Säkerhetsarbete med sikte mot horisonten!
Söndagen den 4 oktober samlas 26 personer för att diskutera IT-säkerhetsfrågor under en kryssning till Tallinn. Efter en god lunch drar konferensen igång med en kort presentation av alla närvarande. Sedan börjar de första talarna med att berätta om hur man bör tänka för att navigera rätt på en ocean av standarder och regelverk. Talarna är Karin Winberg, Transcendent group och Martin Bergling, IBM och SIG Security. Bl.a. presenteras COSO ett ramverk som främst används av revisorer men som också kan vara till stor hjälp för organisationen i stort. Kod för svensk bolagsstyrning är en norm för svenska börsnoterade bolag. Kodens syfte bygger på principen ”följ eller förklara” och kan vara till hjälp.
Myndigheten för samhällsskydd och beredskap har tagit fram en modell för klassificering av information s.k. MKI. Ett nationellt ramverk för informationssäkerhet är klart intressant för oss och en första version kommer inom kort. Alla som arbetar med informationssäkerhet kan också ha nytta av vad som sker i USA och de olika program som kommer fram. Vi kan också h nytta av BS 25999 som är en brittisk standard för hur en organisation bör etablera, implementera, uppdatera och öva sin kris och kontinuitetsorganisation. Standarden 27000 är en grundläggande standard som alla känner till. En ”guldstjärna” delar Martin ut till ISF SOGF som är omfattande standarder nedbrutna i olika sektioner.
SIS HB550 handlar om terminologi, som är en viktig grund för att förstå varandra och är också till stor hjälp för alla för att öka förståelsen vad vi måste respektive bör ta hänsyn till.
CobiT 4.1 kan kostnadsfritt laddas ner från nätet och är ett mycket bra ramverk som syftar till att minska gapet mellan IT och verksamheten som är ”Vad”. ITIL och standaren 20000 handlar om ”Hur”.
Det var en informativ och rolig föredragning om ett komplicerat ämne som avslutades med att vi fick en sammanfattning på två inplastade ark att enkelt kunna få stöd ifrån under säkerhetsarbetets gång.
Efter en kort bensträckare klev Patrik Bengtsson säkerhetschef från Inrego upp på scenen. Företaget han arbetar på har 27001 certifierat sig för att bl.a. få till stånd ett systematiskt säkerhetsarbete. 27001 är ett ledningssystem för informationssäkerhet och är uppbyggt för att fungera med ISO 9002. Man identifierar risker och måste berätta varför man gör/inte gör det som är upptaget i punkterna för standaren. Den upplevda nyttan är ett säkerhetstänk i hela företaget, ständig förbättring av säkerheten och tryggare kunder. Den största utmaningen var att få med ledningsgruppen i arbetet. Intressant att få höra om hur arbetet med säkerhetsfrågor sker i verkliga livet.
Kaffepaus och trevliga samtal med deltagarna.
Nu är det tid för nästa tema med Predrag Mitrovic som börjar med att beskriva sin bakgrund för att landa i eget företag My Nethouse 2.0 och molnet! Trender till dags dato: Processhastigheten har fördubblats vartannat år, Minneskapaciteten har fördubblats varje år, Bandbredden har ökat med 40% per år, Webben är programmerbar och asynkron, Informationsexplosionen är ett faktum, 70% av IT- budget till förvaltning och underhåll , Upp till 85% av kapaciteten nyttjas inte.
Infrastructure as a Servic, IaaS– kunden är hyresgäst av datahallkomponenter
Leverantörer t.ex Amazon, 3tra, Rackspace Data center
Platform as a service, PaaS
Software as a Service, SaaS – applikationer som körs via tunn klient t.ex. webbläsare
Software+services+Devices = applikationer som har en grund i dagens modell + använder molnen som tilläggsplattform, dessutom en modell som drar nytta av specifika hårdvaruenheter.
Molnformationer
- privata moln, exklusivt moln för en enda kund
- publikt moln, extern part levererar molnkraft enligt avtal
- hybrid moln, kombination av leveransmodeller mellan privata- och publika moln, känns som en naturlig väg mot molnet (PBX + VoIP)
Nya möjligheter: 80legs