Datorstödd informationssäkerhetsutbildning för användare (DISA)

Datorstödd informationssäkerhetsutbildning för användare (DISA)

INTYG



har genomfört datorstödd informationssäkerhetsutbildning för användare (DISA)



DISA består av åtta avsnitt som tar upp viktiga frågor för informationssäkerheten i en organisation. Efter att ha gått igenom utbildningen har eleven fått en grundläggande förståelse för frågorna och hur de bör hanteras i arbetslivet.





RESULTAT

  • Introduktion

    DISA

    Vi lever idag i ett informationssamhälle där större mängder information än någonsin tidigare bearbetas, lagras, kommuniceras och mångfaldigas. På individnivå betyder det ofta att arbetsliv och privatperson lätt flyter samman och att vi dagligdags hanterar stora mängder av information.

    Syftet med utbildningen DISA är att på ett enkelt och kostnadseffektivt sätt kunna hjälpa organisationer att höja sina medarbetares medvetenhet om, och grunderna i, en god informationssäkerhetshantering. Med informationssäkerhet menar vi möjligheten att upprätthålla önskad sekretess, riktighet och tillgänglighet hos en organisations informationstillgångar.

    DISA kan användas som en introduktionsutbildning för alla inom de flesta organisationer. Beroende av vilken typ av organisation som arbetsgivaren tillhör, kan arbetsgivaren på egen hand förtydliga regler om allmänna handlingar, offentlighetsprincipen och sekretess, samt hantering av intern och extern information.

    Efter genomgången utbildning ska användaren ha funderat över vilken information på arbetsplatsen som är mest skyddsvärd för honom eller henne, och hur han/hon bäst skyddar den.

    DISA består av tio avsnitt som alla inleds med en sketch, som följs av en informationstext samt en fråga med tre svarsalternativ. För att komma vidare till nästa avsnitt måste du svara på frågan. Du kommer att se om du har svarat rätt eller inte med en gång. Utbildningen tar cirka 20 minuter, och efter avslutad utbildning har du möjlighet att skriva ut ett intyg.

  • Avsnitt 1 av 10

    Lösenord

  • Avsnitt 1 av 10

    Lösenord

    Lösenord används i en mängd olika sammanhang och är det klassiska sättet att identifiera sig med på nätet. I många fall är ett lösenord det enda som skyddar dina uppgifter. Använd därför inte samma lösenord till flera system eller inloggningssidor och byt lösenord regelbundet. Skulle ditt lösenord till något system komma på avvägar påverkar det inte säkerheten till dina andra system.

    Det kan vara svårt att minnas olika lösenord och det kan vara lockande att skriva ner dem på en minneslapp någonstans, gärna nära den dator som respektive lösenord ska användas till. Gör inte det. Försök istället att hitta en metod som hjälper dig att komma ihåg dina olika lösenord. Ett tips är att sätta in lösenordet i ett sammanhang, eller i en ramsa. Men använd t.ex. inte din dotters namn och hennes födelseår som lösenord då lösenord med personlig anknytning är lätta att gissa sig till. Neutrala lösenord är alltid att rekommendera.

    Kom ihåg: Se ditt lösenord som din egen hemlighet, inte som enhetens/organisationens gemensamma.

    De flesta webbläsare har automatiska minnesfunktioner för att minnas de lösenord som du matar in. Om du delar dator med andra så kan det vara bra att känna till att det finns funktioner för att radera sparade lösenord. I Internet Explorer finns den funktionen under menyalternativet verktyg/ ta bort webbhistorik/ta bort lösenord.  Liknande funktioner finns i övriga webbläsare.

  • Avsnitt 1 av 10

    Lösenord

    Varför bör man inte låna ut sitt lösenord till vänner och bekanta?

