Ingers blogg » IT-säkerhet

Cloud Sweden kompetensnavet

Inger — Thu, 27 May 2010 12:07:27 +0000

Innehållet i vårt kompetensnav utvecklas hela tiden genom olika aktiviteter och i samarbete med andra aktörer. Denna resa som vi tog initiativ till den 16 mars är onekligen spännande. Jag har hört flera hävda att det ideella arbetets era är slut och nu är det bara pekuniär ersättning som räknas. Phaa, så är det inte alls! Våra mänskliga drivkrafter är fortfarande lika starka som någonsin. Att passion ger mängder av energi och tillhörighet och bekräftelse är en del av livslusten är också sant. Just nu pågår massor av idé- och tankeverksamhet kopplat till Cloud Sweden och att sätta Sverige på kartan som ledande när det gäller utveckling av molnet. Utan någon som helst annan tanke än att “göra gott”. Round table diskussioner hålls, seminarier genomförs och allt delas med alla genom att våra medlemmar finns lite överallt och förmedlar vidare….Håll koll på oss för här händer det “grejer”.

Kryssning med incidenthantering i praktiken.

Inger — Sun, 16 May 2010 16:25:48 +0000

Efter en mjukstart på Vasagatan i DF Kompetens kurslokaler med lunchsallad , introduktion till innehållet i kryssningen och transport till Birka Paradise för att sätta igång med tankearbetet kring incidenthantering. Först ut är Jörgen Sandström, IT-chef från Värmdö kommun. Genom Internet har förändringen verkligen slagit igenom när det gäller integritet, säkerhet och sekretess. Kommunen är väl förberedd för olika krishanteringar, man har delegationsordning, olika jourer, incidenthantering m.m. En utmärkt funktionalitet visade sig att KrisWikkin utgjorde. Det finns en policy indelad i tre delar, Användarinstruktion, Kontinuitet och drift samt Kontor och förvaltning. Kontinuitetsplaner ersätter riskanalyser vilket upplevs som kopplad till verkligheten.
I praktiken ställer revisorer krav på granskning, verksamhetsansvariga ställer krav, incidentrapportering görs, IT5-avd gör stickprov, närmaste chefen får alltid hantera medarbetaren. Olika händelser har accentuerat vikten av tydlig policy för hur IT-frågor ska hanteras. Sedan 2003 – 2004 köper kommunen bl.a. HR-system som molntjänst.
Under konferensen kommer vi att arbeta med ett scenario som utgår från företaget BigL och informationsläckor och nu sätter det arbetet igång.

Nu är det riktigt molnigt!

Inger — Wed, 21 Apr 2010 08:46:24 +0000

Vi skulle varit på olika besök i USA om inte askmolnet satt käppar i hjulet. Det är intressant att se hur jag själv reagerade (kanske lite för handlingskraftigt) och hur våra medresenärer agerade när resan blev inställd. Alltid lär man sig lite mer om både sig själv och medmänniskorna. Det är ett härligt gäng som istället för att vara i San Francisco och New York just nu kommer att styra kosan dit i oktober. På något vis fick jag några dagar till övers och kunde lugna ner arbetstempot en aning inte så dumt . Jag återkommer med rapport om våra olika möten när vi väl kommit på plats.

Cloud Sweden har haft kick-off!

Inger — Wed, 17 Mar 2010 07:59:11 +0000

Igår fick jag vara med om något riktigt härligt och energigivande. Vi hade kick-offen för Cloud Sweden med ett utfall som var långt häftigare än vad jag hade förväntat mig. Det var 76 personer som anmält sig, över 90 personer kom. Programmet för eftermiddagen innebar att vi presenterade varför vi , Predrag Mitrovic och jag tagit initiativet till ett kompetensnav om Cloud. Vi har haft förmånen att samla en grupp av experter som bildar ledningsgruppen kring oss. Tillsammans har vi börjat resan för att sätta Sverige på kartan när det gäller kunskap om “molnet”. Nu återstår att hålla tempot för att förhindra att tappa farten. Inför kick-offen har vi träffats varje vecka nu kommer vi att sätta fart med respektive arbetsgrupp. Idag finns följande grupper: Säkerhet & Juridik, Checklistor, Affärsnytta, Infrastruktur och Arkitektur samt gruppen för Kvalitetssäkring och kollegial utvärdering. Är du en person som har engagemang och vill bidra med din kunskap och vara med och sätta Sverige på kartan ta kontakt med mig eller anmäl dig till Cloud Sweden på LinkedIn.
Vi har etablerat kontakt med andra organisationer både nationellt och internationellt så vi är på god väg att bygga vårt kompetensnav!

