DI-godmorgenmøde Databeskyttelse muligheder, udfordringer og kobling til dataklassifikation

Transkript

1 DI-godmorgenmøde Databeskyttelse muligheder, udfordringer og kobling til dataklassifikation Jacob Herbst, CTO, Dubex A/S Industriens Hus, den 31. januar 2017

2 Hvad skal vi have ud af dette indlæg? Mål for dette indlæg er at give svar på: Hvad er det vi skal passe på? Hvad er udfordringen i forhold til vores data? Hvilke løsninger skal vi benytte os af? Disclaimer: Sikkerhed, risikostyring og databeskytelse er meget store og kompekse emneområde som er i konstant forandring. I løbet af den næste time når vi højst at skrabe en lille smule i overfladen.

3 Dubex A/S Højt specialiserede it-sikkerhedseksperter Kvalitet Service Kompetence Managing risk Enabling growth First mover Konsulent- og sikkerhedsydelser lokalt og globalt Eftertragtet arbejdsplads Motiverede medarbejdere Største it-sikkerhedspartner i Danmark Selvfinansierende og privatejet siden bedste ITarbejdsplads i Danmark 35. bedste arbejdsplads i Danmark

4 Danmarks førende it-sikkerhedsspecialist Technology focus Process focus Business focus Managing risk, enabling growth Vi er altid på udkig efter muligheder for at styrke vores kunders forretning og understøtte vækst. Vi hjælper med at balancere dine forretningsmål og et acceptabelt risikoniveau for it-sikkerhed.

5 Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer

6 Predict & identify Prevent & protect Detect Respond & recover

7 Moderne virksomheder bygger på informationer Virksomheder bygger i dag på data virksomheder fremstiller, anvender og behandler massive mængder data som en forudsætning for det daglige arbejde Disse data bliver stadig mere strategiske for organisationen og databehandling giver hvis håndteret rigtigt - en strategisk konkurrencefordel i markedet Digital Disruption Mobility Cloud Big Data Den kritiske natur af disse data gør dem værdifulde og dermed til at oplagt mål Robotics Sociale medier 3D Printing Data er blevet meget sværere at kontrollere Mere åbne og forbundne systemer Data i cloud Data på mobile devices Data hos samarbejdsparter Software Defined Anything Internet time BYOx Internet of Things Webscale IT AI

8 Mere af alting Flere brugere 3 mia. i mia. i 2019 $90 billioner i tabt gobalt BNP, worst case mod 2030 Flere tablets 248 mio. i mio. i 2019 Flere SmartPhone brugere 3,5 mia. i ,9 mia. i 2020 $3 billioner i samet tabt innovation pga, cyber-risks i 2020 Flere wareables 72 mio. i mio. i 2019 Flere IP forbundne enheder 16,3 mia. i ,4 mia. i 2019 ~$450 milliarder i årlig tab pga. cyber-crime IoT devices 15 mia. i mia. i 2020 Mere netværkstrafik 72,4 exabyte pr. mdr. i exabyte pr. mdr. i % stigning i cyber-crime i de sidste 5 år Global cloud marked $97 mia. i 2015 $159 mia. i 2020 Mere data 8,8 zetabyte i zetabyte i % af organizationer rapporterer cybercrime Exabyte = Zetabye = 20 21

9 og tilsvarende flere data Hvert minut uploades ca. 100 timers video til YouTube 2 mia. videoer ses hver dag Large Hadron Collider generer 150 million petabytes pr. år % smides væk Volume Store mængder data Velocity Hurtig behandling Variety Forskellige typer Voksende datamængde Global datamængde vokser med ca. 40% pr. år En harddisk til kr. kan gemme al musik i verden Ustruktureret data 80% af alle data er ustrukturerede Dynamisk kommunikation 30 mia. opdateringer på Facebook hver måned Applikationer og kommunikation Sociale medier Mobile enheder ~ ca. 5. mia. i verden Brugere, kunder, partnere Komplekse rettigheder Zynga behandler over 1 petabyte data om dagen Google håndterer 3.5 mia. søgninger pr. dag 1,2 mio. beskeder via Twitter pr. sekund 12 TB Twitter beskeder hver dag

10 Informations -sikkerhed ICSsikkerhed Cybersikkerhed It-sikkerhed Digital sikkerhed Digitial sikkerhed IoTsikkerhed Fysisk sikkerhed

