Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Um viðburðinn

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efnir til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis. 

 

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.

 

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki.

 

Fleiri fréttir og pistlar

Faghópur um sjálfbæra þróun

Aðalfundur faghóps um samfélagslega ábyrgð var haldinn í byrjun maí. Í stjórnina voru kjörin Eiríkur Hjálmarsson, Orkuveitunni, Eva Magnúsdóttir, Podium, Freyr Eyjólfsson, Sorpu, Halldóra Ingimarsdóttir, Sjóvá, Harpa Júlíusdóttir, Festu, Rósbjörg Jónsdóttir, SPI á Íslandi/Orkuklasinn, Viktoría Valdimarsdóttir, Ábyrgum lausnum, Þóra Rut Jónsdóttir, Advania og Þórdís Sveinsdóttir, Lánasjóði sveitarfélaga. Á fundinum var jafnframt ákveðið að leggja til nafnabreytingu. Á fyrsta stjórnarfundi nýrrar stjórnar í júní var  samþykkt að breyta nafninu og heitir hópurinn hér eftir faghópur um sjálfbæra þróun. Eva Magnúsdóttir mun áfram vera formaður.

Fyrsta verkefni nýrrar stjórnar verður að gera könnun meðal félagsmanna á áhugasviðum þeirra og verða niðurstöður hennar notaðar við mótun dagskrár næsta vetrar. Félagsmenn eru hvattir til þess að láta til sín taka og svara könnunni og hafa þannig áhrif á dagskrána. 

Fyrsta stjórn nýstofnaðs faghóps um almannatengsl og samskiptastjórnun

Nýr faghópur hefur verið stofnaður um almannatengsl og samskiptastjórnun og kom ný stjórn saman í hádeginu í dag. Erla Björg Eyjólfsdóttir stofnandi faghóps var kosin formaður með einróma samþykki og stuðningi fundarins.

Stjórn faghópsins hvetur alla áhugasama til að skrá sig í faghópinn en það er gert með því að smella hér.  Þar er jafnframt að finna upplýsingar um markmið og tilgang þessa nýja faghóps. Stjórnin stefnir að því að halda sinn fyrsta fund í haust og kynna til leiks það sem er framundan á komandi starfsári.  

 

Stjórn þessa nýja öfluga faghóps skipa: Erla Björg Eyjólfsdóttir formaður, Andrea Guðmundsdóttir Háskólinn á Bifröst, Ásta Sigrún Magnúsdóttir Menningar- og viðskiptaráðuneytið, Eva Bergþóra Guðbergsdóttir Reykjavíkurborg, Guðmundur Heiðar Helgason Strætó BS, Gunnar Hörður Garðarsson samskiptastjóri Ríkislögreglustjóra, Gunnar Kristinn Sigurðsson KPMG, Gunnlaugur Bragi Björnsson Viðskiptaráð Íslands, Heiða Ingimarsdóttir Múlaþing og Ingvar Örn Ingvarsson Cohn & Wolfe á Íslandi.

 

 

 

 

Sjálfbærniskýrslur Lífeyrissjóðs Verzlunarmanna og Play valdar skýrslur ársins

 Viðurkenningar fyrir sjálfbærniskýrslur ársins voru veittar fyrr í dag við hátíðlega athöfn á Nauthóli.  Að þessu sinni voru flugfélag og lífeyrissjóður talin hafa gefið út eftirtektarverðustu skýrslur ársins. 

Festa - miðstöð um sjálfbærni, Stjórnvísi og Viðskiptaráð Íslands veittu fyrr í dag viðurkenningar fyrir sjálfbærniskýrslu ársins. Þetta er í fimmta sinn sem slíkar viðurkenningar eru veittar og að vanda var hátíðleg stemning þegar fulltrúar útgefenda skýrslanna veittu viðurkenningunum móttöku. Viðurkenningin er veitt fyrirtækjum og stofnunum sem birta upplýsingar um sjálfbærni sína og samfélagsábyrgð með markvissum og vönduðum hætti.

Að þessu sinni voru það Lífeyrissjóður Verzlunarmanna og flugfélagið Play sem talin voru hafa gefið út eftirtektarverðustu sjálfbærniskýrslur ársins 2022, fyrir rekstrarárið 2021. Skýrslur Lífeyrissjóðs Verzlunarmanna og Fly Play hf. voru valdar úr metfjölda tilnefninga en að þessu sinni bárust 48 tilnefningar þar sem skýrslur frá 33 aðilum voru tilnefndar, sem er tæplega 40% fleiri en hlutu tilnefningu árið 2021.