  • Avsnitt 2 av 10

    Mobila enheter

  • Avsnitt 2 av 10

    Mobila enheter

    En bärbar arbetsdator ska ses som ett arbetsredskap som din arbetsgivare tillhandahåller. Den ska inte användas till annat än vad den är avsedd för, eller vad policyn på din arbetsplats tillåter. Så snart du börjar använda datorn kommer den att innehålla uppgifter om ditt arbete och din arbetsplats. Mängden information fylls sedan kontinuerligt på, ju längre du använder den. Givetvis finns det tekniska lösningar för att skydda från insyn, som t ex olika krypteringssystem.

    Tänk på att inte lämna din dator utan uppsikt, låna inte ut den och använd den inte till privata ändamål. När du arbetar med din dator i publika miljöer, utgå ifrån att obehöriga inte ska kunna se vad du arbetar med, oavsett materialets känslighet eller sekretessvärde.

    En bärbar dator som du använder i privatlivet innehåller ofta uppgifter om dig som kan vara känsliga eller till och med skadliga om de hamnar i orätta händer. Det kan handla om inloggningsuppgifter till sociala nätverk, din Internetbank, eller privata e-postkonton.

    Flyttbara lagringsmedia, som USB-minnen, erbjuder även de allt större minneskapaciteter och det kan inte nog understrykas hur viktigt det är att ha kontroll på vilken information som sparas ner på dem. Använder du USB-minnen på arbetet bör du kontrollera vilka regler som din arbetsgivare har satt upp för att skydda minnena när de lämnar arbetsplatsen.

  • Avsnitt 2 av 10

    Mobila enheter

    Varför ska du hantera dina USB-minnen på samma säkra sätt som din dator och din mobiltelefon?

  • Avsnitt 3 av 10

    Skadlig kod

  • Avsnitt 3 av 10

    Skadlig kod

    Skadlig kod är ett samlingsbegrepp för det man i dagligt tal kallar virus, trojaner och maskar. Traditionellt sett riskerar man att drabbas av skadlig kod när man öppnar okända bilagor i e-post, surfar på Internet eller importerar filer till sin dator via olika media.

    För att undvika virusangrepp eller andra typer av skadlig kod är det viktigt att du håller din dator uppdaterad med de säkerhetsuppdateringar som din leverantör skickar ut. Du bör även överväga att skaffa ett antivirusprogram, ett program som är gjort särskilt för att söka efter och ta bort filer som är infekterade av virus.

    Så snart du märker att du har drabbats bör du lämna datorn till din IT-support. Om man har drabbats är det viktigt att man ändrar alla sina lösenord.

    Undvik riskerna på nätet genom ett säkert beteende. Vanligtvis räcker det med att du frågar dig själv hur du skulle agera i verkligheten och sedan agera på liknande sätt i den digitala världen. Ge inte ut mer information än nödvändigt om dig själv, klicka inte på länkar som du inte vet vad de innehåller och kommunicera som grundregel bara med personer som du känner eller vet vilka de är. Om du har fått ett mail som du är tveksam till, ring och hör efter med personen/organisationen som du tror har skickat det, om avsändaren stämmer.

  • Avsnitt 3 av 10

    Skadlig kod

    Vad kan vara ett bra tips för att undvika att drabbas av skadlig kod (virus m.m.)?

  • Avsnitt 4 av 10

    Sociala medier

  • Avsnitt 4 av 10

    Sociala medier

    Rent allmänt bör du hantera sociala medier på Internet på samma sätt som du skulle göra om du umgicks med personer i verkliga livet. Tänk på vad du skriver, så du inte förolämpar någon. Ett förfluget ord i verkliga livet glöms lätt bort, medan det du skriver på Internet finns kvar där för evigt. Det finns en mängd olika brott i lagstiftningen som kan ge kännbara straff med anledning av vad som skrivs på nätet.