11 Hændelser - eksempler

12 Hændelser GovCERT: 250 alvorlige angreb mod ministerier og virksomheder på tre år Siden 2010 har GovCERT registreret flere hundrede alvorlige angreb på de ministerier, styrelser og virksomheder, der er en del af netsikkerhedstjenesten. Nu vil GovCERT have loven ændret. Af Christian Loiborg Torsdag, 6. februar :29 Mere end sikkerhedshændelser er blevet registreret af GovCERT siden Det fremgår af et udkast af en evaluering af GovCERT-loven. GovCERT er det danske forsvars it-sikkerhedsorganisation og opererer den såkaldte netsikkerhedstjeneste, som statslige organisationer og myndigheder og styrelser frivilligt kan tilslutte sig. Herudover kan kommuner samt private virksomheder med kritisk infrastruktur tilslutte sig. Eksempelvis har 16 ud af 19 ministerier, Region Hovedstaden, Hillerød Kommune og Odense Kommune meldt sig til, ligesom Dong, KMD og TDC også er en del af netsikkerhedstjenesten. Ifølge GovCERT er en fjerdedel af de sikkerhedshændelser alvorlige. Det omfatter bl.a. overbelastningsangreb, som eksempelvis DDoS-angreb, og APT-angreb - Advanced Persistent Threat. GovCERT er en del af Center for Cybersikkerhed. Centeret har tidligere vurderet, at APT-angreb er den største trussel mod dansk cybersikkerhed. De resterende angreb omfatter fund af tegn på virusinfektioner - eksempelvis med malware. Menneskelig fejl kan være årsag til cyberangreb mod kommuner Angreb som det, der har ramt Gribskov kommune, skyldes oftest menneskelige fejl men Danmark kan være i sigtekornet netop nu, mener ekspert. Af Mads Allingstrup / 22. JAN KL Mens Gribskov, Nordfyns og måske endnu flere kommuner netop nu kæmper med at slippe fri af et nedrigt angreb mod deres IT-systemer, er der sansynligvis en eller flere ansatte i kommunerne, der går rundt med røre øren Ransomware-angreb skyldes nemlig oftest menneskelige fejl, hvor folk kommer til hente en

13 Tendenser Stadig flere data lækage uanset branche og antal ansatte Angreb er ikke længere primært rettet mod kreditkort informationer, men mod alle former for data der kan have en værdi Et sikkerhedsbrud er en hændelse, der medfører uautoriseret adgang til data, applikationer, services, netværk og/eller enheder af en angriber der omgår de underliggende sikkerhedsforanstaltninger Datalækage sker bl.a. fordi vi har: Fortrolige og følsomme data med høj værdi Sårbarheder i vores basale sikkerhed - operativ system, applikationer eller konfigurationen Integrity Data Confidentiality Manglende awareness hos vores brugere Availability

14 Hvem stjæler vores data? Percent of breaches per threat actor category over time, (n=8,158)

15 Hvem angriber vores data? Spionage Konkurrenter Terrorisme Politiske & aktivister Cyberkrig Kriminelle Angreb Interne

16 Drivere Al information har en værdi Personfølsom information Kan misbruges til Internet-kriminalitet Afpresning og identitetstyveri Forretningshemmeligheder Kan misbruges af konkurenter Percent of breaches per threat actor motive over time, (n=6,762)

17 Price List for Hacker Goods and Services Kilde: DELL SecureWorks, Underground Hacker Markets, APRIL 2016

18 Need a Drivers license?

19 Stepstones and rooted servers

20 The Dark Forums.

21 Angreb omgår perimeterforsvaret Angreb mod brugere og klienter Social engineering f.eks. phishing Angreb via sociale netværk Regeringers cybervåben overfører avanceret teknologi til kriminelle Kode genbruges af andre angribere Angribere behøver ikke selv at investere i avanceret teknologi Avancerede angreb er normale Hurtig udnyttelse af sårbarheder Udnyttelse af dag-0 sårbarheder Unik og målrettet dag-0 malware Webbaserede angreb Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret sslkommunikation

