1 of 32

It-sikkerhed �i praksis

En grundbog for PBA i it-sikkerhed

András Ács Pedersen anac@zealand.dk

Karsten Dahl Vandrup kava@zealand.dk

2 of 32

En grundbog �i cybersikkerhed

3 of 32

En grundbog i cybersikkerhed

  • Introduktion til 10+1 centrale emner indenfor cybersikkerhed�
  • Bredt teoretisk fundament�
  • Praktisk anvendelse af teoretiske modeller�
  • Inviterer- og inspirerer til fordybelse

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

4 of 32

Et bud på en grundbog til PBA i It-sikkerhed

Sammenhæng med studieordningen

5 of 32

Bogen indholder

  • 12 kapitler�
  • 139 illustrationer�
  • 100+ opgaver og øvelser�
  • 1(?) easter egg

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

6 of 32

Begrebsdefinitioner og vokabular

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

7 of 32

Struktureret efter IS0 27001

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Trusler

og risici �(del 1)

Tekniske foranstaltninger

(del 2)

Organisatoriske foranstaltninger �(del 3)

8 of 32

Kapitel 1 - It-kriminalitet og trusler fra cyberspace

  • Hvad er it-kriminalitet?
  • Cyberkriminalitet
  • Trusselsbilledet
  • Danmarks cyberforsvar
  • Phishing
  • Ransomware

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • Intro til studiet
  • Sikkerhed i it-governance

9 of 32

Kapitel 2 - Sårbarheder i informationssystemer

  • Forskel på data og information
  • Analyse af en organisations informationsaktiver
  • Information Asset Management
  • Misbrug af it-infrastruktur
  • Sårbarheder
  • Kortlægning af trusler og sårbarheder

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • Sikkerhed i it-governance

10 of 32

Kapitel 3 - Risikoanalyse og risikostyring

  • Konsekvens af et cyberangreb
  • Risikoanalyse i praksis
  • Risikoanalyse (Risk Assessment)

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • (Videregående) sikkerhed i it-governance

11 of 32

Kapitel 4 - Beskyttelse af it-systemer

  • Teknisk beskyttelse af it-systemer
  • It-sikkerhedssystemer
  • Sikkerhedsaspekter af organisationens computernetværk
  • Backup og recovery af data
  • It-beredskab og incident response

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • Systemsikkerhed
  • Sikkerhed i it-governance
  • Netværkssikkerhed

12 of 32

Kapitel 5 - Udvikling af sikker software

  • Teoretiske modeller for softwaresikkerhed�
  • Praktiske tiltag, som kan fremme applikationssikkerhed�
  • Eksempler på angreb på applikationer

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:�Softwaresikkerhed

13 of 32

Kapitel 6 - Praktisk kryptografi

  • Historisk kryptografi
  • Introduktion til moderne kryptografi
  • Symmetrisk kryptering, asymmetrisk kryptering og hashing
  • Eksempler på anvendt kryptografi

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:�Systemsikkerhed, Netværkssikerhed og Softwaresikkerhed

14 of 32

Kapitel 7 - Hacking og penetration testing med Kali Linux

  • At tænke som en hacker
  • Testing og hacking med Kali Linux
  • Hackerøkosystemet: din vej mod at blive (en endnu bedre) pentester

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:�Systemsikkerhed, Netværkssikerhed og Softwaresikkerhed

15 of 32

Kapitel 8 - Organisatoriske foranstaltninger

Asset Management

Access Control

Kryptering

Godkendelsesprocedurer

Password

Single sign-on

Two-factor authentication

Remote Access/VPN

Bring Your Own Device (BYOD)

Clean desk og clear screen

Fysiske og miljømæssige foranstaltninger

Sikre områder og ringe

Awareness training

Økonomiske aspekter af it-sikkerhedstiltag

Service-level agreements (SLA)

Forsikringer mod datatab

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • Sikkerhed i it-governance

16 of 32

Kapitel 9 - Information Security Management Systems (ISMS)

Case: Ransomware-angrebet på Mærsk

Information Security Management System (ISMS)

Introduktion til ISO 2700x

Statement of Applicability

Hvor udbredt er ISO 27001?

Håndtering af et sikkerhedsangreb

Business Continuity Management

ISO 27001-certificering

ISO 27001 i statens virksomheder

CIS-kontroller

ISMS i fremtidens virksomhedsledelse

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • (Videregående) sikkerhed i it-governance

17 of 32

Kapitel 10 - General Data Protection Regulation (GDPR)

Databeskyttelsesforordningens formål

De syv principper i GDPR

Data Lifecycle Management

Roller i GDPR

Samtykke (Consent)

De fundamentale rettigheder

Databehandleraftaler

Når uheldet er ude

Software compliance: GDPR for udviklere

Sikker zone og usikker zone

Bødestrukturen

GDPR i ISMS via ISO 27701 og PIMS

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • (Videregående) sikkerhed i it-governance

18 of 32

Kapitel 11 - Etik og it-sikkerhed

Kulturel baggrund

Fem centrale emner

Cyberetik

Personlige og organisatoriske dilemmaer

Samfundsudfordringer

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

Kan indgå i flg. fag:

  • (Videregående) sikkerhed i it-governance
  • Valgfag

19 of 32

Pedersen & Vandrup 2022�It-sikkerhedsbogen.dk

20 of 32

https://anchor.fm/a33nt

21 of 32

Tak for jeres opmærksomhed

www.it-sikkerhedsbogen.dk

www.zealand.dk/fuldtid/it-sikkerhed/

22 of 32

Eksempler på trusler

23 of 32

24 of 32

25 of 32

26 of 32

27 of 32

Nogle nyere overskrifter fra it-sikkerhedsnyheder

Pedersen & Vandrup, it-sikkerhedsbogen.dk 2022

28 of 32

Krigen i Ukraine har også en it-sikkerheds-aspekt

Pedersen & Vandrup, it-sikkerhedsbogen.dk 2022

29 of 32

Nogle gange skal vi dog tage nyhederne med et gran salt: Kan I huske Y2K-truslen?

Pedersen & Vandrup, it-sikkerhedsbogen.dk 2022

30 of 32

Pedersen & Vandrup, it-sikkerhedsbogen.dk 2022

31 of 32

Det er ikke kun store virksomheder, der har noget at miste

Pedersen & Vandrup, it-sikkerhedsbogen.dk 2022

32 of 32

Udvalgte illustrationer fra it-sikkerhedsbogen