Den här kursen handlar om att upprätthålla den nivå av informationssäkerhet som är formulerad på den strategiska nivån. Det innebär att kunna hantera dagliga rutiner och regelbundna processer som till exempel incidenthantering, säkerhetsrevision och säkerhet vid systemutveckling.

Utbildningsmål

I dagens samhälle är de flesta organisationer beroende av fungerande IT-system och övrig informationshantering. Samtidigt har hoten mot information och IT-system blivit flera och allvarligare. Dessa hot ändrar ständigt skepnad och informationssäkerhet är inte längre endast en intern fråga för den egna verksamheten.

Att arbeta med informationssäkerhet innebär även att anta en helhetssyn där tekniken är en komponent av flera. Andra kritiska områden är juridik, organisatoriska aspekter och ledningsfrågor, samt inte minst medarbetarnas medvetenhet och förståelse för vikten och betydelsen av informationssäkerhet.

Efter utbildningen har du en god kunskap om hur man upprätthåller informationssäkerheten genom regelbundna aktiviteter och rutiner. Du kan styra och följa upp det dagliga arbetet med informationssäkerhet.

Målgrupp

• Informationssäkerhetschef/-ansvarig
• IT-chef/-ansvarig
• Kravspecialist
• Testledare
• Konsult
• IT-arkitekt
• Riskansvarig
• Affärsutvecklare
• Utvecklare
• Projektledare

Förkunskaper

Operativ informationssäkerhet behandlar implementation och upprätthållande av säkerhet på processnivå och lämpar sig bland annat för den som är ny i en säkerhetsroll. Kursen har inga formella förkunskapskrav men det är en fördel om du som deltagare har erfarenhet av ledningsarbete (t.ex. som arkitekt eller projektledare) eller säkerhetsfrågor (t.ex. som utvecklare).

Innehåll

UX & säkerhet
Många incidenter beror i grunden på misstag. En vanlig förklaring är att användare är slarviga. UX (User Experience) handlar om hur vi kan bygga tjänster eller system så att användaren känner sig trygg och fattar kloka beslut. "Lätt att göra rätt" handlar inte bara om att regler och blanketter ska vara effektiva. Minst lika viktigt är Safe UX - att vi arbetar systematiskt med design ur ett säkerhetsperspektiv.

Säkerhetsarkitektur
Att bygga säkerhet är ofta snarare ett hantverk än ingenjörskonst. I det här avsnittet föreslår vi hur en gemensam begreppsapparat med kontroller och mekanismer kan möjliggöra en dubbelriktad spårbarhet mellan verksamhetens behov/risk och implementerade komponenter. Vi går också igenom sju grundläggande säkerhetsprinciper som organisationer bör förhålla sig till.

Agilitet & säkerhet
Alltfler organisationer väljer att låta sig inspireras av agila metoder. Är det bra eller dåliga nyheter ur ett säkerhetsperspektiv? Hur kan vi på bästa sätt dra nytta av styrkan med agila team och undvika ett par vanliga fallgropar?

Kontinuitet (Business Continuity)
Vissa saker måste bara fungera, vad som än händer. Är det ens möjligt? Hur känner man igen en kontinuitetsrisk och hur hanterar man den? I det här avsnittet behandlar vi tre grundläggande förmågor som varje organisation behöver ha inför oväntade händelser som slår mot tillgängligheten: reagera, anpassa och återgå.

Incidenthantering
Hur känner man igen en säkerhetsincident och hur vet man när den är avslutad? Detta avsnitt tar upp hur vi kan förbereda vår organisation för att upptäcka, utreda och återställa efter incidenter. Vi tittar på ett par uppmärksammade exempel och diskuterar vad vi kan lära av dem.

Compliance och revision
Själva processen att göra en säkerhetsrevision skiljer sig inte från ekonomisk revision, man granskar hur organisationen uppfyller ett regelverk. Vilka regelverk kan det handla om i fallet informationssäkerhet? Detta avsnitt går igenom metoder för att genomföra en revision. På vems uppdrag görs säkerhetsrevisioner och vem är det som genomför dem?

Patch Management
Arbetet med patch management tar en stor del av IT-avdelningens tid - att bevaka, testa och installera uppdateringar kräver kunskap, planering och tid. Och man ska hinna med att installera patcharna innan det finns en attack som utnyttjar en sårbarhet. Detta avsnitt beskriver en process för patchhantering.

Säker systemutveckling
Det finns många källor till säkerhetsproblem i program och system - dålig design, bristande testrutiner, dålig dokumentation, slarv vid installation osv. Detta avsnitt ger riktlinjer för att förbättra säkerheten genom hela processen för systemutveckling. Observera att kunskaper inom detta område inte bara är nödvändiga för utvecklingsföretag eller -avdelningar, utan även för den som "bara" är beställare. Vi utgår från en mognadsmodell som organisationer kan mäta sig emot och välja vilken nivå man strävar efter.

Spårbarhet och logghantering
System idag genererar mycket data om vad som händer. Men vilken information är det man egentligen behöver, vem ska använda den till vad (och när)? I detta avsnitt tar vi upp vad man kan (och får) göra med insamlad data. Vad vill man logga och vad kan man gallra? Och vem bestämmer?

ITIL och säkerhet
ITIL är idag ett populärt (och bra!) ramverk för att bygga upp en "IT Service Organisation". Vad har ITIL med säkerhet att göra? Vilka delar är mest centrala?

Säkerhetsmedvetande & -beteende
Hur mycket processer och teknik man än använder så kommer man inte få (tillräcklig) säkerhet i system eller organisation om inte människor förstår och engagerar sig. Detta avsnitt tar upp hur vi bygger motivation och ägarskap – en säkerhetskultur. Är människan den "svagaste länken"?

Fysisk säkerhet
Informationssäkerhet handlar också om traditionella medel som lås, dörrar, brandsläckare, reservkraft, med mera. Detta avsnitt tar upp ett antal mekanismer för att uppfylla kraven på konfidentialitet och tillgänglighet. Hur säkrar vi vår fysiska miljö och hur ställer vi krav på andra som hanterar vår information?

Krishantering i praktiken
Om en incident är så omfattande, komplicerad eller allvarlig att den inte kan hanteras av den vanliga organisationen så kallar vi den för en kris. Vi tar upp några exempel på större kriser och övar oss i att hantera en besvärlig, oförutsedd situation.

Säkerhetskrav och outsourcing
Kvalitet byggs med krav. Varför skulle säkerhet vara annorlunda? Men varifrån kommer kraven, hur kan de se ut, till vem ställs de och hur hänger detta ihop med risk? Att man outsourcar till ett annat företag gör inte att man slipper ansvaret för säkerheten för organisationens informationshantering. Ansvarsfördelningen mellan de två parterna är viktig och i detta avsnitt pekar vi ut några för säkerheten centrala aspekter i en outsourcing-affär. Bra krav möjliggör outsourcing!

Att mäta informationssäkerhet
Vilken nivå av säkerhet har vi uppnått och vilken behöver vi? Vad får säkerheten kosta? I det här avsnittet behandlar vi hur man kan börja mäta informationssäkerhet. Enkelhet är ett ledord. Introducera inte ett mätetal innan ni bestämt vad det ska användas till och hur det kan implementeras effektivt.

Kursen levereras i samarbete med: DF Kompetens