Sikkerhetnr4web

More documents

Recommendations

Info

Sikkerhetskonferansen 2011 Konsumentprodukter i bedriften Vi går mot en fremtid hvor skillet mellom forbrukerteknologi og bedriftsteknologi viskes ut. Av: Ole Tom Seierstad, Chief Security Advisor i Microsoft Norge AS For å få utført et stykke arbeid har man typisk samlet mennesker på en arbeidsplass i en spesifikk periode for å få utført en oppgave. Historisk har dette vært det eneste valget for bedrifter og arbeidstakere. Utvikling det siste tiåret har endret mye av dette. Behovet for å være fysisk tilstede i en gitt arbeidstid for å utføre jobben har ved hjelp av teknologi blitt mye mindre for mange arbeidsgrupper. Teknologien har også skapt helt andre måter å jobbe og kommunisere på. Jobb og privat Sentralt i disse endringene har vært utbredelsen av internett og bredbånd samt utviklingen av mindre, kraftigere og mer brukervennlig datautstyr. De senere årene også nettbrett og smarttelefoner fått en stor utbredelse i bedriftsmarkedet. Dette samme med nettskybaserte løsninger har gjort deling og samarbeid mer tilgjengelig. Flere av disse tjenestene er i utgangspunktet laget for et «Teknologien har skapt helt andre måter å jobbe og kommunisere på, uavhengig av geografi og tidssoner.» Ole Tom Seierstad Ole Tom Seierstad har jobbet i Microsoft siden 1990 og har hatt flere ulike roller. De siste årene har han fokusert på sikkerhet og problemstillinger rundt dette. Dette arbeidet inkluderer de fleste Microsoft-produkter og også kontakt mot de ulike segmentene som bruker Microsoft programvare. forbrukermarked, men har blitt tatt i utstrakt bruk av bedrifter. Som brukere har vi omfavnet mange av disse tjenestene og produktene i privat sammenheng: deling av dokumenter med venner, delte arbeidsflater for idrettslaget og telefoni via Skype til kjente over hele verden. Vi har blitt vant til at informasjonen er tilgjengelig til enhver tid på den enheten vi foretrekker å bruke. Det forventes at den samme tilgangen på informasjon og verktøy skal være tilgjengelig også i en arbeidssituasjon. Nødvendig sikkerhetsnivå Vi går mot en fremtid hvor skillet mellom forbrukerteknologi og bedriftsteknologi viskes ut. Dette setter nye krav til IT-avdelingen som skal håndtere bedriftens infrastruktur, «Vi har blitt vant til at informasjonen er tilgjengelig til enhver tid på den enheten vi foretrekker å bruke.» Ole Tom Seierstad beskytte informasjon og holde et sikkerhetsnivå som er nødvendig for at bedriften skal kunne levere de varer eller tjenester de lever av. Mange av de samme utfordringene gjelder også ansattes bruk av sosiale nettsteder (i og utenfor arbeidstid). Kan disse tjenestene brukes som en kanal til å nå kunder og partnere, eller er det en risiko for informasjonslekkasje? Utfordringer For å få en smidig og fleksibel bruk av IT-systemer er følgende nødvendige tiltak: • Risiko- og sårbarhetsanalyse. Bedriften må gjennomføre en ana- 10 SIKKERHET nr. 4 • 2011 www.nsr-org.no
Sikkerhetskonferansen 2011 Ullen trussel lyse for å finne ut hva som skal være tilgjengelig for brukere og på hvilken type enhet • Identitets- og tilgangskontroll. Regler for hvem i en organisasjon som skal ha tilgang til ulik type informasjon er helt nødvendig å ha på plass. • Tjenestens sikkerhetsnivå. Som en del av risiko og sårbarhetsanalysen bør det også vurderes hvilket sikkerhetsnivå de ulike sosiale nettverkene har, og utarbeide rutiner for hva som skal deles eller lagres på disse tjenestene. • Klientens sikkerhetsnivå. Når bedriften skal håndtere flere ulike enheter bør det være et krav at disse har en viss grad av beskyttelse mot ondsinnet programvare og gjerne også kryptering, selv om det er private enheter som benyttes. • Beskyttelse av informasjon. Det kan være ulike nivå på tilgangskontroll og ulik grad av kryptering – både ved lokal lagring og for dokumenter som skal sendes i for eksempel e-post. Regler som de ansatte forstår og respekterer og med IT-støttesystemer som sørger for at regelbrudd ikke forekommer, vil også en aktiv bruk av sosiale nettsteder kunne bli en ressurs for bedriften for å nå ut til sine kunder. Ved