta réttarvernd. Reglugerðin tekur formlega gildi 25.maí 2018. Þeir sem vinna persónuupplýsingar hafa því 1,5ár til að samræma sig. Reglugerðin lýtur að öllum fyrirtækjum í heiminum sem vinna með upplýsingar um Evrópubúa hvar sem þeir eru í heiminum. Ef boðin er þjónusta eða vara til sölu fellurðu innan gildissviðsins. Upplýsingar sem beint má rekja er t.d. nafnið þitt og óbeint IP tölur. Reglugerðin nær til ábyrgðaaðila þ.e. þeirra sem hefja vinnslu og einnig til þeirra sem vinna úr upplýsingum. Hingað til hafa úrvinnsluaðilar verið í skjóli. Ábyrgðar-og vinnsluaðilar eru því báðir orðnir ábyrgir.
Rík krafa er um gagnsæi og að veitt sé fræðsla um upplýsingarnar. Hver er tilgangurinn og hvenær er þeim eytt. Verið er að einfalda aðgang að upplýsingum til einstaklinga. Einstaklingar eiga að geta flutt upplýsingar sínar til, þetta er nýr réttur. Hægt á að vera að fara til einstaklinga og færa allt á milli. Ekki er lengur hægt að loka á upplýsingar. Fyrirtæki og stofnanir þurfa að gefa upplýsingar um eðli upplýsingabrests. Síðan er réttur til að gleymast. Hann felst í að einstaklingur á rétt á að ákveðnum upplýsingum um hann sé eytt. Opinber aðili hefur ekki sama rétt og borgari. Mjög strangar reglur eru komnar. Stofnanir og fyrirtæki þurfa að uppfæra samþykkisferla. Gera einstaklingum kleift að fá allar upplýsingar um sig. Halda skrá yfir vinnsluaðgerðir. Hvaða upplýsingar er ég að vinna, hvar flokkast þær og hvaða tegund er ég að vinna með, eru þær almennar? Undantekning er fyrir stofnanir sem eru undir 250 manns. Síðan er breytt tilkynningarskilda þ.e. tilkynna þarf um allar persónuupplýsingar. Nú þarf að tilkynna um öryggisbrest til Persónuverndar innan 72 klst. frá því bresturinn varð. Einnig þarf að tilkynna hvernig vinna á úr öryggisbrestinum. Einnig er skylda að tilkynna öryggisbrest til einstaklinganna sjálfra.
Fyrirtæki og stofnanir þurfa að skipa sér persónuverndarfulltrúa óháð stærð sinni. Ef kjarnastarfsemi felst í því þá er það nauðsynlegt. Þetta á við tryggingarfélög, banka o.fl. Þessi fulltrúi heyrir beint undir forstjóra, hann þjálfar starfsmenn sem vinna með persónuupplýsingar. Ekki er hægt að pikka hvern sem er út heldur velja þann sem þekkir persónuverndarlögin.
Fyrirtækin eiga að framkvæma mat. Hvað er ég að fara að vinna? Er ég að gæta hófs? Í alvarlegustu tilvikunum á að leita álits persónuverndar samræmist gildandi lögum og reglum. Evrópska persónuverndarráðið (EDPB) mun stórauka sektarheimildir allt að 4% af heildarveltu fyrirtækis.