22 De kriminelle - specialisering og arbejdsdeling Organised and well funded Profile organisations using public data/social media Target key POI s via spear phishing Black market for software security flaws reaches new highs Warwick Ashford Monday 15 July :28 The black market in previously undiscovered vulnerabilities in commercial software is now so established, the average flaw sells for up to $160,000. One supplier of such so-called zero-day vulnerabilities charges customers an annual $100,000 subscription fee, and then further charges per sale, according to the New York Times (NYT). Coordinated attacks distract big, strike precisely Operational sophistication Watering hole target groups on trusted sites Costs depend on the sophistication of the vulnerability and the pervasiveness of the operating system or commercial software concerned. In an attempt to counter this rapidly growing problem, many technology companies have started bug bounty reward programmes. Last month, Microsoft finally joined Google, Paypal, Facebook and the Mozilla Foundation in offering cash rewards to prevent bug finders turning to the black market. Leverage tried and true techniques like SQLi, DDoS & XSS

23 Prisen på kreditkort informationer Price per payment card record over time (USD) Source: Intel Security Verizon 2016 Data Breach Investigations Report

24 Hvordan stjæles vores data? Number of breaches per threat action category over time, (n=9,009)

25 Konsekvenser rammer bundlinjen på kort og langt sigt *!!!** Bøder Skadet omdømme & brand Mistede kunder og indtjening Mistede intellektuelle værdier

26 Databeskyttelse hvordan?

27 Hvad er vores følsomme data? Hvor er vores følsomme data henne? Hvor sendes vores følsomme data hen?

28 Hvordan forebygges data lægkage? Hvad er værdien af vores data? Hvad er vores følsomme data? Hvor er vores følsomme data henne? Hvor sendes vores følsomme data hen? Hvad er vores forpligtigelser i forhold til beskyttelse af data? Hvem har adgang til vores data? Hvordan beskyttes vores data? Hvad er udfordringerne? Hvordan skal vi reagerer på hændelser?

29 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Information Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risiko Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Risikostyring er en løbende proces og skal være på forkant Foranstaltninger

30 Hvordan findes det rigtige sikkerhedsniveau? Værdier og truslerne Du skal kender dine værdier og truslerne Inventory: Hvilke aktiver du beskytter - Ikke så nemt som det umiddelbart ser ud Nødt til at klassificere data Hvem angriber dig og hvorfor? Hvordan bliver du angrebet? Malware, APT, DDoS, økonomisk gevinst, etc. Historien er en stor indikator for fremtidige angreb Ikke alle aktiver og data bør beskyttes lige så Hvad er dine "gyldne æg" aktiver? Ofte er defineret af fysiske aktiver Bedre at definere ved anvendelse & service Omfatter alle del an den understøttende infrastruktur Hvorfor tale risici? Giver et dokumenteret grundlag for beslutninger Også når man skal vælge mellem forskellige løsninger/muligheder Fokuserer ledelsen på de forretningsmæssige risici og gevinster Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som itanvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Viser at sikkerhed ikke bare er ITs ansvar

31 Forskellige typer følsom information Indsamlede data Kreditkort informationer Personfølsomme informationer Patient informationer Fremstilede data Forskningsresultater Forretnings-hemmeligheder Finansielle oplysninger In motion Webmail IM/Chat File sharing In use USB nøgler CD/DVD ipods External HDD Printouts At rest Desktops Mobiles Databases Mail arkiver Fileshares DMS Cloud

32 Data Leakage Prevention elementer DLP Data Leakage Prevention Data Loss Prevention Governance, Risk & Compliance Teknologisk løsninger Teknologi til at indentificerer vigtig eller følsom information Overvågning af informations strømmen Forhindre tab eller uautoriseret anvendelse af data Teknologi & løsninger Klassifikation Mindst ligeså meget processer, mennesker, politikker som teknologien skal understøtte Mennesker & awareness DLP Politikker Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use through deep content analysis. Rich Mogull (securosis.com) former Gartner analyst for DLP Opdagelse & Udbedring Processer

33 Hvorfor sker datalækage? "Velmenende" brugere, der ikke bevidst har til hensigt at kompromittere data, men uforvarende gør det, fordi de undlader at følge sikkerhedspolitikken: Mistede enheder Eksponerede data - ingen foranstaltninger på plads Dårlige forretningsprocesser Uforsætlige lækage Uheld og uvidenhed Ondsindede insidere der forsætligt overtræder sikkerhedspolitikken, opsagte medarbejdere m.m. Virksomhedens data lagret på hjemmecomputere til en fremtidig karriere Industrispionage Målrettede angreb: Velkoordinerede angreb udført af personer eller automatiseret software mod en anden person, enhed eller organisation: System sårbarheder & malware Stjålne legitimationsoplysninger Stjålne persondata Industrispionage (U)forsætlige lækage Ondsindet hensigt (U)forsætlige lækage Dårlige forretnings processer Forsætlige lækage Ondsindet hensigt

