Kurs og rådgiving om cybersikkerhet

Rådgivningstjenesten i Cybersikkerhetssenteret (eduCSC) holder kurs i gjennomføring av risikovurderinger innenfor informasjonssikkerhet.

Vi holder kurs for alle som har behov for å gjennomføre risikovurderinger innenfor informasjonssikkerhet, enten dette gjelder informasjonssystemer eller arbeids- eller virksomhetsprosesser.

Våre rådgivere har lang erfaring med risikovurdering innenfor ulike tema, og sitter på omfattende kunnskap og kompetanse innen kjernevirksomheten i sektoren.

Systematiske risikovurderinger danner grunnlaget for virksomhetens ledelsessystem for informasjonssikkerhet, men risikovurderinger blir ofte ikke gjennomført pga. opplevd mangelfull intern kompetanse.

Kurset har som formål å sette virksomhetens medarbeidere i stand til å fasilitere gjennomføringen av interne risikovurderinger.

Gjennomføring

Kurset gjennomføres som en én-dags workshop (5–6 timer), fortrinnsvis med fysisk tilstedeværelse, men kurset kan også gjennomføres digitalt.

Kurset inkluderer praktiske øvelser, og for å få fullt utbytte av disse anbefales maksimalt 20 deltagere pr kurs. Deltagerne vil få tilgang til alt kursmateriell i etterkant av kurset.

Metode/rammeverk

Sektortilpasset risikovurdering basert på ISO/IEC 27005:2018.

Rådgivningstjenesten i Cybersikkerhetssenteret holder kurs for deltagere i hendelseshåndterings-team (Incident Response Team – IRT). Våre rådgivere har lang erfaring med arbeid i hendelseshåndteringsteam i sektoren. Kurset omfatter blant annet etablering og organisering av Incident Response Team, grunnleggende innføring i hendelseshåndtering og relevante metoder og verktøy.

Håndtering av IKT-sikkerhetshendelser er en forutsetning for god IKT-sikkerhet i en virksomhet og utgjør et viktig element i virksomhetens ledelsessystem for informasjonssikkerhet. Etablering av formelle IR-team i en organisasjon anses som en forutsetning for effektiv hendelseshåndtering.

Videre er etablering av IR-team en forutsetning for full tilgang til tjenester som leveres av sektorens cybersikkerhetssenter.

Målgruppe

Kurset er for alle som ønsker å etablere et IR-team i sin virksomhet og/eller bli medlem av et eksisterende team.

Gjennomføring

Kurset gjennomføres som en én-dags fysisk workshop (5–6 timer).

Kurset omfatter bl.a. etablering og organisering av IR-team, grunnleggende innføring i hendelseshåndtering og relevante metoder og verktøy. Deltagerne vil få tilgang til alt kursmateriell i etterkant av kurset. Etter gjennomført kurs vil Cybersikkerhetssenteret signere avtaler om informasjonsdeling («TLP-avtaler») med nye team og utveksle kryptonøkler for å etablere sikre kommunikasjonskanaler.

Metode

Kurset er basert på beste praksis for IRT i henhold til ENISA og på ISO/IEC 27035.

Rådgiverne i Cybersikkerhetssenteret (eduCSC) kjenner kjernevirksomheten, aktivitetene og de mest aktuelle verdiene i norsk forskning og utdanning.

Vi kjenner de sektorspesifikke kravene og forventningene, gitt i styringsdokument og tildelingsbrev. Vi har erfaring med hvordan ledelsesprosesser fungerer i sektoren, og hvordan virksomhetsstyringen gjerne er organisert.  

Vi hjelper virksomhetene i kunnskapssektoren innenfor hele bredden av innføring og videreutvikling av ledelsessystem for informasjonssikkerhet, og med helhetlig sikkerhetsstyring etter sikkerhetsloven.

Vi bistår med å finne gode måter å organisere sikkerhetsarbeidet på, med roller og ansvar som er knyttet til sikkerhetsmål og strategier, og med tiltak og handlingsplaner som kan operasjonaliseres.  

Et sikkerhetssystem skal bidra til å få sikkerhetsarbeidet til å henge sammen, og være virksomhetstilpasset i omfang, ambisjonsnivå og nødvendig sikkerhetsnivå, som er integrert med den øvrige virksomhetsstyringen.  

Vi bidrar med rådgivning slik at dere får et godt organisert og riktig dimensjonert sikkerhetsarbeid.  

Vi kan også bistå med å etablere særskilte retningslinjer og rutiner rundt spesifikke verdier, som eksempelvis er regulert av eksportkontroll-regelverket.  

Målgruppe 

CISO/ISM eller tilsvarende roller, informasjonssikkerhets- og personvernrådgivere, ledere, senter eller enheter som har særlig behov for sikkerhetsledelse. 

Gjennomføring 

Bistanden gjennomføres i tett samarbeid med virksomheten og består av følgende: 

• Forberedende aktiviteter med virksomheten 
• Gjennomføring av planlagte aktiviteter 
• Avsluttende rapport med råd og anbefalinger for videre arbeid 

Metode/rammeverk 

Vi tar utgangspunkt i gjeldende krav, føringer og anbefalinger for det systematiske sikkerhetsarbeidet for universiteter og høgskoler. 

Pris 

Tjenesten faktureres etter medgått tid pluss eventuelle reiseutgifter.  

