Hvorfor melde inn oppgave?

Sikkerhetsbransjen priser en risikovurdering av en applikasjon på 30 timer og et komplekst IKT system på 150-200 timer. Her er et lavterskeltilbud for å komme i gang med kartleggingen av digital sikkerhetsrisiko med gjensidig læring. Du investerer timer og får tilbake en rapport med de viktigste informasjonsverdiene, risikoene, og hvilke tiltak som anbefales for å oppnå akseptabel risiko innen digital sikkerhet. Dette er også en god mulighet for næringslivet til å bli kjent med studentmiljøet på NTNU i Gjøvik.

Om kurset og oppgaven

Oppgaven inngår i det årlig kurset DCSG2005 - Risikostyring (tidligere IMT2008/1132) for andreårsstudenter som en del av bachelorutdanningen. Dette er et kurs som har eksistert i en eller annen form i over 15 år i infosekutdanningen. I faget arbeider studentene i grupper for å gjennomføre en skarp sikkerhetsrevisjon. Vi har de siste årene åpnet for eksterne oppdragsgivere, noe som har vært en veldig positiv erfaring og gitt mye god kunnskap til både oppdragsgiver og studenter.

Hva egner seg som oppgave?

I kurset begynner vi å få en ganske bred portefølje av oppgaver innen risikovurdering og sikkerhetsrevisjoner vi har løst. I de fleste tilfeller ender vi opp med gode resultater som kan benyttes senere. For eksempel:

• IKT systemer av ulike størrelser: Webapplikasjoner, SCCM/CFEngine, printløsninger, IAM, databus, samhandlingstjenester, skylagring, og klientsikkerhet, med mer.
• Digital sikkerhet i SMBer, eller seksjoner og avdelinger i større bedrifter
• Revisjoner mot eksisterende beste praksis og risiko (ISO27001/2, Normen for informasjonssikkerhet, etc.) for bedrifter
• Problemstillinger, som sikker håndtering av adminkontoer og livsløpet på brukere
• Diverse oppgaver innen fysisk sikkerhet og adgangskontroll
• (Ulike prosesser som forskningsprosessen og kvalitetsprosesser)

Det er et ganske bredt spekter av oppgaver vi kan gjennomføre og vi er alltid åpne for nye utfordringer. For at oppgaven skal være aktuell må den ha en tydelig IT komponent og en relasjon til digital sikkerhet. Vi i DCSG2005 er godt digitaliserte og geografi er stortsett ingen hindring for godt samarbeid i prosjektet. Alle forslag er velkomne.

Hvem egner seg som oppdragsgiver?

Alle som har IT som en sentral komponent i arbeidet sitt egner seg som oppdragsgivere og dette gjelder de fleste bedrifter. Vi er interessert i oppdrag innenfor det meste av modenhet og industrier, inkludert de som er helt i startgropen i arbeidet med den digitale sikkerhet og opp til de ISO27001-sertifiserte. Litt store og komplekse IKT systemer liker vi også godt.

Krav til oppdragsgiver

Oppgavene gjennomføres fra begynnelsen av mars med innlevering den 1. juni. Det endelige resultatet avhenger selvsagt av hvor mye ressurser oppdragsgiverne legger ned i oppfølging, men det som vanligvis kreves for at en oppgave skal bli bra er at:

• Man tar seg tid til å svare på spørsmålene studentene har i forbindelse med avklaringen av omfanget på og forståelsen av oppgaven.
• At nøkkelpersoner stiller opp på intervju i en times tid eller i workshop (eventuelt andre datainnsamlingsformer) minst en gang i løpet av semesteret.
• At man gir svar på eventuelle avklaringer i etterkant av datainnsamlingen.

Hemmelighold

Ingenting fra dette faget publiseres offentlig utover det som presenteres av studentene i sluttpresentasjonen. Data i prosjektet behandles på NTNU sine systemer i henhold til dataklassifiseringspolicy eller i samarbeid med oppdragsgiver. Rapporter i DCSG2005 behandles konfidensielt: De leveres i innleveringssystemet vårt som heter Inspera Assessment. Dette er rigget for å håndtere hemmelig informasjon (eksamener, besvarelser, vurderinger). Sensur foregår inne i dette systemet. De som vil få tilgang til rapportene er primært emneansvarlig som skal sette karakter (meg) og eventuelt eksternsensor. Hvis studentene klager vil ytterligere to klagesensorer få tilgang til rapporten, ekstern og internsensor. Her benytter jeg rutinerte sikkerhetsfolk som er godt kjent med sensitiviteten i slike rapporter og behandler de med konfidensialitet.

Vi signerer NDA ved behov, men vi har ukentlige status og veiledningsmøter hvor vi ønsker å diskutere prosjektet. Oppgavene bør ikke være hemmeligere enn at de tåler å diskuteres i plenum blant studentpuljene (ca 30 studenter) og på sluttpresentasjon. Vi tilbakeholder informasjon i presentasjoner ved behov, slik som avdekkede sårbarheter. Unntaksvis ved svært fortrolige funn kan rapporten håndteres utenfor Inspera Assessment.