Självklart arbetar vi utifrån “creative commons 2.5 erkännande dela lika” . Vi får en fortgående utvecklingsprocess där experter, verksamheter och leverantörer tillsammans utvecklar, genomför, utvärderar och återför. Då uppnår vi ständiga förbättringar som alla kan ta del av. Cloud Sweden Kick off alla bilder har du på ett klicks avstånd.

Sociala media och Cloud Sweden

Inger — Tue, 15 Dec 2009 12:59:38 +0000

Sociala media är en samhällsfunktion menar många medan andra menar att det är ett fånigt påfund. Jag anser att det är ett förhållandevis lättillgängligt verktyg som hjälper mig att hålla kontakten med nära, kära och kollegor samt andra i största allmänhet. Det är enkelt att skapa förutsättningar att få diskutera det som intressera just mig med andra som jag inte ens visste fanns. Det som kan vara lite knepigt är att få riktig spridning nu när det är sånt brus på nätet.

För en tid sedan startade Predrag Mitrovic Cloud Sweden som är öppet för alla som har ett genuint intresse och passion för molnen. Området är riktigt stort och vi behöver ha kompetens som täcker in teknik, affärsmässighet, kompetensutveckling, innovationsklimat, juridik och en hel del annat. Intresserad? Läs mer här. Vi finns också på LinkedIn kolla här.
Är du dessutom medlem i Dataföreningen så finns vi här också. Kom med och berätta för dom du tycker ska vara med och skapa Cloud Sweden till något alldeles extra!

Säkerhetsarbete med sikte mot horisonten!

Inger — Sun, 04 Oct 2009 16:55:14 +0000

Söndagen den 4 oktober samlas 26 personer för att diskutera IT-säkerhetsfrågor under en kryssning till Tallinn. Efter en god lunch drar konferensen igång med en kort presentation av alla närvarande. Sedan börjar de första talarna med att berätta om hur man bör tänka för att navigera rätt på en ocean av standarder och regelverk. Talarna är Karin Winberg, Transcendent group och Martin Bergling, IBM och SIG Security. Bl.a. presenteras COSO ett ramverk som främst används av revisorer men som också kan vara till stor hjälp för organisationen i stort. Kod för svensk bolagsstyrning är en norm för svenska börsnoterade bolag. Kodens syfte bygger på principen ”följ eller förklara” och kan vara till hjälp.
Myndigheten för samhällsskydd och beredskap har tagit fram en modell för klassificering av information s.k. MKI. Ett nationellt ramverk för informationssäkerhet är klart intressant för oss och en första version kommer inom kort. Alla som arbetar med informationssäkerhet kan också ha nytta av vad som sker i USA och de olika program som kommer fram. Vi kan också h nytta av BS 25999 som är en brittisk standard för hur en organisation bör etablera, implementera, uppdatera och öva sin kris och kontinuitetsorganisation. Standarden 27000 är en grundläggande standard som alla känner till. En ”guldstjärna” delar Martin ut till ISF SOGF som är omfattande standarder nedbrutna i olika sektioner.
SIS HB550 handlar om terminologi, som är en viktig grund för att förstå varandra och är också till stor hjälp för alla för att öka förståelsen vad vi måste respektive bör ta hänsyn till.
CobiT 4.1 kan kostnadsfritt laddas ner från nätet och är ett mycket bra ramverk som syftar till att minska gapet mellan IT och verksamheten som är ”Vad”. ITIL och standaren 20000 handlar om ”Hur”.

Det var en informativ och rolig föredragning om ett komplicerat ämne som avslutades med att vi fick en sammanfattning på två inplastade ark att enkelt kunna få stöd ifrån under säkerhetsarbetets gång.