å ta en gjennomgang av systemene og sørge for at informasjonen i bedriften er beskyttet og klassifisert vil en kunne utnytte disse trendene med mer fornøyde brukere og ikke minst en mye mer fleksibel arbeidssituasjon. Av: Bjørn Frang, daglig leder i Global Advice Network Norway Misligheter og korrupsjon er begreper som delvis overlapper hverandre, men er ikke synonyme. Misligheter er ofte benyttet som generell beskrivelse, og korrupsjon kan være noe av hensikten. Korrupsjon er en bestikkelse for å oppnå fordeler for seg selv, firmaet eller organisasjonen man arbeider i. Strengere regler Tidligere fikk man fradrag på skatten hvis man hadde begått bestikkelser i utlandet i forbindelse med firmaets oppgaver. Nå er dette svært straffbart og vil være en stor belastning på firmaets omdømme. Etter innføring av de nye reglene har vi sett at enkelte firmaer opprettet egne pengehåndteringssentraler i skatteparadis. Hensikten med dette var å gjøre overgangen fra bestikkelseskultur til renvasking mykere – det vil si man fortsatte med agentprovisjoner fra skatteparadiset. I flere tilfeller har det vist seg at de som var satt til å bestyre disse midlene, selv forsynte seg grovt. Lederne har et ansvar Det bør være en generell målsetning i samfunnet å redusere tilfeller av misligheter og korrupsjon, og samtidig utvikle et trygt fellesskap. «Bare ved å sette fokus på temaet vil man redusere det latente tapet.» Bjørn Frang Lederne i bedriftene tror at hvis det hender noe kan de enten kjøpe seg nødvendig ekspertise, eller melde saken til myndighetene. Som leder og styremedlem har man ansvar for å fokusere, begrense og bearbeide slike saker. Hvis man lykkes i å implementere temaet misligheter og korrupsjon som en del av firmaets etikk og Bjørn Frang er daglig leder i Global Advice Network Norway AS. Bjørn har i over 16 år jobbet i politiet, men har vært i privat sektor i mer enn 20 år. Han har holdt et stort antall kurs i svindelens og korrupsjonens effekt for virksomhetsledere i Skandinavia. personalmessig opplæring, vil mye være oppnådd. Da vennes man til å snakke om alminnelige menneskelige svake tendenser som finnes overalt. Tendensen kommer til uttrykk hvis et individ tror det kan gjennomføre en gjerning for å skaffe seg eller andre en uberettiget vinning risikofritt. Åpenhet kan motivere De fleste produksjonsbedrifter i et moderne samfunn definerer omfanget av misligheter, korrupsjon og svinn til å ligge mellom 2 og 5 prosent av omsetningen. Det er flere organisasjoner i verden som opererer med denne størrelsesorden, og i de tilfellene der jeg selv har vært med å ta opp dette til vurdering kommer man fram til de samme tallene. Kunnskap og ansvar Bare ved å sette fokus på temaet vil man redusere det latente tapet. Hvis man skal gjøre en bra jobb som leder eller styremedlem, er det viktig å ha kunnskap om at dette også er en del av ansvaret. Målrettede øvelser, work-shops og annen jevnlig kommunikasjon om temaene er en forutsetning for å lykkes med anti misligheter- og korrupsjonsarbeidet. Er omfanget ikke målt vil det etter all sannsynlighet ikke bli fokusert på. Er omfanget målt så godt man kan, vil det også bli hyppigere omtalt i flere sammenhenger, og få en bedre preventiv effekt enn det som er tilfellet i dag. www.nsr-org.no SIKKERHET nr. 4 • 2011 11
Page 1 and 2: F 4 2011 Næringslivets sikkerhetso
Page 3 and 4: Innhold Nr 4 • 2011 • Årgang 5
Page 5 and 6: BEREDT? Farlig støy Årlig får Ar
Page 7 and 8: Smånytt - Bedrifter kan droppe kod
Page 9: Sikkerhetskonferansen 2011 «Andre
Page 13 and 14: Sikkerhetskonferansen 2011 Rekrutte
Page 15 and 16: Sikkerhetskonferansen 2011 Mye av i
Page 17 and 18: Sikkerhetskonferansen 2011 «Rundt
Page 19 and 20: Beredskapsforskriften Risikovurderi
Page 21 and 22: Beredskapsforskriften Økt sikkerhe
Page 23 and 24: Beredskap «Økonomien ved Rana Gru
Page 25 and 26: Spørrespalten Om industrivern Juri
Page 27 and 28: i NSO-fokus Positive innsatsledere
Page 29 and 30: Sivilforsvaret Sivilforsvaret 75 å
Page 31 and 32: Aktivitetskalender NSO Påmelding t

Sikkerhetnr4web

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?