 

Hnitmiðuð og einlæg framsetning mikilvægra þátta

Starfsemi viðurkenningahafa ársins er afar ólík, þó miklar kröfur og strangt regluverk gildi um starfsemi þeirra beggja. Annars vegar er um að ræða lífeyrissjóð, með yfir 60 ára sögu, sem hefur það hlutverk að tryggja sjóðfélögum sínum lífeyri og hins vegar ungt lággjaldaflugfélag sem leggur sig fram um að bjóða lágt verð til skemmtilegra áfangastaða.

Í rökstuðningi dómnefndar fyrir vali ársins segir að sjálfbærniskýrsla Lífeyrissjóðs verzlunarmanna sé gott dæmi um upplýsingagjöf sjálfbærniþátta eins og best verður á kosið en í skýrslunni er farið yfir markmið, árangur og aðgerðir sjóðsins.

„Upplýsingarnar eru mælanlegar, samanburðarhæfar og viðeigandi fyrir starfsemi sjóðsins. Framsetning er skiljanleg og aðalatriði dregin fram á einlægan máta. Lífeyrissjóðir hafa gríðarleg áhrif í íslensku atvinnulífi, og því mikilvægt að aðrir lífeyrissjóðir taki sér upplýsingagjöf Lífeyrissjóðs verzlunarmanna til fyrirmyndar.“

Play er ungt félag og því að stíga sín fyrstu skref í skýrlsugerð. Til þessa var horft við mat skýrslunnar en í rökstuðningi dómnefndar segir að skýrslan sýni skilmerkilega að fyrsta sjálfbærniskýrsla fyrirtækja þurfi hvorki að vera innihaldslítil né gefa sérstaklega til kynna að fyrirtæki séu að stíga sín fyrstu skref í slíkri upplýsingagjöf.

„Sjálfbærniskýrsla Play er hnitmiðuð, beinir ljósum að mikilvægum þáttum fyrir fyrirtækið, í þessu tilviki losun gróðurhúsalofttegunda. Í skýrslunni er einnig farið yfir hvernig fyrirtækið ætlar að beita sér í loftslagsmálum, sem er jákvætt að sjá fyrir fyrirtæki í jafn mengandi iðnaði og flugiðnaðurinn er.“

 

Tenglar:

 

Dómnefnd og nýskipað fagráð

Í dómnefnd ársins sátu þau Reynir Smári Atlason, forstöðumaður sjálfbærnimála hjá Creditinfo sem var formaður fómnefndar, Jóhanna Hlín Auðunsdóttir, forstöðumaður loftslags og umhverfis hjá Landsvirkjun og Stefán Kári Sveinbjörnsson, verkefnastjóri í stefnumótun og sjálfbærni hjá Isavia.

Reynir Smári Atlason, formaður dómnefndar, segir að mörg íslensk fyrirtæki eigi hrós skilið fyrir vandaða upplýsingagjöf:

„Upplýsingagjöf sjálfbærniþátta margra Íslenskra fyrirtækja er nú orðin að sömu gæðum og við sjáum hjá þeim sem standa sig best erlendis,“ sagði Reynir Atli Smárason, formaður dómnefndar og útskýrir að þessi fyrirtæki séu betur undirbúin fyrir komandi regluverk og ákall fjárfesta en þau fyrirtæki sem ekki hafa lagt áherslu á slíka upplýsingagjöf.“

Markmið Festu, Stjórnvísis og Viðskiptaráðs með viðurkenningunni er meðal annars ýta undir notkun mælanlegra markmið og vandaðrar upplýsingagjafar á sviði sjálfbærni. Til að sinna því, samhliða stórauknum fjölda útgefinna sjálfbærniskýrsla, var að þessu sinni sett á laggirnar sérstakt fagráð sem lagði mat á allar þær skýrslur sem hlutu tilnefningu og undirbjó störf dómnefndar.

Fagráðið var skipað þremur nemendum við Háskólann í Reykjavík sem hafa lokið sérstöku námskeiði með áherslu á sjálfbæran rekstur og upplýsingagjöf, þeim Nikólínu Dís Kristjánsdóttur, Ísak Grant og Söru Júlíu Baldvinsdóttur.