    Flera företag, kommuner och myndigheter använder sig av Facebook, Twitter, bloggar och andra typer av sociala medier som kommunikationskanaler. De arbetsgivare som använder sig av sociala medier rekommenderas att sätta upp tydliga regler och interna rutiner för vad syftet med sidan är, vad som får förekomma på den och hur den ska skötas av organisationens ansvariga administratörer. Både organisationer och enskilda har ett ansvar för vad de själva publicerar. Organisationer som använder sociala medier där besökare kan skriva kommentarer och inlägg, har dessutom ett ansvar för personuppgifter som andra publicerar på sidan.

  • Avsnitt 4 av 10

    Sociala medier

    Vad är sant om sociala medier?

  • Avsnitt 5 av 10

    E-post

  • Avsnitt 5 av 10

    E-post

    Att maila jobbrelaterat material från sin arbetsplats till sin privata e-post kan vara emot din arbetsplats policy, samt innebära en risk då känsligt material sänds till en eventuellt mer oskyddad miljö än vad din arbetsplats är. Det kan även uppstå känsliga avvägningar gällande skickat material mellan din hemdator respektive arbetsdator med anledning av reglerna om allmänna handlingar, sekretess och offentlighetsprincipen.

    Tänk på att du ansvarar för det material som du arbetar med, oavsett var du gör det. Beroende på vilket privatkonto som du skickar material genom, innebär det en mer eller mindre säker tredje part. Betrakta det som du skickar via e-post som att du skickar ett vanligt vykort, det vill säga det skickas helt öppet och kan komma att läsas av obehöriga. Ofta passerar mail också flera landsgränser innan det når sin slutdestination.

    Innan du skickar information ställ dig själv frågan vilken sorts information det rör sig om; innehåller materialet känsliga eller hemliga delar, eller är informationen helt öppen?

    Ditt svar avgör hur du ska hantera informationen. En grundregel kan vara att utgå från att allt som inte är öppen information inte bör skickas i vanlig e-post. Vid osäkerhet fråga alltid vidare inom organisationen.

  • Avsnitt 5 av 10

    E-post

    Vad är sant när det gäller möjligheten att skicka känsliga personuppgifter med e-post?

  • Avsnitt 6 av 10

    Säkerhetskopiering

  • Avsnitt 6 av 10

    Säkerhetskopiering

    Säkerhetskopiering av filer och/eller system görs för att man ska kunna återställa material om datorn går sönder eller om datafilerna skadas på annat sätt. Det kan handla om allt från dataintrång till brand. Beroende på din arbetsplats policy så görs säkerhetskopiering olika ofta. Om du råkar radera eller skriva över ett dokument, kontakta din IT-support så kan de hjälpa dig att återställa materialet. I arbetslivet har din arbetsgivare oftast färdiga rutiner för säkerhetskopiering, vilken information som säkerhetskopieras, hur ofta säkerhetskopiering sker, och var säkerhetskopiorna sparas. Kontrollera vilka rutiner som gäller för din arbetsplats.

    I privatlivet är säkerhetskopiering ofta minst lika viktigt. Många kan vittna om värdefull information som de förlorat i diskkrascher. Det handlar om allt från viktiga examensuppgifter i skolan till bilder på barn eller släkt. Det finns flera tjänster och funktioner som förenklar säkerhetskopiering. Ta reda på vilken lösning som passar bäst för dig.

  • Avsnitt 6 av 10

    Säkerhetskopiering

    Vad av följande är sant när det gäller säkerhetskopiering?

  • Avsnitt 7 av 10

    Spårbarhet och loggning

  • Avsnitt 7 av 10

    Spårbarhet och loggning

    Som huvudregel gäller att alla händelser i ett datorsystem sparas någonstans, så kallad loggning. Loggning innebär att uppgifter om vem som gjorde vad, och när, sparas. Det gäller både de åtgärder som du vidtar, samt de åtgärder som systemet vidtar automatiskt när du arbetar med datorn.

    Spårbarhet innebär att man genom loggning kan identifiera och följa förloppet för olika händelser som skett på datorn. Syftet är att finna vem som är skyldig till ett intrång eller en säkerhetsrelaterad incident. Manipulation av loggar är för övrigt ett vanligt sätt att försöka dölja intrång och bedrägeri på.

