Hvað er upplýsingaöryggi

Click here to join the meeting

Umhverfi fyrirtækja og stofnana er sífellt að breytast, með nýjum löggjöfum hafa komið auknar kröfur á fyrirtæki og stofnanir að huga að upplýsingaöryggi með því að innleiða stjórnkerfi upplýsingaöryggis sem felur m.a. í sér stefnu, áhættumat og öryggisráðstafanir. En með þessum auknu áherslum er vert að staldra við og velta fyrir sér hvað er í raun og veru upplýsingaöryggi og hvað felst í því? 

Sérfræðingar með mismunandi reynslu í upplýsingöryggi munu fara yfir hvað upplýsingaöryggi er og hvað felist í því. 

Lára Herborg Ólafsdóttir er lögmaður og meðeigandi á LEX lögmannsstofu. Hún lauk LL.M. gráðu í tæknirétti frá UC Berkeley í Bandaríkjunum og starfaði um skeið á tækni- og hugverkadeild alþjóðlegrar lögmannsstofu í Lúxemborg. Lára hefur sinnt margvíslegum verkefnum á sviði net- og upplýsingaöryggis, þ.m.t. við gerð viðbragðsáætlana og eftirfylgni. Þá sinnir Lára stundakennslu við lagadeild Háskólans í Reykjavík í tölvurétti og hefur haldið fjölmarga fyrirlestra bæði hér á landi sem og erlendis á sviði tækni- og hugverkaréttar. 

Guðrún Valdís Jónsdóttir starfar sem öryggisráðgjafi hjá Syndis. Hún er útskrifaðist sem tölvunarfræðingur frá Princeton Univerity árið 2018 og hefur unnið við netöryggi síðan. Áður en hún hóf störf hjá Syndis vann hún sem öryggisráðgjafi Hjá Aon í New York.

Staðsetning viðburðar

Tengdir viðburðir

Stafræn vegferð - er hægt að hlaupa hratt með öruggum hætti?

Fjölmörg fyrirtæki hafa lagt af stað í stafræna vegferð með það markmið að einfalda og besta ferla, auka skilvirkni og bæta þjónustu við viðskiptavini sína. En hvernig er hugað að upplýsingaöryggi þegar markmið slíkra vegferða er oft að reyna að hlaupa sem hraðast? Mikið af þeim ferlum sem verið er að bæta snúast m.a. um trúnaðarupplýsingar starfsfólks eða viðskiptavina og þess vegna er sérstaklega mikilvægt að vel sé staðið að málum þegar þegar slíkar breytingar eru gerðar á tengdum ferlum. 

Á þessum viðburði mun faghópur um upplýsingaöryggi leitast við að skoða hvernig fyrirtæki og stofnanir sem eru framarlega og hafa verið sýnileg í stafrænni vegferð sinni tryggja öryggi upplýsinga. 

 

Upplýsingagjöf til stjórnenda - ábyrgð stjórnenda á upplýsingaöryggi

Frekari upplýsingar koma síðar!

Eldri viðburðir

CERT-IS og InfraCERT-NÝ DAGSETNING

Tengill á fund

Fjallað verður um netöryggissveit CERT-IS sem starfrækt er af Fjarskiptastofu, þá verður einnig sagt frá nýjum samstarfssamningi sem aðildarfyrirtæki Samorku var að ganga frá við InfraCERT sem er sérhæft viðbragðsteymi fyrir orkufyrirtæki. 

Guðmundur Arnar Sigmundsson, forstöðumaður CERT-IS netöryggissveitar Fjarskiptastofu. Guðmundur er að leiða netöryggissveitina í gegnum mikinn uppbyggingarfasa en CERT-IS  stuðlar að bættu öryggi þjónustuhóps síns og íslenskrar netlögsögu með því að leitast við að fyrirbyggja og draga úr skaða vegna öryggisatvika og áhættu hjá þjónustuhópi sínum og í íslenskri netlögsögu. Þá sinnir CERT-IS einnig viðbrögðum við öryggisatvikum, veikleikum og annarri áhættu. Guðmundur mun fara yfir núverandi stöðu CERT-IS, stærð, markmið og hlutverk sveitarinnar og mengi stofnana og fyrirtækja sem það sinnir netöryggisvörnum fyrir. 

