Transcript SÖRF Nethouse Informationssäkerhet ur sotarens och Ritz perspektiv

Informationssäkerhet ur sotarens och
Ritz perspektiv
Viktoria Jacobsson
Vem är jag?
Kort om mig
• Bor i hus strax utanför Linköping
• Man och två tjejer (7 år och 10 år)
• Civilingenjör från KTH
• Förflutet som projektledare inom
Försvarsmakten och försvarets
materielverk
–
•
IT-system för ledningscentraler, ackreditering ITsystem mot bland annat MUST (Militära
underrättelsetjänsten)
Lång erfarenhet inom myndigheter
–
Projektledare åt bland annat Transportstyrelsen
gällande körkortshantering och arkiv (överflytt
från länsstyrelsen) samt Luftfartsverket
Viktoria Jacobsson
• Startade Nethouse Östergötland 2008
VD och partner
Nethouse Östergötland AB
E-post: [email protected]
Målsättning med föreläsningen
• Ge en kort bakgrund samt en övergripande bild av Nethouse gällande
tjänster/kompetens, värderingar, kunder och erfarenheter
• En kort inblick i del av SIS standarden för Informationssäkerhet (ISO/IEC
27001
• Ge en inblick i hur Ritz fungerar utifrån ett
informationssäkerhetsperspektiv.
– Målsättningen är att föreläsningen ska ge information om hur SSR som beställare
av Ritz, Nethouse som förvaltare av det nya systemstödet och Entreprenören som
utförare av Brandskydd och Sotning i Ritz kan förhålla sig till
informationssäkerhetsområdet och den gällande standarden
• Tid för frågor i slutet av föreläsningen
• Visa några bilder från Ritz om vi hinner
Bakgrund och nuläge
• Under våren 2012 genomfördes SSR en upphandling och utvärdering av
olika leverantörer för utveckling av ett nytt verksamhetssystem då
nuvarande systemstöd SOT2000 bygger på en gammal teknik som ej längre
går att vidareutveckla samtidigt som beroendet till nyckelperson är väldigt
stor för att hålla systemet fungerande.
• Under hösten gjordes en seriös kravprocess där representanter från SSR,
medlemsbolag och Nethouse utarbetade en kravspecifikation för det nya
systemstödet
• Nethouse tog över drift och förvaltning av det gamla systemstödet 1/12013 samtidigt som det nya systemet Ritz började utvecklas
• Ritz kommer att gå i pilotdrift under november
• Under 2014 migreras samtliga befintliga SOT2000 användare till systemet
och SOT2000 avvecklas i december 2014
Tidplan för åtagandet
2013-01-01
2014-01-01
2015-01-01
2016-01-01
2019-01-01
Projekt Utveckling
Ritz
Förvaltning SOT2000
Projekt
Implementering Ritz
Förvaltning Ritz
Tidsaxel
JAN -13
JAN -14
JAN -15
JAN -16
JAN -17
JAN -18
JAN -19
Nethouse identifierar,
möjliggör och förverkligar
Viktoria Jacobsson
Korta fakta
 Nethouse har drygt 130 medarbetare idag vid
våra kontor i Borlänge, Göteborg, Linköping,
Stockholm och Örebro.
 Vår omsättning 2012/2013 var 134 Mkr
 Resultat 2012/2013 var 10 Mkr
 Kundfördelning: 55 % offentlig sektor och 45
% privat sektor.
 Snittålder medarbetare: 39 år med ett
åldersspann mellan 23 och 63 år.
 Fördelning mellan kvinnor och män: 33 %
kvinnor och således 67 % män.
 Väldigt låg sjukfrånvaro
 Nöjd Medarbetar Index: 4,46 (!) av 5
 Huvudägare: Peridot Group AB.
Våra kontor
Nethouse utveckling
140
120
100
80
60
Medarbetare
40
20
0
Omsättning
Nethouse affärsområden
Vi har tre affärsområden som vart och ett
ansvarar för ett ord i affärsidén.
Eftersom vi tar vår utgångspunkt i
verksamhetsnytta betraktar vi relationen
mellan verksamhetens processer och
implementerade IT-lösningar som en
ständigt pågående livscykel.