    Policys bör finnas för vad som loggas på din arbetsplats, hur länge de sparas, vem som följer upp dem och hur de ska förvaras. Tänk på att loggning kan innebära intrång i personers integritet och att de kan omfattas av personuppgiftslagen.

  • Avsnitt 7 av 10

    Spårbarhet och loggning

    Vilket av följande påståenden om loggning är sant?

  • Avsnitt 8 av 10

    Säkert beteende

  • Avsnitt 8 av 10

    Säkert beteende

    Informationssäkerhet handlar om att förstå att information som är skyddsvärd ska behandlas med varsamhet. Allt som ligger framme på ditt skrivbord är ofta inte önskvärt att andra personer ser eller läser. När man samtalar om arbetsuppgifter med känsligt innehåll bör man tänka på var och med vem man gör det. Är det ett samtal med känsliga uppgifter är det viktigt att ingen utomstående kan höra vad som sägs. Ett problem som uppmärksammats i media är illojala anställda insiders, som tagit med sig olovlig information från sin arbetsplats när de slutat. Var därför uppmärksam på att du inte pratar öppet om känslig arbetsinformation med kollegor som inte arbetar med samma arbetsuppgifter som du.

    De flesta arbetsplatser har riktlinjer för hur externa besökare ska behandlas. Externa besökare bör t ex inte få gå omkring ensamma på en arbetsplats utan hämtas och lämnas i receptionen. Den enkla regeln att den som släpper in en besökare också ansvarar för besökaren tills den lämnar lokalen bör gälla. De bör även synas för övriga personer på arbetsplatsen att personen ifråga är en besökare, så krav för besökare att alltid bära namnbricka med organisationstillhörighet är på sin plats.

  • Avsnitt 8 av 10

    Säkert beteende

    Vilket av följande påståenden känns rimliga när det gäller hantering av externa besökare?

  • Avsnitt 9 av 10

    Smarta telefoner

  • Avsnitt 9 av 10

    Smarta telefoner

    Begreppet ”smart telefon” började användas för ett par år sedan när mobiltelefoner försågs med funktioner för e-post, webbläsare, kalender m.m. Utvecklingen har gått mycket snabbt och idag är de flesta mobiltelefoner försedda med betydligt fler funktioner än enbart telefoni.

    Idag tillhandahåller många organisationer smarta telefoner till sina anställda. MSB har tagit fram en särskild vägledning för säkrare hantering av smarta telefoner och surfplattor i verksamheter. Vägledningen finns att ladda ner på MSB: webbplats www.msb.se.

    För den enskilde användaren av en smart telefon i i jobbet är det viktigt att ta reda på vilka regler som arbetsgivaren har satt upp för användningen. Därutöver finns ett antal saker som det är bra att känna till.

    En viktig sak att tänka på när det gäller smarta telefoner är att de innehåller funktioner som lätt leder till att jobbrelaterad och privat information blandas samman. Det kan gälla t.ex. sms som skickas i tjänsten och sådana som skickas privat eller en kalenderfunktioner där både arbetsrelaterade och privata händelser lagras. Dessa båda exempel kan i många fall vara helt okontroversiella, men det är bra att känna till att arbetsgivaren i de flesta fall har rätt att ta del av informationen. För den som arbetar inom offentlig sektor gäller offentlighetsprincipen och då är det ofta möjligt för utomstående att begära ut informationen.

    Mer komplicerat kan det bli om användaren använder funktioner som t.ex. kamera och åtkomst till sociala medier. Många tjänster som går att nå med en smart telefon hämtar och lagrar även information som finns i telefonen, t.ex. aktuell position, inloggningsuppgifter och i några fall även kontouppgifter.

    Om man använder smart telefon i jobbet bör man kort sagt tänka igenom vilka konsekvenser användningen kan få. Är man osäker går det i de flesta fall att fråga organisationens it-avdelning eller motsvarande. Mycket information om tjänsterna finns naturligtvis också att söka fram på Internet.