Halldór Halldórsson, öryggisstjóri hjá Landsnet, hlutverk Landsnets er að flytja raforku frá raforkuframleiðendum til dreifiveitna og stórnotenda um allt land. Halldór er einnig formaður neyðarsamstarfs  raforkukerfisins NSR, formaður netöryggisráðs Samorku og fulltrúi Íslands í neyðarsamstarfi raforkukerfa noðurlanda NordBER. 

Aðildarfyrirtæki Samorku, samtök orku- og veitufyrirtækja á Íslandi hafa undirritað samninga við InfraCERT/Kraft-CERT, en hjá InfraCERT er starfandi viðbragðsteymi með sérþekkingu á kerfum og búnaði sem orkufyrirtæki nota. Halldór mun segja okkur frá því hvað felst í þessum samningi og samstarfi. 

Olgeir Helgason, upplýsingaöryggisstjóri og sérfræðingur í stjórnunarkerfum Orkuveitu Reykjavíkur (OR). Orkuveita Reykjavíkur og dótturfélögin Veitur, Orka náttúrunnar, Ljósleiðarinn og Carbfix. hafa innleitt og fengið vottuð eða viðurkennd átta stjórnunarkerfi. Olgeir segir í örstuttu máli frá því hvernig OR sér fyrir sér að nýta sér samninginn og samstarfið við InfraCERT/Kraft-CERT. 

 

Öryggi í aðfangakeðjunni

Click here to join the meeting

Aukin krafa er á fyrirtæki og stofnanir að ganga úr skugga um að birgjar eða þjónustuaðilar sem notaðir eru uppfylli viðeigandi kröfur um öryggi. Hér verður leitast eftir að skoða hvaða leiðir eru færar við stýringu á birgjum og hvernig hægt er að sýna fram á að þeir uppfylli viðeigandi öryggiskröfur. Við höfum fengið til liðs við okkar þrjá sérfræðinga; 

 

Aldís Geirdal Sverrisdóttir, teymisstjóri lögfræðiþjónustu Þjónustu- og nýsköpunarsviðs Reykjavíkurborgar. Lögfræðiþjónustan sinnir helst verkefnum á sviði opinberra innkaupa, persónuverndar og  stafrænna verkefna. Aldís mun skoða hvaða kröfur er hægt að gera í upphafi ferils þegar unnið er að útboðum og samningum.

 

Úlfar Andri Jónasson er verkefnastjóri í netöryggisþjónustu Deloitte á Íslandi. Hann er með ýmsar vottanir tengdar upplýsingaöryggi, þar á meðal Certified Information Systems Security Professional (CISSP) og Certified Information Systems Auditor (CISA). Úlfar hefur stjórnað og framkvæmt fjölda úttekta á upplýsingaöryggismálum viðskiptavina Deloitte, þar á meðal veikleikagreiningar, innbrotsprófanir og kóðarýni. Þá hefur Úlfar aðstoðað fyrirtæki við hönnun og innleiðingu stýringa tengdu netöryggi og innra eftirliti, auk þess að hafa víðtæka reynslu í kerfisstjórnun og ýmsar vottanir frá Microsoft í kerfisrekstri. Einnig hefur Úlfar tekið að sér hlutverk upplýsingaöryggisstjóra í útvistun. Úlfar er meðlimur í evrópsku viðbragðsteymi Deloitte vegna netöryggisógna og innbrota í tölvukerfi.

Úlfar mun fara yfir landslagið hvað varðar árásir á þjónustuaðila og hvað sé hægt að gera. Aldís skoðar hvaða kröfur er hægt að gera í upphafi ferils þegar unnið er að útboðum og samningum.

 

Sigurður Már Eggertsson, persónuverndarfulltrúi byggðasamlagana sveitarfélaganna á höfuðborgarsvæðinu (SHS, Strætó og SORPA). Hann er lögfræðingur að mennt og hefur komið að innleiðingu persónuverndarlaga hjá hinum ýmsu stofnunum og sveitarfélögum. Sigurður mun fara yfir mögulegar leiðir til þess að rýna þjónustu þjónustuaðila og þar með tryggja virkt eftirlit með því að þeir viðhaldi öryggi upplýsinga í samræmi við öryggiskröfur og ákvæði samninga. 