Vi jobbar gärna och helst med alla områden
åt våra kunder men har inga problem med
att arbeta tillsammans med andra aktörer.
Engagerade konsulter
Engagemang – Kompetens – Ödmjukhet – Lönsamhet
Leveransformer
Identifiera
Möjliggöra
Förverkliga
Tjänsteområden
Mobila
lösningar
Business
Intelligence
Molntjänster
Webb
Nethouse affärsområden, AoV – System - Infra
Säkerhet
Exempel på kunder
Exempel på andra myndighetsuppdrag
•
Körkortsprojektet (Transportstyrelsen)
–
–
–
–
–
–
•
Projektledare
Processutvecklare
Kravhanterare
Utvecklare
Testare
Förvaltare
•
Nyutveckling och förvaltning
Förarprovsystem (Trafikverket)
–
–
•
Ansvarig för leverans av hela systemet
Förvaltar systemet/applikationen
Förvaltning och drift av Guard
Management System (Säkerhetsföretag)
–
Ansvarig för systemet ur ett 24/7 perspektiv
Trängselskattesystemet (Transportstyrelsen)
–
–
–
–
–
–
Projektledare
Processutvecklare
Kravhanterare
Utvecklare
Testare
Förvaltare
•
Flera Informationssäkerhetsuppdrag
baserat på ISO27001
Ledningssystem för
informationssäkerhet ISO/IEC 27001
Informationssäkerhet och IT-säkerhet
• Informationssäkerhet är ett allt viktigare område. Det är idag helt
avgörande att korrekt information erhålls vid rätt tillfälle och till
berättigade användare
• Informationssäkerhet gäller hela organisationen och innehåller:
– Administrativ säkerhet
– Teknisk säkerhet
• Säkerhet, och IT-säkerhet handlar om att:
– Förstå hotbilden
– Hantera sannolikheter för att utsättas för skada
– Balansera kostnader för motmedel för skydd mot värdet av det man skyddar
• En viktig del i IT-säkerhet är datasäkerheten som bland annat innebär att
skydda sig mot hackare och virus eller stöld av information på en dator
eller i ett nätverk samt att ha arbetssätt så att informationen inte avsiktligt
eller oavsiktligt förstörs
Informationssäkerhet
• Informationssäkerhet är de åtgärder som vidtas för att hindra att
information läcker ut, förvanskas eller förstörs och för att informationen
ska vara tillgänglig när den behövs. För en organisation kan det handla om
att skydda information mot en uppsättning hot för att säkerställa
verksamhetens kontinuitet, minimera verksamhetsrisken och maximera
avkastningen på investeringar och affärsmöjligheter
• Informationen som ska skyddas kan vara tryckt på papper, vara lagrad
elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas
på film eller yttras i en konversation
• Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process,
organisationsstruktur eller olika mjuk- och hårdvarufunktioner
• Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka,
granska och förbättra åtgärder för att säkerställa att organisationens
säkerhets- och verksamhetsmål uppnås
Informationssäkerhet- mer än bara krav ur ett IT-perspektiv
Informationssäkerhet ur ett Ritzperspektiv
Organisation, personal, resurser och hantering av tillgångar
•
•
•
•
•
•
•
•
SSR är beställare och ägare av Ritz
Nethouse utvecklar och förvaltar systemet på
uppdrag av SSR
Nethouse ansvarar för utbildning i samband
med implementering av systemet
Entreprenören förvaltar informationen i sin del
av databasen och ansvarar för rapportering till
huvudman
Entreprenör ansvarar för tilldelning av roller i
systemet för sina anställda
Entreprenör kan tilldela kontrollboken till
huvudman för sitt distrikt kontrollboken
Excelrapport till huvudman med ögonblicksbild
av status på objekt i kontrollboken
•
Senast utförd SO/BSK
•
Fast.bet
•
Adress
•
Objekt
•
Intervall för SOT/BSK