Það er alveg ljóst að persónuvernd er komin í fyrsta sæti. Nú þarf vitundarvakningu þannig að allir skilji hvaða skyldur hvíla á þeim. Þetta er viðvarandi verkefni fyrir gæðastjórnun og auka þarf vitundina. Nú þarf að byrja á að greina allar upplýsingar. Erum við ábyrgðar eða vinnsluaðili? Það er alveg ljóst að þetta mun kalla á tíma. Tækifæri felast í verndinni, það eykur traust og sá sem fylgir reglunum ætti að fá aukin viðskipti. Framundan er fundarröð hjá Persónuvernd. Haldnar verða málstofur fyrir aðila.
Hörður Helgi Helgason, hdl. Landslög sagði komin tími til að huga að því hvernig hægt væri að aðstoða fyrirtæki við innleiðingu nýju laganna. Núgildandi reglur 77/2000 um persónuvernd hafa kjarnann um hvernig megi vinna með persónuupplýsingar. Lögin kveða á um ákveðnar heimildir og upplýsingaöryggi. Gull hvers fyrirtækis og stofnana eru upplýsingar. Sjávarútvegsfyrirtæki vinna í dag mikið með upplýsingar. Upplýsingar eru þrennt: leynd, réttleiki og aðgengileiki. Tryggja þarf að upplýsingar séu réttar og þeir sem þurfa að komast í upplýsingarnar komist í þær og þær séu réttar t.d. á Landspítalanum.
Á ISO.org er hægt að sjá alla staðla um persónuvernd. En hvað breytist í nýju reglugerðinni? Í fyrsta lagi þá verður sjálfstæð heimild til að vinna með persónuupplýsingar í öryggisskyni. Ef það er þörf eða nauðsyn þá er það heimilt. Annað þá er það uppsetning kerfanna. Ef þau snúa að starfsmönnum þá þarf að passa að starfsmenn fái ekki meiri upplýsingar en þau þurfa. CRM kerfi koma tilbúin uppsett með að vinna mjög mikið með sínum viðskiptavini. Þar þarf að skoða hvort safna megi/eigi öllum þessum upplýsingum. Gegnumgangandi er að menn eru að skipta úr að segja hér eru skyldur í stað þess að nú þarf að skjala jafn óðum og sanna að yfir árabil hafi ráðstafanir verið til sönnunar. Nú þurfa því allir að fara af stað og vera tilbúnir að standa skil á. Nú er komin ný gullin regla. Hver og einn á rétt á að gætt sé öryggis varðandi upplýsingar um hann sem einstakling. Fyrirtæki þurfa núna að kóta niður og sýna hvernig þau gæta upplýsingaöryggis. Fylgt verður hart eftir öryggisreglunni um upplýsingabrest og því að tilkynnt sé um upplýsingabrest til Persónuverndar inna 72 klst.
Hörður benti á að hjá Persónuvernd eru prýðilegir bæklingar personuvernd.is Mikill GDPR-iðnaður er sprottinn upp erlendis og eru linkar á tékklistann í glærum með fyrirlestrinum á innra neti Stjórnvísi. Hörður nefndi að lokum að mikilvægt væri að hafa hliðsjón af ISO 27001 við undirbúning verkefnisins: Tryggja stuðning stjórnenda og halda þeim vel upplýstum, ekki reiða sig um á ráðgjafa því þetta verður að vera sjálfsprottið, fara strax af stað því kostnaðurinn verður mikill ef allt á að gerast á sama tíma. Taka saman skrá um alla vinnslu, setja saman og halda uppfærðri tíma-og kostnaðaráætlun sem taki til gerðar allra verkferla, verklagsreglna og mannaráðninga. Stilla saman þeim sviðum sem eru helstu neytendur persónuupplýsinga, UT-sviði, gæðasviði og lögfræðisviði.