 

 

Aðalfundur faghóps um upplýsingaöryggi (fjarfundur)

Tengill á aðalfund

Stjórn faghóps um upplýsingaöryggi boðar hér til aðalfundar fyrir starfsárið 2021-2022.  Farið verður yfir ýmis málefni er varðar faghópinn ásamt því að kjósa nýja stjórn og formann. 

Dagskrá fundar:

  • Kynning á faghópnum    
  • Samantekt á starfi vetrarins
  • Kosning formanns og stjórnar 
  • Næsta starfsár faghópsins
  • Önnur mál 

Þeir sem hafa áhuga á að taka að sér formennsku stjórnar eða fara í stjórn geta haft samband við Önnu Kristínu Kristinsdóttur, formann stjórnar faghópsins, í gegnum netfang annakk86@gmail.com eða í síma 692-5252.

Viðbragðsáætlanir

Click here to join the meeting
Undanfarin misseri hefur reynt á margar viðbragðsáætlanir, hvort sem það er vegna alheimsfaraldurs eða ofsaveðurs. Góð áætlun getur verið afgerandi þegar kemur að því að bregðast við þannig að vel sé og mikilvægt að vel sé staðið að verki.

 
Þau Elva Tryggvadóttir (Isavia), Bæring Árni Logason (Vodafone) og Guðmundur Stefán Björnsson (Sensa) ætla að fjalla um viðbragðsáætlanir frá nokkrum sjónarhornum. Þau munu fjalla um hvernig staðið er að uppbyggingu slíkra áætlana þannig að tilgangi þeirra séð náð, hvenær eru slíkar áætlanir virkjaðar og eftir hvaða leiðum er starfað í þeim aðstæðum. Þau munu einnig skoða hvernig hefur gengið að fara eftir áætlunum og hvernig áætlanir eru lagfærðar eftir að neyð hefur verið aflétt.
 
Einnig munu þau skoða sérstaklega samband viðbragðsáætlana og þjónustuaðila, hvernig er ábyrgð skipt og hver er sýn þjónustuaðilans í þessum málum. 
 
Um fyrirlesara:

Bæring Logason Gæða- og öryggisstjóri Vodafone mun fara yfir hvernig utanumhaldi viðbragðsáætlana er háttað hjá félaginu. Vodafone er fjarskiptafyrirtæki sem margir reiða sig á og skiptir því miklu máli að viðbragðsáætlanir félagsins séu við hæfi. Bæring er með meistaragráðu í gæðastjórnun frá Florida Tech og einnig með CBCI vottun frá Business Continuity Institute í Bretlandi ásamt því að vera ISO 27001 Lead auditor.

Elva Tryggvadóttir er verkefnastjóri í neyðarviðbúnaði hjá Isavia. Isavia sér um rekstur flugvalla á landinu auk flugleiðsögu á flugvöllum og flugstjórnarsvæðinu. Fyrirtækið telst til mikilvægra innviða landsins og þurfa viðbragðsáætlanir að vera í takt við eðli starfseminnar. Elva situr í Neyðarstjórn Isavia og mun segja okkur frá hvernig þau vinna sínar viðbragðsáætlanir og tengingu þeirra við aðra hagsmunaaðila. Elva er viðskiptafræðingur með meistaragráðu í mannauðsstjórnun. Hún hefur unnið í mannauðsmálum til margra ára þar til hún færði sig yfir í neyðarviðbúnað Isavia árið 2018. Elva er einnig aðgerðastjórnandi hjá Slysavarnafélaginu Landsbjörg og hefur komið að ýmsum störfum tengt neyðarviðbúnaði undanfarna áratugi.