34 Sikkerhedsbrud - mennesker Tendens til at se DLP som et spørgsmål om tekniske løsninger Men brugeren er det svagest led Awareness er at gøre brugeren bevidst om information sikkerhedspolitikken, trusler og mitigerende kontroller = uddannelse Awareness er et krav i mange standarder fx ISO27001, HIPPA, PCI DSS, SOX, NIST og GDPR Uvidenhed Uheld Interne brugere kender ikke/forstår ikke sikkerhedspolitikken Manglende forståelse af konsekvenserne af egne handlinger Manglende forståelse af elementær sikker ithåndtering Ligegyldighed Interne brugere kender sikkerhedspolitikken, men er ligeglade med den Manglende omtanke der sker jo nok ikke noget Ignorering af sikkerhedspolitikken Forsøg på at gøre ens hverdag lettere Kopiering af data Etablering af egne lokale trådløse netværk Ondskabsfuldhed Utilfredse ansatte med fuldt overlæg Personlig økonomisk vinding Personlig tilfredsstillelse IT SIKKERHED MENNESKER FYSISK SIKKERHED

35 Dubex Awareness Program Artikler Phishing test Foldere Plakater Nyhedsbreve Foredrag Eksamen Social platform Portal "Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking... Social Engineering is the single greatest security risk in the decade ahead." Gartner 91% of data breaches start with a spear-phishing * *research from security software firm Trend Micro 79% of people that work with information security in Denmark experience that users in their organisations are the greatest security challenge! - DK CERT

36 Hvordan virker Data Loss Prevention? Data loss policy Detection Response Datatyper Persondata IP Kreditkort Sammenhæng Hvem? Hvad? Hvor? Aktion Notifikation Forklaring KrypterH Bloker Notifikation Brugeren Leder Sikkerhed Eskalering

37 DLP koncept model Data governance Policies and standards Identification Risk assessment Classification Architecture Quality Data in motion Data in use Data at rest Data loss prevention controls Perimeter security Network monitoring Internet access control Data collection and exchange Messaging ( , IM) Remote access Privileged user monitoring Access/usage monitoring Data anonymization Use of test data Data redaction Export/save control EndPoint security Host encryption Mobile device protection Network/internet storage Physical media control Disposal and destruction Supporting information security processes Identity/access management Incident response Configuration management Regulatory compliance management Vulnerability management Employee screening and vetting Business continuity Physical security Asset management Change management/sdlc Digital rights management Third-party management and assurance Disaster recovery Training and awareness Data privacy/document protection Security Monitoring & Security Analytic

38 Kill chain Typisk forløb for et (avanceret og målrettet) angreb Dataudtræk Phishingangreb Trojansk hest Interne sårbarheder Informationsindsamling 0-dagsangreb Dataindsamling Angriberen indsamler information om målet En række brugere modtager målrettet phishing-mail Bruger åbner vedlagt fil eller tilgår link Brugerens maskine inficeres med malware trojansk hest Angriberen udnytter sårbarheder til at få flere rettigheder Data samles og gøres klar til at blive hentet Krypterede data sendes fx via ftp til et eksternt komprommitteret system

39 Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud 205 dage tager det i gennemsnit at opdage en kompromittering 69% af alle hændelser blev opdaget af eksterne 31% af alle hændelser blev opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket

40 Verizon 2016 Data Breach Investigations Report 85% Myth #1: Hackers always carefully select a target and then hit them with a zero-day attack Truth: Most attacks are opportunistic, indiscriminate and exploit known vulnerabilities. The top 10 vulnerabilities account for 85% of successful exploit traffic. And the remaining 15% consists of over 900 Common Vulnerabilities and Exposures (CVEs). 30% Myth #4: No one falls for phishing anymore Truth: Phishing is on the rise. 30% of phishing s are opened. And about 12% of targets go on to click the link or attachment. 93% Myth #2: Attackers are fast. But the good guys are catching up Truth: The gap between compromise and detection is widening. In 93% of breaches attackers take minutes or less to compromise systems. But four out of five victims don t realize they ve been attacked for weeks or longer. And in 7% of cases, the breach goes undiscovered for more than a year 80% Myth #5: Cyber-espionage attacks are widespread and increasing. Truth: Money remains the main motive for attacks. 80% of analyzed breaches had a financial motive. Make your defenses good enough and attackers will move on to easier targets. 63% Myth #3: Passwords prove the identity of authorized users Truth: 63% of confirmed data breaches leverage a weak, default or stolen password 95% Myth #6: It s all too complicated. The bad guys have won Truth 95% of breaches fit into just nine attack patterns. Understand them and you ll be better able to make the right investments and protect your organization.

