Kursinnehåll
Informationssäkerhet
0/26
Introduktion till informationssäkerhet
Introduktion till informationssäkerhet
Vanliga cyberhot
Vanliga cyberhot
Lösenordssäkerhet
Lösenordssäkerhet
Säker surfning och Molntjänster
Säker surfning och Molntjänster
E-postsäkerhet
E-postsäkerhet
Social Engineering
Social Engineering
Säker USB-användning
Säker USB-användning
Fysisk säkerhetsmedvetenhet
Fysisk säkerhetsmedvetenhet
Informationssäkerhet för distansarbete
Informationssäkerhet för distansarbete
Dataskydd
Dataskydd
Grunderna i GDPR
Grunderna i GDPR
Implementera riklinjer för att minska risker
Implementera riklinjer för att minska risker
IT-incidenthantering och rapporteringsprocedurer
IT-incidenthantering och rapporteringsprocedurer
Informationssäkerhet

Mål

 

  • Introduktion till riktlinjevikt för att mildra informationssäkerhetsrisker
  • Förklaring av viktiga riktlinjer: acceptabel användning, obligatorisk semester och annat
  • Förstå riktlinjeroller för att förbättra säkerheten och minska sårbarheter

 

Lektion

 

Välkommen till den tolfte lektionen i Kunskapsförbundets informationssäkerhetsserie som handlar om riktlinjer. Vi kommer att titta närmare på vikten av säkerhetsriktlinjer inom organisationer och hur de spelar en avgörande roll för att hantera informationssäkerhetsrisker.

Säkerhetsriktlinjer är skrivna dokument som lägger upp en säkerhetsplan inom ett företag. De är en av många administrativa kontroller som används för att minska och hantera risker. När de skapas tillräckligt tidigt hjälper de till att säkerställa att personal implementerar säkerhet under hela livscykeln för olika system i företaget. När anställda följer riktlinjerna hjälper de till att förhindra incidenter, dataförlust och stöld. Riktlinjer inkluderar korta uttalanden på hög nivå som identifierar mål baserat på en organisations övergripande övertygelser och principer. Efter att ha skapat riktlinjerna skapar personal inom organisationen planer och procedurer för att stödja riktlinjerna. Även om riktlinjerna ofta är uttalanden på hög nivå, ger planerna och procedurerna detaljer om riktlinjeimplementering. En säkerhetsriktlinje kan vara ett enda stort dokument eller delas upp i flera mindre dokument beroende på företagets behov. Följande avsnitt identifierar många av de gemensamma delarna av en säkerhetsriktlinje.

 

 

Personalriktlinjer

Företag utvecklar ofta riktlinjer för att definiera och klargöra frågor relaterade till personalen. Detta inkluderar personalens beteende, förväntningar och möjliga konsekvenser. Personalen lär sig dessa riktlinjer när de anställs och när förändringar sker. 

 

Riktlinjer för datoranvändning

Riktlinjer för datoranvändning gäller datorsystem och nätverk och är för användaråtkomst och användaransvar. 

 

Uppdelning av arbetsuppgifter riktlinjer

Uppdelning av arbetsuppgifter är en säkerhetsprincip som säkerställer att ingen enskild person eller enhet kontrollerar alla aspekter av en känslig process, vilket minskar bedrägeri, stöld och fel. Det innebär att dela upp uppgifter mellan olika individer eller grupper för att förhindra intressekonflikter eller maktmissbruk. Till exempel, vid lagerhantering, beställer en person varor medan en annan registrerar sitt kvitto för att undvika bedrägerier. På samma sätt, inom IT, skapar utvecklare applikationer men administratörer distribuerar dem till produktion, förbättrar versionskontrollen och minimerar okontrollerade ändringar. Dessutom är åtkomst till känslig information, som säkerhetsloggar, begränsad till utsedda roller för att upprätthålla säkerhets- och efterlevnadsstandarder. Detta tillvägagångssätt är också i linje med principen om minsta privilegium, vilket begränsar åtkomsträttigheter för användare till det absoluta minimum som krävs för att utföra sina uppgifter, och därigenom minimerar potentiella säkerhetsrisker.

 

Principen om minsta privilegium

Principen om minsta privilegium säkerställer att individer och processer endast får de nödvändiga privilegierna för sina roller, inte mer. Detta tillvägagångssätt minimerar riskerna genom att förhindra överdriven åtkomst. Till exempel, om Lisa kräver läsbehörighet till en servermapp, ska hon bara ges den specifika åtkomsten. Ett praktiskt exempel är ett kärnkraftverk där en anställd, Carl, ges onödigt omfattande tillträde. Detta förbiseende kan leda till allvarliga dataintrång om Carl, påverkad av en annan, bestämmer sig för att utnyttja sin åtkomst. Att tillämpa principen strikt skulle begränsa Carls tillgång till endast det som behövs för hans jobb, vilket avsevärt minskar potentiell skada. Denna princip är avgörande inte bara för vanliga användare utan även för administratörer, och säkerställer att deras privilegier är begränsade till deras specifika administrativa behov.