Guðmundur Stefán Björnsson er yfirmaður upplýsingaöryggis og innri upplýsingtækni hjá Sensa og framkvæmdastjórn Sensa. Tæknifræðingur að mennt. Hann hefur verið í þessu hlutverki frá því 2015 eða þegar UT svið Símans færðist yfir til Sensa í sameinuðu fyrirtæki Sensa, UT Símans og Basis. Starfaði í 18 ár hjá Símanum, lengstum í stjórnun sem framkvæmdastjóri og forstöðumaður í sölu, vörustýringu og verkefnastjórn og kom víða við í störfum hjá Símanum.

Áhættustjórnun- aðferðir, umgjörð og ljónin í veginum

Microsoft Teams meeting

Click here to join the meeting

______________________

Örar breytingar í umhverfi fyrirtækja fela í sér aukna áhættu í rekstri, því er mikilvægt að fyrirtæki séu meðvituð um þá hættu sem ógnað getur starfsemi þeirra. Þá þurfa fyrirtæki einnig að hlíta við kröfum laga og reglugerða hvað varðar áhættustjórnun. Fyrirtæki þurfa að greina, meta, stýra, hafa eftirlit með og endurskoða áhættu í starfsemi sinni en til þess þarf að vera til staðar skýrt og skilgreint ferli.

Fyrirtækin CreditInfo og Orkuveita Reykjavíkur munu miðla reynslu sinni m.a. hvaða aðferðir og umgjörð þau hafa skapað sér við áhættustjórnun ásamt því hvaða ljón hafa orðið á vegi þeirra í vegferðinni.

Sigríður Laufey Jónsdóttir, persónuverndarfulltrúi og forstöðumaður Þjónustu- og lögfræðingasviðs Creditinfo. Laufey er lögfræðingur frá Háskóla Íslands með héraðsdómslögmannsréttindi. Áður starfaði hún sem sviðsstjóri hjá Umboðsmanni skuldara, sem sviðsstjóri hjá Motus og Lögheimtunni og sem forstöðumaður í Búnaðarbanka Íslands. Laufey hefur starfað hjá Creditinfo frá árinu 2015 og tekið þátt í að innleiða nýju persónuverndarlöggjöfina í starfsemi félagsins.

Ábyrg meðferð og vinnsla upplýsinga er hornsteinninn í starfsemi Creditinfo. Félagið hefur innleitt og fengið vottaðan ISO 27001 staðalinn um stjórnun upplýsingaöryggis. Persónuverndarfulltrúi og upplýsingaöryggisstjóri hafa unnið náið saman að gerð áhættumats. Hafin er vinna við að samþætta og samræma gerð áhættumats á upplýsingaöryggi og persónuvernd. Farið verður yfir það af hverju Creditifno telur slíkt vænlegt og hvaða skref hafa verið tekin í þá átt.  

 

Olgeir Helgason, sérfræðingur í stjórnunarkerfum og upplýsingaöryggisstjóri Orkuveitu Reykjavíkur (OR). Olgeir er með  BS í rafmagnstækifræði frá Odense Teknikum (nú SDU í Danmörku). Lauk viðskipta- og rekstrarfræði frá HÍ. Hóf störf árið 1984 hjá Rafmagnsveitu Reykjavíkur sem síðar varð að Orkuveitu Reykjavíkur og hefur gegnt 3 mismunandi störfum innan samstæðunnar á öllum þessum árum.

Orkuveita Reykjavíkur og dótturfélögin Veitur, Orka náttúrunnar, Gagnaveita Reykjavíkur og Carbfix hafa innleitt og fengið vottuð eða viðurkennd átta stjórnunarkerfi. Flest kerfanna eru lögbundin stjórnunarkerfi sem byggja á vottuðum stjórnunarkerfum og er áhættu grunduð hugsun komin inn í öll stöðluðu stjórnunarkerfin. OR reyndi að meðhöndla og skrá áhættur allra stjórnunarkerfanna eftir einu og sama kerfinu og vinna með áhættur á sama hátt hvort sem um var að ræða áhættur vegna gerlamengunar í köldu vatni, nýtingaráætlunar gufu á Hellisheiði eða bilunar í afritunarþjarki fyrir UT -  Sjáum hvernig fór!

Fannst þér efnið á síðunni hjálplegt?