Gullna hliðið - Áskoranir í breyttu umhverfi upplýsingafræðinga.

Stjórn faghóps um upplýsingaöryggi vekur athygli á ráðstefnu sem haldin verður

  1. apríl 2014 - kl. 8:30 - 11:00 í Þjóðarbókhlöðunni

Ráðstefnan er haldin á vegum námsbrautar í upplýsingafræði við Háskóla Íslands í samvinnu við Azazo - Gagnavörsluna. Fjölbreytt erindi eru á dagskrá sem tengjast með einum eða öðrum hætti stjórnun og öryggi upplýsinga. Á ráðstefnunni er einnig horft til teymisvinnu og mikilvægi þess að ólíkar faggreinar innan fyrirtækja leggi saman lausnir sínar og stuðli þannig að árangursríkri innleiðingu hugbúnaðarverkefna og skilvirkri notkun upplýsingakerfa.

Húsið opnar kl.8.30

Dagskrá:

8:45 - 9:05

Upplýsingaský og öryggi
Hannes Pétursson, framkvæmdastjóri hugbúnaðarsviðs Azazo

9:05 - 9:25

Kröfur starfsmanna : lækurinn finnur sér alltaf farveg! Kristjana Nanna Jónsdóttir, ráðgjafi Azazo og Björt Baldvinsdóttir

9:25 - 9:45

Samfélagsmiðlar og upplýsingastjórnun : er skjalaöryggi ógnað? Jóhanna Gunnlaugsdóttir, prófessor við Háskóla Íslands, námsbraut í
upplýsingafræði

9:45 - 10:00

KAFFI

10:00 - 10:20

Breytt hlutverk upplýsingastjórans : hvað heiti ég? Gunnhildur Manfreðsdóttir, fagstjóri ráðgjafasviðs Azazo

10:20 - 10:40

Einföldun upplýsingaumhverfis hjá Landsneti Ásgerður Kjartansdóttir, skjalastjóri og Sæmundur Valdimarsson, deildarstjóri upplýsingatæknideildar Landsnets

10:40 - 11:00

Teymi - líka í upplýsingastjórnun
Sigurjón Þórðarson, ráðgjafi hjá Hagvangi

Vinsamlegast skráði þátttöku
hér.https://docs.google.com/a/azazo.com/forms/d/1ppmfqxatgwda4B2lFYMu9uIgLlrh0tuAYi1sEA4DpxY/viewform
Aðgangur er ókeypis.

Hlökkum til að sjá ykkur!

Afar athyglisverður fundur í HR hjá Upplýsingaöryggishópnum í morgun

Á fundi upplýsingaöryggis sem haldin var í Háskólanum í Reykjavík í morgun ræddi Ýmir Vigfússyni um núverandi stöðu tölvuöryggis á Íslandi og hvað við getum gert til að bæta okkur. Niðurstaða Ýmis er sú að hætturnar eru til staðar sem aldrei fyrr og við hér á Íslandi getum gert mun betur. Peningar, njósnir og völd eru þeir þættir sem gera tölvuinnbrot aðlaðandi fyrir skúrkana og í dag eru þetta oft glæpasamtök sem standa að baki innbrota. Það er úr nægu fyrir þá að moða því að öryggisholur er víða að finna og t.d. kóði stýrikerfa margfalt umfangsmeiri í dag heldur en fyrir 10 árum. Framtíðin er líka ekki allt of björt því að Ýmir spáir því að virði og umfang tölvuárása muni aukast ásamt fjölda öryggisveikleika kerfa. Aftur á móti er hættan fyrir einstaklinga óljós, það eru ekki allir skúrkar sem að finnst borga sig að ráðast á einstaklingstölvur og sérhæfa sig frekar í að ráðast á stærri skotmörk.
Hvað getum við gert hérna á Íslandi? Að mati Ýmis þá er það annaðhvort að kaupa lausnir á borð við öryggisúttektir eða "Offensive Security" eða þjálfa upp starfsfólk. Þjálfun eða menntun er mjög mikilvæg og mikið meira sem mætti gera bæði fyrir þá sem eru að læra hugbúnaðarþróun og eins á sviði símenntunar fyrir þá sem eru út í atvinnulífinu. Háskólinn í Reykjavík hefur árlega boðið upp á 6 eininga tölvuöryggisnámskeið sem er opið fyrir alla (3 vikna) og einnig árlegar keppnir í tölvuhakki. Næsta tölvuhakkskeppni HR verður einmitt næstkomandi fösudag í sal 1 í Háskólabíói (kl 21:30) og eftir spennandi innbrotskeppni sem háð verður á staðnum, kemur í ljós hver er hakkari ársins 2012!

Faghópur um upplýsingatækni vekur athygli á ráðstefnu í Nauthól 28.september; Réttur til að vita ...

Ráðstefna 28. september
Nauthóli - Nauthólsvík
kl. 9 - 12

„Réttur til að vita ...“
„Hvar liggja mörk trúnaðar og upplýsingagjafar?“
Skráningarform
Taktu þátt í umræðunni á Twitter: @SkyIceland #Rettur
Ráðstefnan er haldin í tilefni af „International Right to Know Day“ sem haldinn hefur verið víða um heim þann 28. september frá árinu 2003. Tilgangur dagsins er að leggja áherslu á að réttur einstaklinga til upplýsinga sé virtur og aðgengi að upplýsingum sem vistaðar eru hjá stjórnvöldum sé opið og gagnsætt.
Lögð verður áhersla á þátt upplýsingatækninnar. Ráðstefnan er ætluð þeim sem hafa áhuga á að rétturinn til að vita sé virtur, bæði borgurum og þeim sem bera ábyrgð á vistun og miðlun upplýsinga.

