Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
ICT-mässan och paneldebatt » Kryptoblog

ICT-mässan och paneldebatt

January 10th, 2008 by Joachim Strömbergson Leave a reply »

Idag var jag nere en sväng på easyFairs ICT-mässa här i Göteborg. Sveriges största IT-mässa enligt easyFairs.

ICT-mässan

Årets mässa hade flyttat upp från det stora mässgolvet till balkongerna, vilket pekar på att mässan inte är speciellt stor. Dock kändes det som att flytten gjorde mässan bättre. Mässgolvet ormade sig runt och det kändes tätare, mer spännande och faktiskt större än vad det egentligen var.

Jag såg inte speciellt mycket nytt presenteras och dom stora drakarna saknades, så det kändes som att mässan var en ganska lokal företeelse. Göteborgsföretagen Appgate, Op5 och Halon ställde ut. Däremot fanns varken CryptZone (fd Secured Email) eller Fingerprint Cards med.

Jag var på en paneldebatt om informationssäkerhet som modererades av Tomas Gilså. Nedan följer mitt referat:


Alf Holmberg, Pulsen
Stor fördel med Eurosocs är att IT-säkerhet blir en affärsfråga, inte en teknikfråga. Kreditvärdigeheten påverkas.

Du kan inte köpa dig till säkerhet genom att köpa teknik, utan organisation och personal måste med i arbetet.

Det företag som ger konsulter full access till sitt nät har en del kvar att göra på sitt säkerhetsarbete.

Barbro Laurin, infosäkerhetschef på Sahlgrenska:
Informationssäkerhet – det är patientjournaler. Etik och moral spelar även roll. Aftonbladet, Telia: Brister i den mänskliga faktorn, ej teknik. IT-säkerhetspersonal måste i i början av projekten.

Varje gång någon öppnar en elektronisk journal. En patient har rätt att få reda på vem som öppnat journalen. För att få access till Internet krävs en personlig inloggning.

Gunnar Karlsson, IBM:
Vad som kommer att krävas för att uppfylla Eurosocs ej klart än. Men drivkraften som Eurosocs ställer kommer att hjälpa till. USA: Comply or die. Europa: Comply or explain yourself.

Scania har alltid kört SOA. Bygga i moduler är smart, både om man bygger lastbilar och IT-säkerhet.

Det finns skäl till att organisationer inför stöd/övervakningssystem. Det gäller att följa upp sin säkerhetspolicy.

Göran Marby, Appgate:
Eurosocs, åttonde EU-direktivet kommer att vara en guldkalv för IT-konsulter. Ställer krav på spårbarhet. Sverige är “skitdåligt” på IT-säkerhet. Ett av få länder som inte ställer några som helst krav på certifiering, IT-säkerhet vid offentlig upphandling. Pratar hellre om grön IT. Riksrevisionen riktade 2007 allvarlig kritik mot hanteringen av IT-säkerhet. Det som är viktigaste med Eurosocs är att IT-avdelning kan säga att om man inte får ta hand om säkerhetsproblem får inte bolagen en ren revisionsberättelse.

I början kommer antagligen revisorerna att säga nej till allt, innan man vet vad man kan säga ja till.

Det är inte alla personers uppgift att bry sig om IT-säkerhet. Håller inte alls med om att man måste utbilda anställda i säkerhet. Måste bygga in säkerhet på ett sätt att personalen inte behöver bry sig. Man blandar LEGO och Duplo och får inkompatibla system.

Lagstiftning är till för att få in krav på säkerhet så att folk inte skall behöva kunna vad som är bra och inte. Krav på ABS-bromsar är till för att jag inte skall behöva veta vilka bromsar som är bra.

Skillnaden mellan insidan och utsidan på ett nät har minskat.

Linus Svensson, Symantec:
Kostnad vs säkerhet. Tillgänglighet är grunden.

Bra att man lagstiftar om informationssäkerhet. Sverige ligger efter USA. Tvång och stöd. Det som brister är inte medvetenhet om säkerhetsproblem utan kvantifiering av kostnaderna. Vore bra att få in motsvarande lag som i USA att den som slarvar bort annans info måste meddela detta till personen.

Linus: Problemet hos Aftonbladet och Telia handlar om att man undviker ansvar. Måste ha en tydlig ansvarsfördelning.

Thomas Djurling:
Jobbat på FRA med att bygga upp avdelning för att säkra upp Sverige. I dag egen konsult. Viktigt att veta sin egen informations värde. Ha koll på hotbilden och sina egna svagheter. Vem skall man skydda sig i från.

Ledningssystem för informationssäkerhet (LIS).

Man glömmer ofta bort människan och att ta hänsyn till människan för att det är jobbigt. Generellt sett på tok för stor tilltro till tekniken.

FRA var tidiga att införa Internetaccess för sin personal. Personalen fick skriva på ett avtal som bla innebär att FRA får logga all access. Syftet var att få användaren att ändra sitt beteende. Big Mother fungerar på FRA också.

Mycket snack om Eurosoc(rätt stavning?) och behovet av lagstiftning i Sverige för att öka pressen på organisationer att ta informationssäkerhet på allvar. En bra paneldebatt där Göran Marby var den som avvek från de gemensamma åsikterna och fick igång en debatt.

Uppdaterad 2008-01-10:
EuroSOX skall det vara. Tack för påpekandet. Här finns en organisation i Sverige som jobbar med EuroSOX.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

2 comments

  1. c says:

    EuroSOX.

    SOX = Sarbanes Oxley Act (USA regelverk)

  2. Joachim says:

    Aloha!

    Ah, tack!
    Lär mig nya saker varje dag. 😉

Leave a Reply

You must be logged in to post a comment.