Ritz bygger på en skiktad lösning av databasen
•
Grunddata
•
Kontrollbok
•
Entreprenör
Nivå 3
Entreprenö
r
•
•
•
Gångordning
Unik information som kan säljas vidare
Uppdrag utanför kontrollboken
•
•
•
”Kontrollboken”
Information om objekt, frister, protokoll
Förelägganden
•
•
•
Ägare
Husnummer (byggnadsid)
Fast.beteckning och belägenhetsadress
Nivå 2
Kontrollbok
Nivå 1
Grunddata
Säkerställande av effektivt arbetssätt utifrån regler, lagar, policys
och hantering av risker
•
•
•
•
•
•
Ritz är ett processbaserat
verksamhetssystem för hantering av
Sotning och Brandskyddskontroller
Systemet har skapats utifrån en 4
månaders lång kravprocess med
erfarna personer inom Verksamhet,
Myndigheter, IT och befintligt
systemstöd
Systemet bygger på de lagkrav och
den långa erfarenheten som finns inom
Sotning och Brandskydd
Nethouse har bidragit med sin lång
erfarenhet av krav kopplat till
informationssystem
Kontrolldelen och planeringsfunktionen
är vital i systemet
Processen inititieras av
• Frister
• Kundorder
Planera
Avisera
•Grovplanering •Avisera
•Planera
•Omplanera
kalender
Utföra
•Utföra AO
•Omplanera
Kontrollera
Fakturera
•Avvikelse•Fakturera
rapportera
•Makulera
•Skriva protokoll •Ändra
Incidenthantering och återhämtning
Huvudmannaskap
• Informationen i systemet garanteras
genom backup-funktioner på annan
plats
Entreprenör
• Arbetsorder för de närmaste tre
dagarna finns för utskrift i händelse av
nedtid för Ritz vilket säkrar fortsatt
arbete för entreprenör via papper
• Systemet stödjer avvikelsehantering
och förelägganden
Systemförvaltare/Nethouse
• Nethouse har ansvar för drift och
förvaltning av systemet
• Nethouse har lång erfarenhet av
Incidentprocessen och har rutiner för
detta via ServiceDesk/”Singel-Point-OfContact”
Systemutveckling och arkitektur
•
•
•
•
•
•
•
Krav på systemet har tagits fram i
samarbete med SSR, entreprenörer
och Nethouse
Ritz är en webbapplikation baserat på
modern arkitektur och moderna
ramverk som medger mobilitet
Nethouse har strukturerade processer
för utveckling, test, förändring och
releasehantering och
förändringshantering
• Olika miljöer för utveckling-testproduktion
Robusta servertjänst för att säkra
tillgänglighet
Nethouse supportar och underhåller
systemet
Microsoft ansvarar för drift av
servertjänster
Fortnox ansvarar för fakturamodulen
Åtkomstkontroll
Behörighetsstyrning sker i olika nivåer
•
SSRAdmin - tillgång till hela registret och ansvarar
för att ge behörig entreprenör rätt distrikt
•
Entreprenör- dvs den som fått ansvar för utövande
av brandskydd, sotning eller både och för ett
specifikt distrikt
•
Entreprenören ansvarar för att ge behörig person
rätt roll för sitt distrikt
Tekniker
Sotare
Arbetsledare
Administratör
Huvudman*
•
Systemförvaltare
I dagsläget Nethouse= en roll
•
Skiktad lösning för data
Inloggning
•
Användarnamn och lösenord (minst 8 tecken)
•
Krypterat lösenord, ingen kan återställa lösen
•
Avbryts efter 3 inloggningsförsök
•
Mobil tillgång via pin-kod
Nätverk och kommunikation
•
HTTP mellan klient och server
•
Krypterade anrop mellan azure och den lokala
databasserver
•
Brandväggar till Azure och databasservern
Drift och förvaltning samt fysiska miljöer
•
•
•
Hög säkerhet och tillgänglighet på
servertjänster placerade inom EU
• Backup
• Skalskydd
• Intrångsskydd
• Brandskydd
• Skydd mot översvämning
• Ventilation
• Reservkraft
• Backup vid annan site
• 24/7
Support öppet 8-17
Spårbarhet
• All aktivitet i systemet loggas
per användare
Frågor?
Några bilder från Ritz