41 Avancerede angreb er blevet det normale Mange målrettede angreb er stadig forholdsvis simple -- De fleste såkaldt avancerede angreb starter stadig med en sendt til den rette person med det rette indhold Drivere bag cyberkriminalitet Automatisering Samarbejde og videndeling Profit Cyberkriminalitet er en lukrativ forretning, og det er nemt at starte Undergrundsmiljø hvor de kriminelle handler med informationer Anonymitet Betalingsinfrastruktur Metoder, som tidligere kun blev brugt i målrettede angreb, anvendes nu af almindelige kriminelle Malware er blevet mere avanceret

42 Normalisering Kategorisering Rapportering Enheder Sårbarheder Korrelering Baseline Troværdighed Lokation Trusler Geo Alarmer Dubex Security Monitoring & Security Analytic Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure Security Intelligence Information Vulnerabilities Geo-location Threats IPS/IDS Identity Management System Health Information Network Equipment Few suspicious events for manual handling Incidents forwarded to customer Incident response process Vulnerability Assessment Anti-Virus Databases Adapt Applications Inventory Users Configuration Netflow Analysis and Big Data

43 SANS anbefalinger - Control#13: Data Protection The Center for Internet Security Critical Security Controls Version 6.1 Family Control Control Description - Control#13: Data Protection Foundational Advanced Network 13.1 Perform an assessment of data to identify sensitive information that requires the application of encryption and integrity controls Y Network 13.2 Deploy approved hard drive encryption software to mobile devices and systems that hold sensitive data. Y Deploy an automated tool on network perimeters that monitors for sensitive information (e.g., Network 13.3 personally identifiable information), keywords, and other document characteristics to discover unauthorized attempts to exfiltrate data across network boundaries and block such transfers while Y alerting information security personnel. Network 13.4 Conduct periodic scans of server machines using automated tools to determine whether sensitive data (e.g., personally identifiable information, health, credit card, or classified information) is present on the system in clear text. These tools, which search for patterns that indicate the presence of Y sensitive information, can help identify if a business or technical process is leaving behind or otherwise leaking sensitive information. Network 13.5 If there is no business need for supporting such devices, configure systems so that they will not write data to USB tokens or USB hard drives. If such devices are required, enterprise software should be used that can configure systems to allow only specific USB devices (based on serial number or other Y unique property) to be accessed, and that can automatically encrypt all data placed on such devices. An inventory of all authorized devices must be maintained. Network 13.6 Use network-based DLP solutions to monitor and control the flow of data within the network. Any anomalies that exceed the normal traffic patterns should be noted and appropriate action taken to Y address them. Network 13.7 Monitor all traffic leaving the organization and detect any unauthorized use of encryption. Attackers often use an encrypted channel to bypass network security devices. Therefore it is essential that organizations be able to detect rogue connections, terminate the connection, and remediate the Y infected system. Network 13.8 Block access to known file transfer and exfiltration websites. Y Network 13.9 Use host-based data loss prevention (DLP) to enforce ACLs even when data is copied off a server. In most organizations, access to the data is controlled by ACLs that are implemented on the server. Once the data have been copied to a desktop system, the ACLs are no longer enforced and the users can send the data to whomever they want. Y