Efter en kort bensträckare klev Patrik Bengtsson säkerhetschef från Inrego upp på scenen. Företaget han arbetar på har 27001 certifierat sig för att bl.a. få till stånd ett systematiskt säkerhetsarbete. 27001 är ett ledningssystem för informationssäkerhet och är uppbyggt för att fungera med ISO 9002. Man identifierar risker och måste berätta varför man gör/inte gör det som är upptaget i punkterna för standaren. Den upplevda nyttan är ett säkerhetstänk i hela företaget, ständig förbättring av säkerheten och tryggare kunder. Den största utmaningen var att få med ledningsgruppen i arbetet. Intressant att få höra om hur arbetet med säkerhetsfrågor sker i verkliga livet.

Kaffepaus och trevliga samtal med deltagarna.

Nu är det tid för nästa tema med Predrag Mitrovic som börjar med att beskriva sin bakgrund för att landa i eget företag My Nethouse 2.0 och molnet! Trender till dags dato: Processhastigheten har fördubblats vartannat år, Minneskapaciteten har fördubblats varje år, Bandbredden har ökat med 40% per år, Webben är programmerbar och asynkron, Informationsexplosionen är ett faktum, 70% av IT- budget till förvaltning och underhåll , Upp till 85% av kapaciteten nyttjas inte.

Geekandpoke.com

Infrastructure as a Servic, IaaS– kunden är hyresgäst av datahallkomponenter
Leverantörer t.ex Amazon, 3tra, Rackspace Data center
Platform as a service, PaaS
Software as a Service, SaaS – applikationer som körs via tunn klient t.ex. webbläsare
Software+services+Devices = applikationer som har en grund i dagens modell + använder molnen som tilläggsplattform, dessutom en modell som drar nytta av specifika hårdvaruenheter.

Molnformationer
- privata moln, exklusivt moln för en enda kund
- publikt moln, extern part levererar molnkraft enligt avtal
- hybrid moln, kombination av leveransmodeller mellan privata- och publika moln, känns som en naturlig väg mot molnet (PBX + VoIP)

Nya möjligheter: 80legs

Dag två Säkerhetskonferensen

Inger — Mon, 18 May 2009 08:38:37 +0000

Efter en intensiv afton med mingel och intressanta samtal och en kort nattvila började dag två med att Marcus Nohlberg informerade oss om automatiserad social engineering det var en mycket intressant och tankeväckande dragning som du kan ta del av på Marcus blogg från den 19 maj. Efter en kort paus lyssnar vi nu till Per Oscarsson från MSB, Myndigheten för samhällsskydd och beredskap som etablerades den 1 januari 2009. Hans rubrik är – Aspekter på värdering och klassificering av informationstillgångar. Det finns två grundkategorier av informationstillgångar, informationshanterade resurser och information. Informationstillgångarna styr riskerna. Krav enligt SS-ISO/IEC 27001:2006. Grunden för klassificering är hur man värderar informationen. Principerna vid utformning av klassificeringsmodellen kommer att finnas på myndighetens hemsida och bli publicerad under maj.
En bensträckare och Patrik Håkansson från Ericsson äntrade podiet. Under rubriken – hot och risker i en global miljö – berättar han om 24 marknadsområden med verksamhet i ca 140 länder med drygt 78 000 anställda och ca 20 000 konsulter med drygt 100 000 datorer. Ericsson startade 1876 i Stockholm. Group security har ca 20 medarbetare. Fem säkerhetsregioner och ungefär 150 personer arbetar på heltid med säkerhet inom Ericsson. De har bl.a en webbaserad säkerhetsutbildning “Security Sally” en informationsfilm security@ericsson, säkerhet börjar med hur du tänker och slutar med hur du agerar. Reseinformationen informerar t.ex. om vilka regioner/städer som är okej att resa till och inom vilka områden man inte kan garantera personalens säkerhet vilket innebär att man inte reser dit. Man kommunicerar informationen på olika sätt utifrån ålder och användarmönster.
Vi avslutade med en panel debatt där både deltagarna och föreläsarna deltog. Tack för ett intensivt och intressant dygn.