 

Clean Desk Policy

En clean desk-riktlinje kräver att användare upprätthåller organiserade arbetsytor och begränsar papperstrassel, i syfte att skydda känslig data och minska säkerhetsrisker som datastöld eller oavsiktlig exponering av information. Till exempel kan en angripare utnyttja osäkra dokument som finns kvar på en banklånetjänstemans skrivbord. Förutom att förhindra säkerhetsincidenter, förbättrar den här riktlinjen också en organisations image och gäller för alla anställda, oavsett kundinteraktion. Riskerna inkluderar att lämna föremål som nycklar, mobiltelefoner, passerkort, känsliga dokument, inloggade datorer och personlig information exponerade. 

 

Bakgrundskontroll

I Sverige är bakgrundskontroller en vanlig procedur för att utvärdera både potentiella och nuvarande anställda. Dessa kontroller är nödvändiga för att säkerställa att personens historik inte innefattar något som kan äventyra arbetsplatsens säkerhet eller integritet. Omfattningen av en bakgrundskontroll kan variera beroende på tjänstens natur och känsligheten i den information som hanteras. För en position inom offentlig sektor, där tillgång till känslig information kan förekomma, är kontrollerna ofta mer genomgripande än för en position inom detaljhandeln.

 

Vanligtvis innefattar dessa kontroller kriminalregisterkontroller genom Polismyndigheten, som kan inkludera allt från kontroll av tidigare domar till mer omfattande utredningar om personens brottsliga förflutna. I vissa yrken, särskilt inom finanssektorn, kan även en kreditupplysning från Upplysningscentralen (UC) krävas för att bedöma den ekonomiska stabiliteten, då en dålig kreditvärdighet kan innebära en högre risk för arbetsgivaren.

 

Introduktion av nya medarbetare (onboarding) är en process där nya anställda integreras i organisationen. Detta inkluderar tilldelning av nödvändiga IT-resurser, med en strikt riktlinje för minsta möjliga privilegium för att säkerställa att de enbart får tillgång till de resurser som är nödvändiga för deras arbetsuppgifter.

 

Avveckling av anställning (offboarding) omfattar återkallande av tillgång till företagets resurser vid en anställds avgång. Detta innebär att inaktivera eller radera användarkonton, samt att återta all utrustning och identifikation för att skydda företagets data och förhindra obehörig åtkomst. Denna process bör ske i samband med en avslutningsintervju för att omedelbart avsluta alla tillgångar till företagets IT-system.

 

Sekretessavtal

Ett sekretessavtal (NDA) är ett juridiskt bindande kontrakt mellan två parter för att skydda konfidentiell information från att delas med obehöriga. Till exempel, om Kunskapsforbundet vill samarbeta med Innovativa Företag AB och dela känslig information, säkerställer ett sekretessavtal att Innovativa Företag AB är juridiskt förpliktade att hålla informationen konfidentiell. Sekretessavtal används också ofta för att förhindra att anställda sprider företagshemligheter, både under anställningens gång och efter dess avslutande, vilket ofta förstärks under processer som avveckling eller vid avslutningsintervjuer.

 

Tredjeparts riskhantering

Organisationer samverkar med externa enheter (ofta kallade tredje parter) av olika anledningar, såsom inköp av förnödenheter, skapande av partnerskap, och mer. Dessa relationer kan ofta introducera risker som behöver hanteras, och säkerhetsriktlinjer adresserar ibland dessa risker.

 

Säkerhet i leveranskedjan och leverantörshantering

Leveranskedjan omfattar alla element som är nödvändiga för att producera och sälja produkter och tjänster, vilka kan bli sårbara för attacker. För att minska risker begränsar ofta riktlinjer för leveranskedjan leverantörernas tillgång till organisationens nätverk och data strikt till det som är nödvändigt. System för leverantörshantering verkställer dessa begränsningar genom kontrollerad åtkomst och integration, med verktyg som webbaserade applikationer med behörighetsbaserad inloggning för att skydda mot obehörig åtkomst.

 

 Dessa riktlinjer är väsentliga för att förhindra obehörig åtkomst och dataintrång, och ger ett tydligt ramverk för både ledning och anställda.

 

Föregående
Nästa