44 SANS anbefalinger - Control#13: Data Protection The Center for Internet Security Critical Security Controls Version 6.1 Family Control Control Description - Control#13: Data Protection Foundational Advanced Network 13.1 Perform an assessment of data to identify sensitive information that requires the application of encryption and integrity controls Y Network 13.2 Deploy approved hard drive encryption software to mobile devices and systems that hold sensitive data. Y Deploy an automated tool on network perimeters that monitors for sensitive information (e.g., Network 13.3 personally identifiable information), keywords, and other document characteristics to discover unauthorized attempts to exfiltrate data across network boundaries and block such transfers while Y alerting information security personnel. Network 13.4 Conduct periodic scans of server machines using automated tools to determine whether sensitive data (e.g., personally identifiable information, health, credit card, or classified information) is present on the system in clear text. These tools, which search for patterns that indicate the presence of Y sensitive information, can help identify if a business or technical process is leaving behind or otherwise leaking sensitive information. Network 13.5 If there is no business need for supporting such devices, configure systems so that they will not write data to USB tokens or USB hard drives. If such devices are required, enterprise software should be used that can configure systems to allow only specific USB devices (based on serial number or other Y unique property) to be accessed, and that can automatically encrypt all data placed on such devices. An inventory of all authorized devices must be maintained. Network 13.6 Use network-based DLP solutions to monitor and control the flow of data within the network. Any anomalies that exceed the normal traffic patterns should be noted and appropriate action taken to Y address them. Network 13.7 Monitor all traffic leaving the organization and detect any unauthorized use of encryption. Attackers often use an encrypted channel to bypass network security devices. Therefore it is essential that organizations be able to detect rogue connections, terminate the connection, and remediate the Y infected system. Network 13.8 Block access to known file transfer and exfiltration websites. Y Network 13.9 Use host-based data loss prevention (DLP) to enforce ACLs even when data is copied off a server. In most organizations, access to the data is controlled by ACLs that are implemented on the server. Once the data have been copied to a desktop system, the ACLs are no longer enforced and the users can send the data to whomever they want. Y

45 Data loss prevention technologies Enterprise DLP solutions incorporate sophisticated detection techniques to help organizations address their most critical data protection requirements. Integrated DLP is a limited DLP feature set that is integrated within other data security products, including, but not limited to, secure Web gateways (SWGs), secure gateways (SEGs), encryption products, enterprise content management (ECM) platforms, data classi cation tools, data discovery tools and cloud access security brokers (CASBs). Magic Quadrant for Enterprise Data Loss Prevention Source: Gartner (January 2016)

46 Konklusion - Fokusering & prioritering Ledelsesinvolvering Skab forståelse for udfordringerne ved datatab Løbende proces for at beskytte følsomme data HUSK at de fleste datatab skyldes almindelige sikkerhedsbrud Databeskyttelse er nødt til at starte der Skab overblik over informationer, trusler og risici Udarbejd og vedligehold en risikovurdering Juster risikovurdering og foranstaltninger ved ændringer i trusselsbilledet Fokus på beskyttelse af kritiske data Beskyt brugerne mod simple fejltagelser End-point beskyttelse bl.a. diskkryptering Klassifikation af data og tilsvarende beskyttelse Automatiske løsninger til overvågning af web- og mail- kommunikation Vær opmærksom på risikoen for interne trusler Monitorering og audit trail K-I-S-S - Keep It Simple and Stupid Simple og forståelige løsninger, politikker og regler

47 Hvordan ændrer vi vores tankegang omkring sikkerhed? Fra prevent og protect til detect og response Fra compliance (tjekbokse) til risikobaseret sikkerhed Fra teknologi til forretningsudbytte Predict & identify Prevent & protect Detect Respond & recover Information Risiko Foranstaltninger Managing risk Enabling growth Fra forsvar til facilitering Mennesker Proces Fra snævert it-fokus til fokus på alle digitale aktiver Politik Teknologi Forretning Informationssikkerhed It-sikkerhed ICS Cybersikkerhed Digital sikkerhed Fysisk IoT Fra informationskontrol til informationsudveksling Fra fokus på teknologi til fokus på mennesker Fra absolut risiko til god og dårlig risiko Risikovurdering Beregnet risiko værdi Fortrolighed Intregitet Tilgængelighed Rang i dag Navn Sikring af hjemmearbejdspladser BYOD Sikker brug af Webmail Mobile enheder Firewall og VPN miljø , ,5 1 Antivirus Webservices for kunder Segmentering af , netværket 4 webtrafik Administration af brugeridentiteter SIEM og loghåndering Trådløse netværk Sikkerhed ifm. 15,

48 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

49 Kommende arrangementer Infosecurity Denmark maj 2017, Øksnehallen, København Dubex Security & Risk Mangement Update juni 2017, Horsens Læs mere på

50 Hold dig opdateret Tilmeld dig Dubex nyhedsbrev Besøg Følg Dubex på LinkedIn & Twitter Deltag på Dubex arrangementer twitter.com/dubex

51 Tak! Dubex A/S Jacob Herbst, CTO Tlf