X2009 första dagen

Inger — Sun, 17 May 2009 16:24:06 +0000

Vi rivstartar med att efter introduktionen av vad vi kommer att ägna oss åt under denna konferens lyssna till Per Hellquist, Symantec. Han redogör bl.a om några av de “stora” botmasters” som kontrollerar en oerhörd mängd av hemdatorer. De har gått från att vara nöjda med den sociala status som hackningen gav till att tjäna miljoner kronor på sin verksamhet. All information finns att laddas ner från Symantecs hemsida. RBN Russian Business Network är det bolag som ligger bakom de trojaner,virus och annat elakt. Men den 6 novemebr 2007 drog dom ur proppen och försvann. Oops, samma typ av aktiviteter dök upp från länder som inte varit med förut. Tusan också, nu försvann internetkopplingen…
Åter kontakt, nu är det Agneta Syréns tur. Hon har inlett med att fråga oss vem som manipulerar vem. I storstaden är vi anonyma på ett annat sätt än i mindre sammanhang och därför följer vi olika sociala koder utifrån situation. En del av de som ligger på kanten av normalfördelningsskurvan har ett behov av att manipulera andra. De har andra grundvärderingar och andra beteenden. Hare en psykolog som FBI arbetat mycket med upptäckte att många av de intagna på fängelser faller utanför normalfördelningskurvan. Det finns en bok som beskriver mentala sjukdomar på samma sätt som andra sjukdomar. Ett bra verktyg när man arbetar med säkerhet är att ta den till hjälp vid förståelse av vilka människor vi har i organisationen. Beethoven var t.e.x bipolär (manodepressiv). Individerna som ligger utanför normalkurvan har lita av både det ena och andra som de fått på olika sätt som gör att kombinationen är unik. Vad är en psykopat? De kan vara narcissistiska utan empatisk förmåga men anställs nu och då för att “rensa upp”. Det ger för det mesta ett bakslag för styrelsen. Dessa personer finns överallt i våra organisationer och kan ställa till stora problem för medarbetarna och kollegorna. En riktig psykopat har mycket svårt att presetera själv på arbetsplatsen. Däremot är dom duktiga på att kontrollera andra och lyfta fram sig själva. De är ofta grunda men skickliga på att manipulera. Hur ska vi göra för att undvika dessa individer? Hare har tagit fram tester som hjälper till att kartlägga psykotiska drag. Om du är utsatt, börja dokumentera – använd bandspelare, ge inte upp. Kolla upp deras intyg/betyg och deras referenser. Den enda gången våra personligheter förändras är när man genomgått “nära döden” upplevelser.
Det är svårt att ändra en psykopats beteende.
Predrag skulle nu gjort sin dragning men är dessvärre in disponerad och kvar i land.
Men då kliver Per och Agneta in på scenen igen, toppen!
Per pratar om “molnet” – och vad som är viktigt att tänka på när du väljer leverantör. Vilket är det största hotet mot molnettjänster, cybertjuven eller grävskopan? Det grävs av 70 kablar per dag! Hur ser säkerheten hos leverantören ut? Ta reda på det innan du väljer leverantör. Välj en bra partner utifrån svaren på de relevanta säkerhetsfrågor.
Agneta accentuerar vikten av att tänka på hur avtalen ska skrivas för att täppa till så många hål som möjligt.
Det finns oerhört mycket information på hårddiskarna på begagnade datorer som inte borde finnas där. Hur har man förberett sig för EU-ordförandeskapet och eventuella attacker? Ingen vet!
Bill Heiding, inleder med att berätta om hur han inte fått någon räkning från Vattenfall pga byte av mätare. Räkningen kom! Den stämde inte utifrån de beräkningar han gjort själv. Informationsdatat bearbetas utifrån olika kriterier som är svåra att ha grepp om. Det ska vi diskutera under middagen.
Nu ska vi gå till hytterna sedan middag.