Leitast verður við að svara eftirfarandi spurningum:

  • Hvað felst í þessum degi?
  • Hvað gera önnur lönd?
  • Hver eru vandamálin við upplýsingagjöf á Íslandi í dag?
  • Hver er réttur almennings til upplýsinga?
  • Hvernig er lagaumhverfið?
  • Hvað get ég fengið að vita um sjálfan mig?
  • Hvernig má nýta upplýsingatæknina betur?
    Dagskrá:
    08:50-09:00 Afhending ráðstefnugagna
    09:00-09:40 Leyna stjórnvöld mikilvægum upplýsingum sem eiga erindi við almenning?
    Niðurstöður könnunar kynntar.
    Jóhanna Gunnlaugsdóttir, prófessor við Háskóla Íslands
    09:40-10:00 Rétturinn til að þekkja eigin upplýsingar
    Vigdís Eva Líndal, lögfræðingur, Persónuvernd
    10:00-10:20 Eru upplýsingalögin að virka?
    Páll Þórhallsson, skrifstofustjóri hjá forsætisráðuneyti
    10:20-10:40 Kaffihlé

10:40-11:00 Sjónarhorn “eiganda” gagna. Hvenær má veita upplýsingar og hvenær ekki?
Anna Björk Bjarnadóttir, framkvæmdastjóri Tæknisviðs Símans
11:00-11:20 Hvað skráir lögreglan hjá sér og í hvað notar hún það?
Árni E. Albertsson, aðstoðaryfirlögregluþjónn hjá ríkislögreglustjóranum
11:20-11:40 Þjónusta ríkisskattstjóra
Gunnar Karlsson, sviðsstjóri einstaklingssviðs hjá ríkisskattstjóra

11:40-12:00 Bætt aðgengi að upplýsingum og samskiptum
Gunnar Grímsson og Róbert Bjarnason, Íbúar ses

12:00 Fundarlok

Fundarstjóri: Jóhanna Gunnlaugsdóttir, prófessor við Háskóla Íslands

Undirbúningsnefnd: Jóhanna Gunnlaugsdóttir hjá Háskóla Íslands, Halla Björg Baldursdóttir hjá Þjóðskrá Íslands, Ásta Möller hjá Stofnun stjórnsýslufræða og stjórnmála við Háskóla Íslands og Arnheiður Guðmundsdóttir hjá Ský

Verð fyrir félagsmenn Ský: 4.900 kr.
Verð fyrir utanfélagsmenn: 7.900 kr.
Verð fyrir aðila utan vinnumarkaðar: 3.000 kr.

Skráningarform
Hvetjum alla til að fylgjast með Ský og vera virk á Twitter, Facebook og LinkedIn

Bestu kveðjur,
Skýrslutæknifélag Íslands
www.sky.is sky@sky.is

Draumaland tölvurekstraraðila ráðuneytana

Rekstrarfélag stjórnarráðusbygginga tók vel á móti stjórnvísimeðlimum í morgun á áhugaverðum fundi um aðgangsstjórnun. Framkvæmdarstjóri félagsins Guðmundur H. Kjærnested kynnti fyrir okkur það verkefni sem þeir eru búnir að vinna að undanfarin 3 ár til að koma aðgangsmálum allra ráðuneytana í góðan farveg. Þau kölluðu lokamarkmiðið Draumalandið en í því fólst samtenging allra kerfa og aukið upplýsingaflæði. Til verksins er notað m.a. Tivoli kerfi frá IBM, Access Management (TAM) og Identity Management (TIM).
Hér má sjá myndir af fundinum: http://www.facebook.com/media/set/?set=a.332652700136020.78914.110576835676942&type=1

Verðandi viðskiptavinir þekkja ekkert annað en Facebook, Twitter og aðra samfélagsmiðla

Icelandair tók vel á móti faghópi um upplýsingaöryggi í morgun í NATURA. Hákon Ágústsson sérfræðingur Icelandair sagði frá því að nú væru að koma viðskiptavinir sem þekkja ekkert annað en Facbook, Twitter og aðra samféalgsmiðla. Mikilvægt er fyrir fyrirtæki að búa sér til leibeingar 1. hvernig
Hér má sjá myndir af fundinum:
http://www.facebook.com/media/set/?set=a.294942257240398.70104.110576835676942&type=3

Fannst þér efnið á síðunni hjálplegt?