Mer om IT-säkerhet

IT-säkerhet och Cybersäkerhet ingår som en beståndsdel i det totala informationssäkerhetsramverket.

Cybersäkerhet syftar till att säkerställa att endast betrodda personer och system har rätt att få tillgång till information, data och kommunikation via internet, interna system och genom telekommunikation.

IT-säkerhet handlar om att skydda en organisations (företags, myndighets, etc) värdefulla tillgångar som information, maskinvara ("hårdvara") och programvara ("mjukvara").
IT-säkerhetsarbetet koncentrerar sig på hot och skydd förenade med användning av informationsteknik. En viktig del av arbetet med IT-säkerhet handlar om att förstå olika hotbilder, hantera sannolikheter för att utsättas för skada samt att balansera kostnader för skydd mot värdet av det man skyddar.
 

Styrning av åtkomst till information

Det är många individer, till exempel medarbetare, studenter, uppdragstagare, konsulter och till viss del leverantörer, som har åtkomst till universitetets information och informationssystem. Därför ska det finnas metoder och rutiner på plats för att kontrollera all åtkomst till information, system, nätverk och tjänster. Det är också viktigt att alla som har åtkomst till universitetets informationssystem beaktar informationssäkerhetsaspekterna och förstår sina personliga skyldigheter vid användandet av system och hanteringen av information. Åtkomst till information inom universitetet ska kontrolleras genom administrativa och tekniska skyddsåtgärder. Metoden ”minsta möjliga rättigheter” bör följas, särskilt för systemadministrativa konton samt system som innehåller känslig information.

Behörighet och inloggning

För att få̊ behörighet till universitetets nätverk, generella IT-system och verksamhetssystem krävs det att din chef, för din räkning, ansöker om behörighet till de system du behöver i ditt arbete. Ansökan från din chef är det som initierar registrering av dig som användare i de olika systemen. När det gäller behörighet i nätverket och e-post, så är det IT-avdelningen eller motsvarande som registrerar dig som användare och därefter distribuerar användarnamn och lösenord till dig. För behörighet i de verksamhetsspecifika system som du behöver tillgång till, är det förvaltningsledare eller motsvarande för respektive system som registrerar dig som användare. Innan du får behörighet till nätverks-, generella IT- och verksamhetssystem behöver du ta del av och skriva under föreskrifter för anställdas användning av Luleå tekniska universitets IT-resurser, se länken längst ned på sidan.

Lösenord

Lösenordet som är kopplat till ditt användarnamn, är till för att förhindra obehöriga från att få tillgång till universitetets information.
Lösenord är personliga och det är ditt ansvar att se till att ingen annan känner till dina lösenord.
Du får inte använda samma lösenord i universitets system som de du använder hemma

Undvik att skriva ned lösenordet (på papper, i datafil eller mobiltelefon). Många använder digitala lösenordshanterare idag som krypterar informationen på din digitala enhet.

Läs mer om Lösenordsskapande, byte och hantering.

Priviligierad behörighet

Tänk på att när du använder ett användarkonto som har hög behörighet att inte alltid vara inloggad med denna behörighet då risken för att obehörig eller skadlig kod även kan få ta del av dessa. Använd endast dessa behörigheter vid behov för att minska exponering samt ovan risk. Detta gäller specifikt för konton som inte är personliga samt har höga behörigheter i många eller känsliga system. Extra viktigt är att tillämpa ”minsta möjliga rättigheter” för dessa konton.

Behörighet för externa användare

Externa användare, exempelvis konsulter, behöver ibland behörighet till nätverk och system. Uppdragsgivaren ska i sådana fall göra en ansökan om behörighet för konsulten, som personligen skriver under föreskrifter för anställdas användning av Luleå tekniska universitets dator-, nät- och systemresurser. Konsulten ska inte ha tillgång till mer information än han/hon behöver för sitt uppdrag, så kallad ”minsta möjliga rättigheter”.

 Användarens personliga integritet

Som användare av Luleå tekniska universitets informationssystem, nätverk och utrustning behöver du känna till hur uppgifter om dig kan komma att användas av IT-avdelningen eller motsvarande funktion. För att upprätthålla spårbarheten sparas loggar i alla system och applikationer. I loggarna kan man exempelvis utläsa när användaren varit inloggad, vilka förändringar hen gjort och vid vilken tidpunkt. Loggarna granskas regelbundet för att upptäcka missförhållanden. Objektägaren eller motsvarande beslutar om hur ofta och på vilket sätt loggarna ska granskas.

Vid misstanke om missbruk av universitetets utrustning kan chef begära att få granska loggarna avseende den användare eller applikation misstanken gäller. Vid misstanke om brott lämnas ärendet vidare till brottsutredande myndighet, som kan komma att begära ut innehåll ur universitetets system, mail och hemkatalog.

Mobila enheter

Verksamhetsinformation som hanteras utanför universitetets lokaler ska skyddas med anpassade skyddsåtgärder för att motverka risk för förlust av, eller obehörig åtkomst till, information. Detta innefattar bland annat bärbara datorer, mobiltelefoner, USB- minnen, pappersdokument etc.

Lagringsmedia som innehåller känslig information eller licensierade program ska fysiskt förstöras eller skrivas över på ett säkert sätt i samband med avveckling eller åter- användning. Det är inte tillräckligt att använda standardfunktioner för att radera data.

Lagring

Det finns många olika ställen att lagra information på. Var du bör lagra din information beror på vilken typ av information det är. Vissa lagringsytor är mer säkra än andra. Du bör därför klassificera informationen för att kunna avgöra var den ska lagras. I första hand bör du som användare nyttja universitetets supportade tjänster för lagring av information.
Generellt gäller att iaktta extra försiktighet när det gäller användandet av externa lagringstjänster som t.ex. Dropbox, Google Drive eller liknande.

Hantering av datamedia

Datamedia med känslig information som ska avvecklas överlämnas till Servicepoint som hanterar avvecklingen på ett säkert sätt. Datamedia som innehåller konfidentiell/känslig information bör vara krypterad/lösenordskyddad.

Säker kommunikation

Att kommunicera mellan olika parter och system har risker med att obehörig kan få ta del av denna kommunikation samt förvanska denna.

När du använder en dator på distans för åtkomst till resurser på universitetets nätverk bör en säker kommunikationskanal som VPN, SSH eller HTTPS användas.

Du hittar länk till mer information om den centrala tjänsten Fjärranslutning med VPN i länksamlingen längst ned på sidan.

Var även noga med att kontrollera när du surfar till en universitetsresurs och tjänst att det verkligen är en universitetsadress, speciellt vid inloggningstillfället eller när personuppgifter eller känslig information överförs, för att försäkra dig om att kommunikationen är säker. Exempel på säker kommunikation är att adressen föregås av HTTPS:// , Ett hänglås ska visas vid adressfältet och din webbläsare ska inte uppvisa några varningar om fel.