I Cybersikkerhetssenteret (eduCSC) mener vi at verdiene skal være utgangspunktet for et systematisk og helhetlig sikkerhetsarbeid.

For å kunne prioritere ressurser, og møte trusler og sårbarheter med målrettede tiltak, må virksomhetene først vite hvilke verdier som skal beskyttes, og hvorfor.

Verdioversikten er også grunnlaget for å planlegge beredskap og kontinuitet.  

Vi hjelper virksomhetene i kunnskapssektoren med finne og kategorisere egne verdier, og knytte dem til eierskap og ansvarsforhold.

Dette kan gjennomføres på et mer overordnet virksomhetsnivå, eller for en enhet eller et prosjekt i virksomheten.

Videre kan vi bidra til å gjennomføre verdivurderinger, som vil danne et godt utgangspunkt for påfølgende risikovurderinger og risikostyringsprosessen. 

Målgruppe 

Sikkerhetsledere, CISO/ISM eller tilsvarende roller, informasjonssikkerhets- og personvernrådgivere, ledere, senter eller enheter som har særlig behov for sikkerhetsledelse. 

Gjennomføring 

Bistanden gjennomføres i tett samarbeid med virksomheten og består av følgende: 

• Forberedende aktiviteter med virksomheten 
• Gjennomføring av planlagte aktiviteter 
• Avsluttende rapport med råd og anbefalinger for videre arbeid 

Metode/rammeverk 

Vi tar utgangspunkt i gjeldende krav, føringer og anbefalinger for det systematiske sikkerhetsarbeidet for universiteter og høgskoler. 

Pris 

Tjenesten faktureres etter medgått tid pluss eventuelle reiseutgifter.  

Rådgivningstjenesten i Cybersikkerhetssenteret hjelper dere med risikovurderinger innen informasjonssikkerhet.

Våre rådgivere har lang erfaring med risikovurderinger innenfor ulike tema, og har omfattende kunnskap og kompetanse innen kjernevirksomheten i sektoren. 

Risikostyring skjer i praksis gjennom risikovurderingsprosessen.

Målet med å gjennomføre risikovurderinger er å avdekke risikoer forbundet med forvaltning av informasjonsverdier både i informasjonssystemer og i arbeidsprosesser, for å kunne prioritere tiltak som reduserer risikoen til et akseptabelt nivå. 

Målgruppe 

Vi hjelper alle som har behov for å gjennomføre risikovurderinger innenfor informasjonssikkerhet, enten det gjelder informasjonssystemer, eller arbeids- eller virksomhetsprosesser. 

Vi hjelper med 

• Forberedelser, inkludert planlegging med virksomheten  
• Fasilitere (sekretærrolle) workshop 
• Ferdigstiller og utarbeider rapport med råd og anbefalinger for videre arbeid 

Metode/rammeverk 

Sektortilpasset risikovurdering basert på ISO/IEC 27005:2018. 

Pris 

Tjenesten faktureres etter medgått tid pluss eventuelle reiseutgifter.  

Øvelser er en god læringsarena som bidrar til at dine ansatte kjenner planverk, verktøy og sin rolle i en krisesituasjon.

De bidrar til å styrke kompetansen både på individnivå og på organisasjonsnivå, og skaper bevissthet rundt kompleksiteten av det helhetlige sikkerhets- og beredskapsarbeidet.  

Vi kan tilby skreddersydde øvelser for å øke evnen til å håndtere kriser og uønskede hendelser innen informasjonssikkerhet og personvern.

Rådgivningstjenesten i Cybersikkerhetssenteret (eduCSC) har variert og bred kompetanse innen øvelsesplanlegging og gjennomføring av alle typer øvelser.   

Det å ha en plan for håndtering, samt en plan for opprettholdelse av drift (kontinuitet) av de essensielle tjenestene til virksomheten når krisen inntreffer er sammen med øvelser gode virkemidler for å gi økt handlingskompetanse og overskudd til god krisehåndtering ved en uønsket hendelse.   

Vi kan bistå i arbeidet med å komme i gang med nye og revisjon av eksisterende kontinuitets- og beredskapsplaner.  

Målgruppe  

Alle som har behov for å planlegge og gjennomføre øvelser innen informasjonssikkerhet og personvern.  

Gjennomføring  

Øvelser gjennomføres i tett samarbeid med virksomheten og tilpasses dennes risikoforhold, behov og modenhet.

Sammen ser vi på virksomhetens eksisterende beredskapsplanverk, aktuelle tiltakskort, og hvilke beredskapsroller som skal trenes, for å utarbeide mål og scenario for øvelsen. Når vi bistår med øvelser, gjennomføres dette med  

• Planleggingsmøter med virksomheten  
• Gjennomføring  
• Evaluering/hot washup   
• Sluttrapport  

Innen kontinuitets- og beredskapsplaner kan Cybersikkerhetssenteret (eduCSC) bidra med rådgivning slik at dere får et godt organisert og dimensjonert arbeid.  

Metode/rammeverk  

Vi jobber ut fra de rammene som er satt for sektoren, og baserer oss blant annet på styringsdokument for arbeidet med samfunnssikkerhet fra Kunnskapsdepartementet og NSMs rammeverk for håndtering av IKT-sikkerhetshendelser.  

Pris  

Faktureres etter medgått tid pluss reiseutgifter.