Första företagsbesöken

Inger — Tue, 21 Apr 2009 03:14:41 +0000

Måndag morgon, bussen lämnade hotellet 7.30 för att ta oss till Juniper och det första företagsbesöket.
Juniper är lika med high performance network innehållande brandväggar, routrar, nätverk – med fokusering på trafiken – kärnan i nätet.
Coca-cola är en kund som tjänade in sin investering på två veckor. Med hjälp av en lösning från Juniper registrerades åtgången av colaburkar i automaterna så att rätt mängd burkar transporterades ut när automaten skulle fyllas på. Detta sparade Coca-Cola in så mycket bensinpengar på att investeringen betalade sig i stor sett direkt.
Cisco är Junipers största konkurrent och Riverbed är störst konkurrent på applikations accelerering.
En skillnad mellan Juniper o andra är att dom har utvecklat alltihop själv utan uppköp och sammanslagningar.
Bolaget startade 1996 och började som leverantör bl.a till Telia.
Roadmap – framtiden är mega datacenter som fokuserar på ip nätverk klienter (vilka som helst) – nätverk – mega datacenter (eathernet-switchar räcker inte för det interna behovet) Datat kommer i framtiden att lagras i datacenter, utanför företagen. Krav på geografisk etablering av ett datacenter är säkerhet, billig el och politisk stabilitet
Enheten ska redan nu kräva minimal om ens någon konfiguration/installation alltså inte kräva någon specialistkompetens.
Tips: för att se vad som kommer i framtiden och vilka funktioner som behöver utvecklas så ha koll på ungdomarna “Det jag använder privat vill jag också använda på jobbet”
Trafiken på Internet spås att tredubblas under kommande år pga video, saas och fildelning.
Juniper har utvecklat en teknik som gör att allting blivit mindre i storlek, effektivareoch billigare.
Detta beror bl.a på utveckling av arkitekturen. IP är en sammanhållande teknik på samma infrastruktur
Router virtualisering = gör att nätkapaciteten nyttjas bättre.

Efter en god lunch hos Juniper steg vi på bussen och åkte till Citrix.
Citrix infrastrukturlösningar finns hos Google, Amazon, Yahoo, Msn och många fler.
Citrix startades av några från IBM för 20 år sedan de köpte Xen för ett antal år sedan och detta har bidragit till att de snabbt kunnat utveckla olika hårdvaror. Virtualisering är prio på agendan.
Framtiden enligt Citrix är att i det stora datacentret kommer det att finnas 1 upplaga av programvaran istället för lokala installationer på varje pc.
Inom 5 -10 år är ca 30% cloudcomputing/software as a service. Det borde passa mindre företag bra då de kan få tillgång till avancerade tjänster på ett enklare och billigare sätt.

Läs också vad Roger skriver!

Kryssa med den svenska IT-säkerhetseliten!

Inger — Thu, 16 Apr 2009 04:26:57 +0000

Missa inte chansen att delta på Dataföreningens kryssning med Sveriges främsta säkerhetsexperter på IT-området! Kryssningen är öppen för alla, attraktivt prissatt och går av stapeln den 17-18 maj.

Jag ser fram emot spännande möten och kunskapsutbyten mellan dig som deltagare och experter som Per Hellqvist från Symantec, Per Oscarsson från den nystartade “krismyndigheten” MSB (Myndigheten för samhällsskydd och beredskap) samt Patrik Håkansson från Ericsson. Fokus kommer att ligga på den strategiska betydelsen av hot mot IT-säkerheten i företag och organisationer.

Tveka inte – anmäl dig här!

Relaterat: Svenska kreditkort hårdvaluta bland kriminella, Så döps ett virus, Conficker installerar falskt antivirus, Norrmännen värst på infostöld, Debatt: Offentliga organisationer läcker som såll, Säkerheten främst när data går från pärm till skärm, Årets CIO om sin IT-säkerhet: ‘Alfa Laval är inte Pentagon’, Så jobbar topp-CIO:erna med IT-säkerhet, ‘It-attacker har dödat’, Säkerhetsarbete viktigt för företag, Yrke: Hacker, Svenska IT-chefer lämnar nätverk vidöppna för attacker, Telekombolag anställer hackare, Tonårshacker jagades av FBI – nu får han toppjobb, Svartaste året för säkerhet på nätet, Microsoft släpper störtflod av säkerhetspatchar, Hur infiltrera det svenska kraftnätet, ‘Ny säkerhetslucka drabbar hela nätet’