    Förutom alla de funktioner som gör telefonen till en smart telefon, är det viktigt att även tänka på hur du hanterar information då du talar i telefonen. Tänk på vad du delger för information då du befinner dig i publika miljöer. Hemlig eller känslig information bör du aldrig tala öppet om på t.ex. bussen eller restaurangen osv.

  • Avsnitt 9 av 10

    Smarta telefoner

    Vad bör du tänka på om du tar privata fotografier med en smart telefon som ägs av din arbetsgivare?

  • Avsnitt 10 av 10

    Surfplattor

  • Avsnitt 10 av 10

    Surfplattor

    Utbudet av nya tekniska mobila lösningar går mycket snabbt. Surfplattor är i detta avsnitt samlingsnamn för datorer med pekskärmar, t.ex. pekplattor, datorplattor, paddor etc.

    Generellt kan man säga att det som gäller för smarta telefoner ur säkerhetssynpunkt (föregående avsnitt), även gäller för surfplattor. Exempelvis finns det i båda fallen en risk att jobbrelaterad och privat information blandas samman och att vissa tjänster lagrar information som går att hämta från enheten. Generellt kan man säga att de stora skärmarna i surfplattor och det större lagringsutrymmet inbjuder till att l lagra och bearbeta information på själva plattan, jämfört med telefonen som i många fall enbart används för att skicka information.

    Gemensamt för smarta telefoner och surfplattor är att det finns ett stort utbud av s.k. appar som går att ladda ner och installera på telefonen. Under förutsättning att din arbetsgivare inte infört begränsningar i rätten att ladda ner appar så bör man bara ladda ner appar från stora, kända leverantörer, med många tidigare nedladdningar och med okontroversiellt innehåll.

    Har du en surfplatta som tillhandahålls av din arbetsgivare ska du i främsta hand följade regler som din arbetsgivare har satt upp för användningen. Finns det t.ex. regler om att surfplattan ska låsas med lösenord gäller som vanligt att skapa ett säkert lösenord och inte lämna ut det till andra.

    Om du förlorar din surfplatta är det viktigt att omedelbart anmäla surfplattan försvunnen till din arbetsgivare. I vissa fall finns möjligheter att fjärradera information. Finns det känslig information på plattan är det i sådana fall viktigt att anmälan görs så snabbt som möjligt.

    För användare i offentlig tjänst gäller det att tänka på hur information kommuniceras till och från plattan. Innehåller informationen t.ex. personuppgifter är det viktigt att göra en analys av hur man kan hantera informationen. Molntjänster (t.ex. DropBox, Azure, Ubuntu One, iCloud) kanske inte kan användas. På samma sätt gäller det för hantering av viss information inom näringslivet, t.ex. kundregister, företagshemligheter, att man noga bör överväga hur sådan information laddas ned till respektive skickas från plattan.

  • Avsnitt 10 av 10

    Surfplattor

    Vad är risken med att vissa appar delar information som du har på surfplattan?

  • Resultat

    Registrera dina resultat




Dina resultat (för muspekaren över för mer information)

  • Avsnitt 1: Lösenord
  • Avsnitt 2: Mobila enheter
  • Avsnitt 3: Skadlig kod
  • Avsnitt 4: Sociala medier
  • Avsnitt 5: E-post
  • Avsnitt 6: Säkerhetskopiering
  • Avsnitt 7: Spårbarhet och loggning
  • Avsnitt 8: Säkert beteende
  • Avsnitt 9: Smarta telefoner
  • Avsnitt 10: Surfplattor

Kontakt

Telefonväxel: 0771-240 240
Faxnummer: 010-240 56 00
Öppet: Måndag-torsdag 07.45-16.30, fredag 07.45-16.00
E-post: registrator@msb.se

Postadress

Myndigheten för samhällsskydd och beredskap. 651 81 KARLSTAD