Informationssäkerhet enligt ISO/IEC 27000Operativ informationssäkerhet

Upprätthåll informationssäkerheten

Under dag 1 och 2 arbetar deltagarna med grupparbete fram till kl. 19.00.

 

UX & säkerhet

Många incidenter beror i grunden på misstag. En vanlig förklaring är att användare är slarviga. UX (User Experience) handlar om hur vi kan bygga tjänster eller system så att användaren känner sig trygg och fattar kloka beslut. "Lätt att göra rätt" handlar inte bara om att regler och blanketter ska vara effektiva. Minst lika viktigt är Safe UX - att vi arbetar systematiskt med design ur ett säkerhetsperspektiv.

 

Säkerhetsarkitektur

Att bygga säkerhet är ofta snarare ett hantverk än ingenjörskonst. I det här avsnittet föreslår vi hur en gemensam begreppsapparat med kontroller och mekanismer kan möjliggöra en dubbelriktad spårbarhet mellan verksamhetens behov/risk och implementerade komponenter. Vi går också igenom sju grundläggande säkerhetsprinciper som organisationer bör förhålla sig till.

 

Agilitet & säkerhet

Alltfler organisationer väljer att låta sig inspireras av agila metoder. Är det bra eller dåliga nyheter ur ett säkerhetsperspektiv? Hur kan vi på bästa sätt dra nytta av styrkan med agila team och undvika ett par vanliga fallgropar?

 

Kontinuitet (Business Continuity)

Vissa saker måste bara fungera, vad som än händer. Är det ens möjligt? Hur känner man igen en kontinuitetsrisk och hur hanterar man den? I det här avsnittet behandlar vi tre grundläggande förmågor som varje organisation behöver ha inför oväntade händelser som slår mot tillgängligheten: reagera, anpassa och återgå.

 

Incidenthantering

Hur känner man igen en säkerhetsincident och hur vet man när den är avslutad? Detta avsnitt tar upp hur vi kan förbereda vår organisation för att upptäcka, utreda och återställa efter incidenter. Vi tittar på ett par uppmärksammade exempel och diskuterar vad vi kan lära av dem.

 

Compliance och revision

Själva processen att göra en säkerhetsrevision skiljer sig inte från ekonomisk revision, man granskar hur organisationen uppfyller ett regelverk. Vilka regelverk kan det handla om i fallet informationssäkerhet? Detta avsnitt går igenom metoder för att genomföra en revision. På vems uppdrag görs säkerhetsrevisioner och vem är det som genomför dem?

 

Patch Management

Arbetet med patch management tar en stor del av IT-avdelningens tid - att bevaka, testa och installera uppdateringar kräver kunskap, planering och tid. Och man ska hinna med att installera patcharna innan det finns en attack som utnyttjar en sårbarhet. Detta avsnitt beskriver en process för patchhantering.

 

Säker systemutveckling

Det finns många källor till säkerhetsproblem i program och system - dålig design, bristande testrutiner, dålig dokumentation, slarv vid installation osv. Detta avsnitt ger riktlinjer för att förbättra säkerheten genom hela processen för systemutveckling. Observera att kunskaper inom detta område inte bara är nödvändiga för utvecklingsföretag eller -avdelningar, utan även för den som "bara" är beställare. Vi utgår från en mognadsmodell som organisationer kan mäta sig emot och välja vilken nivå man strävar efter.

 

Spårbarhet och logghantering

System idag genererar mycket data om vad som händer. Men vilken information är det man egentligen behöver, vem ska använda den till vad (och när)? I detta avsnitt tar vi upp vad man kan (och får) göra med insamlad data. Vad vill man logga och vad kan man gallra? Och vem bestämmer?

 

ITIL och säkerhet

ITIL är idag ett populärt (och bra!) ramverk för att bygga upp en "IT Service Organisation". Vad har ITIL med säkerhet att göra? Vilka delar är mest centrala?

 

Säkerhetsmedvetande & -beteende

Hur mycket processer och teknik man än använder så kommer man inte få (tillräcklig) säkerhet i system eller organisation om inte människor förstår och engagerar sig. Detta avsnitt tar upp hur vi bygger motivation och ägarskap – en säkerhetskultur. Är människan den "svagaste länken"?

 

Fysisk säkerhet

Informationssäkerhet handlar också om traditionella medel som lås, dörrar, brandsläckare, reservkraft, med mera. Detta avsnitt tar upp ett antal mekanismer för att uppfylla kraven på konfidentialitet och tillgänglighet. Hur säkrar vi vår fysiska miljö och hur ställer vi krav på andra som hanterar vår information?

 

Krishantering i praktiken

Om en incident är så omfattande, komplicerad eller allvarlig att den inte kan hanteras av den vanliga organisationen så kallar vi den för en kris. Vi tar upp några exempel på större kriser och övar oss i att hantera en besvärlig, oförutsedd situation.

 

Säkerhetskrav och outsourcing

Kvalitet byggs med krav. Varför skulle säkerhet vara annorlunda? Men varifrån kommer kraven, hur kan de se ut, till vem ställs de och hur hänger detta ihop med risk? Att man outsourcar till ett annat företag gör inte att man slipper ansvaret för säkerheten för organisationens informationshantering. Ansvarsfördelningen mellan de två parterna är viktig och i detta avsnitt pekar vi ut några för säkerheten centrala aspekter i en outsourcing-affär. Bra krav möjliggör outsourcing!

 

Att mäta informationssäkerhet

Vilken nivå av säkerhet har vi uppnått och vilken behöver vi? Vad får säkerheten kosta? I det här avsnittet behandlar vi hur man kan börja mäta informationssäkerhet. Enkelhet är ett ledord. Introducera inte ett mätetal innan ni bestämt vad det ska användas till och hur det kan implementeras effektivt.


Kontakta mig!

Vill du veta mer eller har du frågor om den här utbildningen? Fyll i ditt telefonnummer eller e-post så kontaktar vi dig inom kort!

Jag samtycker till behandling av mina personuppgifter i enlighet med vår personuppgiftspolicy.

Tack för visat intresse

Vi kommer att kontakta dig så fort som möjligt!