Oppsummering fra NIFS-møtet 12. september

NIFS-spøkelse

NIFS-møtet 12. september handlet om informasjonssikkerhet i skytjenester og hvordan virksomhetene bør forberede seg.

Publisert: 17. sep 2018, Sist endret: 02. nov 2018


Christine Hafskjold snakket om Innkjøpsordning for skytjenester.
Spørsmål fra salen med svar:

Brukere av G-Cloud

Vet vi noe om bruken av den? Statlig nivå eller også kommune?

  • Den er åpen for alle nivåer, men hovedtyngden er statlige brukere. De har et sterkere pålegg på å rettferdiggjøre de anskaffelsene de gjør. Det ligger statistikk ute på disse sidene. 

Tilbydere på G-Cloud

Tilbyderne som ligger inni rammeavtalen er ikke nødvendigvis bare britiske leverandører, men også utenlandske leverandører?

  • Ja, rammeavtalen lyses ut i EØS-området.

Sikkerhetsrevisjoner

Noen tanker rundt sikkerhetsrevisjoner i denne løsningen?

  • Nei, dette er en anskaffelsesløsning… Svanhild: det kommer litt an på hva man skal kjøpe… Krever virksomhetene sertifiseringer eller ikke? En slags kontroll med leverandørene på at de har de kvalifikasjonene de sier at de har.

Innspill fra salen: lurt i en sånn løsning å gradere sikkerhetsnivåene i enkle klasser.

Erfaringer fra helseforetakene

Hva har vi lært av de dyrekjøpte erfaringene til helseforetakene?

  • Man må ha gjort ordentlige analyser. Ikke nødvendigvis hvilken leverandør eller hvor den befinner seg som er problemet (om det er en skytjeneste eller en tjenesteutsatt leverandør), men at du vet hva tjenesten gjør og du vet hva du krever av leverandøren. Den jobben må man gjøre som virksomhet, ikke noe Difi kan nødvendigvis ordne. Gjennom «utvidet veiledning» (å være litt mer konkrete på hva man må stille som minimumskrav) kan kanskje de virksomhetene som sliter mest bli sikrere på hvilke vilkår de må stille.


Remi Longva snakket om hvor nødvendig det er å ha tilstrekkelig oversikt og være i stand til å prioritere arbeidet med vurdering av risiko, spesifikt om foranalyse som en del av risikovurderingssaktiviteten.
Spørsmål fra salen med svar:

Når skal man vurdere risiko

Spørsmål: Hvis man vurderer om man skal ut i skyen eller ikke – på hvilket tidspunkt i anskaffelsesprosessen skal man gjøre en risikovurdering? Veldig vanskelig å vite rekkefølgen på tingene her?

Svar (utarbeidet til denne artikkelen): Dersom man ikke allerede har oppdatert foranalyse for området anskaffelsen omfatter, så bør det senest gjøres i det som Prosjektveiviseren beskriver som Konseptfasen. Foranalysen er grunnlaget for å være i stand til å gjøre gode vurderinger av risiko. Vurdering av risiko vil normalt være en iterativ prosess, at man oppdaterer vurderinger og gjør nye vurderinger gjennom fasene. Forenklet kan vi kalle vurdering av risiko for redskapet for å avdekke behov for sikkerhet, og behov og krav må man ha oversikt over før man lyser ut en anskaffelse. Jf. Avklare behov og forberede konkurransen i anskaffelsesprosessen. Se også Vurdere risiko ved anskaffelser og utvikling i Difis veileder for styring av informasjonssikkerhet.

Foranalyse

Spørsmål: Hvordan (når man har gjort foranalysen og vurdert risiko) mater dere dette opp igjen til den totale oversikten?

Svar (utarbeidet til denne artikkelen): Uklart hva som menes med "den totale oversikten". Difis veiledning inneholder ikke aktiviteter spesifikt for å gi en "total oversikt" over risiko for toppledelsen, dersom det er det spørsmålet handler om. Toppledelsen, støttet av fagansvarlig informasjonssikkerhet e.l., gir føringer for aktivitetene som skal foregå rundt omkring i virksomheten (inkl. risikovurdering og -håndtering). Her vil det være elementer som sørger for at aksept av spesifikke typer risiko (f.eks. svært høy risiko) løftes i linjen, noen ganger helt til toppleder. (Se eksemplene på føringer for dette i Difis veileder.) Styringssystemet (systematiske aktiviteter) er toppledelsens redskap for å ha styring og kontroll med informasjonssikkerhet, og det følges primært opp vha. virksomhetsledelsens gjennomgang. Her vil det normalt inngå en hensiktsmessig oversikt over risiko på området, i tillegg til status på arbeidet for øvrig, og hvor godt og effektivt aktivitetene fungerer. For hvert ansvarsområde rundt omkring i virksomheten holdes det oversikt vha. aktivitetene for måling, evaluering og revisjon - spesielt den for status på eget ansvarsområde.


Mari Vestre snakket om Tilgangsstyring.
Spørsmål fra salen med svar:

Microsoft

ikke lett å stille krav opp mot Microsoft, hva gjør man da?

  • De har forsøkt å etterleve GDPR ved å opprette sentere i Europa. Forrige uke sa en leverandør at de også hadde problem med brukerstøtte. Microsoft har brukerstøtte lokalisert over hele kloden… Da må man kreve at brukerstøtten er lokalisert i Europa hvis man kun bruker den på dagtid for eksempel. Hvis man tar opp dette på forhånd, vil nok Microsoft tenke at dette er lurt… Så de tilpasser seg i en viss grad, men man må være på vakt for det er standardiserte tjenester.


Frode Sørensen snakket om Bane Nor og sky.
Spørsmål fra salen med svar:

Hva legges i skyen

Fordelingen av hva som kan gå i skyen eller hva som ikke kan gå i skyen – er det resultat av en risikovurdering eller en mer politisk beslutning?

  • En god kombo. Inputen ble gjort etter en risikovurdering, mens beslutningen ble tatt på høyt nivå…

Hva er sky for Bane Nor

Hva er en sky for dere?

  • Tjenester levert på internett som er tilgjengelig for flere enn bare oss. Det som er samfunnskritisk drifter bane NOR selv.


Tommy Molnes snakket om Lånekassen og sky.
Spørsmål fra salen med svar:

Sikkerhetskompetanse

Har dere all sikkerhetskompetanse i huset selv, eller leier dere inn?

  • Vi har en utøvende IT-teknisk (kryptoforvalter) Vi skal administrere alt av kryptoforvaltning selv. Mye sikkerhetskompetanse ligger ute i avdelingene og hos IT generelt. Vi jobber for å bygge opp kompetanse der hvor utøvelsen skjer.

Ikke alle er digitale

Hva med de som er analoge?

  • Vi har en liten bolk som gjøres manuelt.

DPIA

Hvorfor en egen DPIA i tillegg til det dere har gjort tidligere?

  • Vi kommer til å trekke ut de risikoene som går spesifikt på personvern i DPIA. For å rendyrke den enkeltes rettigheter og friheter ønsker vi å ha en rendyrket analyse på personvern – som selvfølgelig kan overlappe med deler av andre risikoanalyse.

 

 

 

 

 

 

Deldette

Kontakt