 

Hvatning til áframhaldandi góðra verka

Það var Guðmundur Þ. Þórhallsson, framkvæmdastjóri, sem veitti viðurkenningunni móttöku fyrir hönd Lífeyrissjóðs Verzlunarmanna. Guðmundur sagðist taka við viðurkenningunni með stolti og hún væri stjórn, stjórnendum og öllu starfsfólki sjóðsins mikil og góð hvatning til að halda áfram á sömu braut:

„Það krefst góðrar samvinnu og úthalds að breyta starfsháttum og viðteknum venjum. Við gerð skýrslunnar var leitað eftir viðhorfum sjóðfélaga varðandi sjálfbærni í rekstri sjóðsins og kom þar fram rík áhersla þeirra á mikilvægi ábyrgra fjárfestinga og góðra stjórnarhátta.  Með sjálfbærniskýrslu LV kynnir sjóðurinn fyrir sjóðfélögum og öðrum haghöfum stefnumótun, markmið og árangur í sjálfbærnivegferð lífeyrissjóðsins. Opið og upplýst samtal við þá sem hagsmuna hafa að gæta skiptir miklu máli fyrir öflugan rekstur og aðlögun sjóðsins að síbreytilegu rekstrarumhverfi.“

Fyrir hönd Fly Play hf. var það Birgir Jónsson, forstjóri, sem veitti viðurkenningunni móttöku. Birgir sagði það að hljóta viðurkenningu sem þessa á fyrstu metrum flugfélagsins væri fyrirtækinu mikill heiður en ekki síður hvatning:

„Frá fyrsta degi hefur PLAY lagt mikla áherslu á sjálfbærni. Það skiptir okkur máli að sjálfbærni sé hluti af viðskiptamódeli félagsins og þar með hluti af allri ákvarðanatöku. Við höfum nú þegar byggt upp sterkan grunn og sett okkur háleit markmið í þessum efnum. Næstu skref eru að innleiða og fylgja eftir þeim markmiðum og lykilmælikvörðum sem við höfum sett okkur. Við förum tvíelfd inn í þá vegferð eftir að hafa hlotið þessa ánægjulegu viðurkenningu.“ 

Mynd

Á mynd, frá vinstri: Svanhildur Hólm Valsdóttir, framkvæmdastjóri Viðskiptaráðs, Gunnhildur Arnardóttir, framkvæmdastjóri Stjórnvísi, Gunnlaugur Bragi Björnsson, samskiptastjóri Viðskiptaráðs, Guðmundur Þ. Þórhallsson, framkvæmdastjóri Lífeyrissjóðs Verzlunarmanna, Birgir Jónsson, forstjóri Play, Harpa Júlíusdóttir, verkefnastjóri Festu, og Hrund Gunnsteinsdóttir, framkvæmdastjóri Festu.

Næsti viðburður 7. júní kl 13: áhrif fjarvinnunnar á eftirspurn eftir skrifstofuhúsnæði - lokaverkefni MBA

Næsti viðburður okkar verður haldinn þriðjudag 7. júní en þá kynna Sveinbjörg Birna Sveinbjörnsdóttir, framkvæmdastjóri og lögmaður hjá Lagastoð, og Unnur Ágústsdóttir, stjórnunarráðgjafi hjá Eflu, lokaverkefnið í MBA námi þeirra en stjórn faghóps okkar tók þátt í könnun sem er hluti af rannsókninni. Þær koma til með að verja verkefnið um viku eftir þennan viðburð, við fáum þar með smá forskot á þekkingu um þessa áhugaverða þróun fjarvinnunnar og áhrif hennar á skrifstofuhúsnæði.

Endilega mætið sem flest og skráið ykkur á viðburðarsíðunni.

Diversify Nordics Summit

The Diversify Nordic Summit is the first-ever conference on Diversity, Equity, Inclusion and Belonging that brings together stakeholders from Denmark, Finland, Iceland, Norway and Sweden.

Now more than ever, there’s a need to create inclusive and human-centric hybrid workplace environments to recruit and build productive and efficient teams, and ensure a collective Nordic society that is inclusive of all its inhabitants across social systems and structures.

The DNS is a meeting place for practitioners in the Nordics to share their work and discuss themes across diversity parameters including but not limited to gender, ethnicity, religion, neurodiversity, race, sexual orientation, identity, disability, age and other topics relevant to the priorities that intersect with the workplace and society at large. Engage in this full-day event that addresses current challenges in the Nordics, and gain insight into practical, impactful and measurable solutions.

Fannst þér efnið á síðunni hjálplegt?