Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Um viðburðinn

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efnir til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis. 

 

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.

 

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki.

 

Fleiri fréttir og pistlar

The Power of Inclusion - Fjölbreytnimenning innan fyrirtækja

Í tilefni af samstarfi Nasdaq við Hinsegin daga heldur Richard Taylor, VP of Employee Experience hjá Nasdaq opið klukkustundarlangt vefnámskeið þar sem hann veitir hagnýt ráð um hvernig koma megi á og hlúa að fjölbreytnimenningu innan fyrirtækja sem verndar og styður allt starfsfólk óháð kyni, kynvitund, kynhneigð, kynþætti, þjóðerni eða aðstöðumun af einhverjum toga. Námskeiðið hentar stjórnendum fyrirtækja en einnig öllum öðrum áhugasömum um málefnið.
 
English: This short workshop will help organizations with the business case for diversity and inclusion, the challenges that must be faced, and very practical tips on how to re-imagine your hiring, talent development, and retention practices for maximum effectiveness.
 
Speaker: Richard Taylor is the VP of Employee Experience at Nasdaq, where he’s intent on transforming people’s relationship with work. This is through re-imagining everything from company values & culture, leadership, recognition, diversity and careers, to the day-to-day work environment like work environment, processes, and tools. Prior to Nasdaq, Rich has held HR leadership roles at Palo Alto Networks, LinkedIn, Applied Materials, Reuters, and several startups.
 
Event is online and can be accessed via Facebook page of Stjórnvísi. 
 

Hlaðvarp - Framtíðir

Hægt er að nálgast þrjá hlaðvarpsþættir á Spotify:

  • Framtíðir#1: Sviðsmyndir og framtíðarfræði.
  • Framtíðir#2: Framtíðir í menntamálum.
  • Framtíðir#3: Vinnustaðir og venjur.

Leitið undir Framtíðir

 

 

 

Fyrsta stjórn nýstofnaðs faghóps um leiðtogafærni.

Nýr faghópur hefur verið stofnaður um leiðtogafærni og kom ný stjórn saman í hádeginu í dag. Stjórn faghópsins hvetur alla áhugasama til að skrá sig í faghópinn en það er gert með því að smella hér
Þar er jafnframt að finna allar upplýsingar um markmið og tilgang þessa nýja faghóps. 
Stjórn þessa nýja öfluga faghóps skipa:  Áslaug Ármannsdóttir formaður, Berglind Björk Hreinsdóttir Hafrannsóknarstofnun, Berglind Fanndal Káradóttir Rannís, Bragi Jónsson BYKO, Elín Ólafsdóttir Flugger, Elísabet Jónsdóttir Löður, Gestur K Pálmarson sérfræðingur, Hafdís Huld hjá Rata, Helga Elísa Þorkelsdóttir Medís, Hildur Jóna Bergþórsdóttir Landsvirkjun, Ída Jensdóttir Hafnarfjarðarbær, Lilja Gísladóttir Íslandspóstur, Linda Rós Reynisdóttir Þjóðskrá, Laufey Guðmundsdóttir Markaðsstofa Suðurlands, Sara Valný Sigurjónsdóttir Marel, Sigríður Þóra Valsdóttir Háskólinn á Bifröst, Unnur Magnúsdóttir Dalecarnegie og Þórhildur Þorkelsdóttir Veitur.

Samfélagsskýrsla Krónunnar útnefnd besta skýrsla ársins 2020

Festa, Stjórnvísi og Viðskiptaráð Íslands veittu fyrr í dag viðurkenningu fyrir Samfélagsskýrslu ársins. Þetta er í þriðja sinn sem viðurkenningin eru veitt. Myndir af hátíðinni má nálgast hér og hér er nánari frétt af viðburðinum ásamt frétt í Viðskiptablaðinu.

Í ár var það Krónan sem dómnefnd taldi eiga eftirtektarverðustu skýrsluna og hlaut viðurkenninguna 

Að þessu tilefni hélt Magnús Harðarson forstjóri Nasdaq Iceland erindi þar sem meðal annars kom fram að aukin áhersla á útgáfu samfélagsskýrslna eru svar við auknum kröfum fjárfesta og stjórnvalda.

Í rökstuðningi dómnefndar kemur fram að Krónan lítur á sig sem mikilvægan þátttakanda í samfélaginu og gerir sér grein fyrir því að í krafti stærðar sinnar geti fyrirtækið haft áhrif til góðs. Í því samhengi hefur umhverfisvernd, lýðheilsa og upplýst val verið skilgreind sem mikilvægustu málefnin.

„Við erum gríðarlega þakklát fyrir að hljóta viðurkenningu fyrir samfélagsskýrslu Krónunnar því við leggjum áherslu á að hafa áhrif til góðs og sýna samfélagslega ábyrgð í verki – alltaf" - Hjördís Elsa Ásgeirsdóttir markaðsstjóri Krónunnar.

Alls bárust 27 tilnefningar og voru það 19 skýrslur sem hlutu tilnefningu - skýrslurnar má allar nálgast hér: https://samfelagsabyrgd.is/samfelag…/samfelagsskyrslur-2019/

"Ár aðlögunar" er þema Stjórnvísi 2020-2021.

Nýlega hélt nýkjörin stjórn Stjórnvísi sinn fyrsta vinnufund.  Stjórnina skipa þau Aðalheiður Ósk Guðmundsdóttir Advania formaður, Ásdís Erla Jónsdóttir Háskólinn í Reykjavík, Guðný Halla Hauksdóttir OR, Ingi Björn Sigurðsson sjálfstætt starfandi, Jón Gunnar Borgþórsson stjórnunarráðgjafi, Ósk Heiða Sveinsdóttir Pósturinn, Sigríður Harðardóttir Strætó, Stefán Hrafn Hagalín Landspítalinn og Steinunn Ketilsdóttir Intellecta. 

Aðalheiður Ósk Guðmundsdóttir formaður Stjórnvísi fór á fundinum yfir dagskrá og markmið dagsins.  Þá kynnti Aðalheiður  framtíðarsýn félagsins, gildi, lög og siðareglur. Mikilvægt er að gæta að fjölbreytni í stjórn Stjórnvísi eins og ný stjórn endurspeglar.  Stjórn sammæltist um að þema ársins yrði „Ár aðlögunar“.  Aðalheiður kynnti hugmynd að samskiptasáttmála stjórnar 2020-2021 þar sem m.a. var sammælst um að 1.mæta undirbúin 2.tímalega 3.taka ábyrgð á verkefnum 4.hafa uppbyggilega gagnrýni 5. samskipti væru opin og eðlileg og 6.vera á staðnum.

Allar fundargerðir stjórnar Stjórnvísi má sjá á vef Stjórnvísi

Fannst þér efnið á síðunni hjálplegt?