Kom godt i gang med websikkerhed. Jacob Herbst Søborg, 14. maj 2013

Transkript

1 Kom godt i gang med websikkerhed Jacob Herbst Søborg, 14. maj 2013

2 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

3 Risikostyring Sikkerhed er altid et spørgsmål om prioritering Kan investering i sikkerhed betale sig? Beslutninger baseres på en vurdering af risici Mål: at optimere risikoen ikke minimere den Velbegrundet beslutning om foranstaltninger Velbegrundet fravalg af foranstaltninger Risikominimering Pansret glas i vinduerne Panserplader i loft og vægge Pigtrådshegn Aktiv brandslukning Vagter Kameraovervågning Panikrum Risikooptimering Lås på døre og vinduer Brand- og røgalarm Tyverialarm Brandslukker The New Realities of Risk Management Transparency and defensibility of risky decisions are more critical than ever. Risk must be measured and addressed as part of the business process. All managers and leaders need basic skills in risk management. Risk management is an investment decision tool. Eliminating all risk is not possible or desirable. Risk treatment options include mitigation, contingency planning, transfer and acceptance. Risk and the accountability for risk are, and should be, owned by the business units creating and managing those risks. Risk management is an ongoing effort. Risk assessments are valid for a point in time, because risk factors evolve over time. Risk management must be baked into the thinking of decision makers and into the governance of the enterprise. Risk decisions are more complex and impactful than in the past. With instant communication and processes, organizations must act quickly and knowledgeably to threats and opportunities. Continuous monitoring and reporting of risk are becoming critical business processes. The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry

4 It-sikkerhed der enabler forretningen Forøg værdien af forretningen Forbindelse med kunder Integration med samarbejdspartnere Myndiggør medarbejderne Understøtter dataintegritet og tilgængelighed Sikre dataintegritet Forbedre beslutningskvalitet Undgå civile / strafferetlige sanktioner Forbedring af brand / omdømme Optimer og beskyt værdien af informationsaktiver Administrer omkostninger ROI (Return On Investment) Forbundet Produktive Pålidelig Omkostningsbevidst Besparelser Omkostniger

5 Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretningsunderstøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Act Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedrede forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger

6 Kilde:

7 Politikker og procedurer Vi ønsker at tillade god webbrowsing men hvad er det? Uanset organisation kræver sikring af webtrafik en aktiv stillingtagen dvs. en politik Acceptere den trafik, der er tilladt jfr. sikkerhedspolitikken Udarbejdelsen af en politik kræver bredt organisatorisk samarbejde fra fx itafdelingen, personaleafdelingen, ledelsen, sikkerhedsafdelingen, superbrugere og juridisk afdeling Sikkerhedspolitikken vil fastlægge anvendelse af begrænsninger: Kontrol baseret på brugere og grupper Kontrol i forhold til de sites, der tilgås Kontrol i forhold til tidspunkter og tidsforbrug Kontrol i forhold til de protokoller/applikationer, der anvendes Kontrol i forhold kategorier Kontrol af certifikater Blokering af virus, orme og trojanske heste Blokering af scripts og aktive kode Men også fastlægge politikken i forhold til adgang til logdata, rapportering, inspektion af krypteret trafik m.m.

8 Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's law: Anything that can go wrong will go wrong.

9 Valg af løsning Fastlæggelse af funktionelle krav til løsningen Onsite, i skyen eller begge dele? Magic Quadrant for Secure Web Gateways 24 May 2012 ID:G Figure 1. Magic Quadrant for Network Access Control Figure 1. Magic Quadrant for Secure Web Gateways Raportering Malware filtering URL filtering Application control Manageability/scalability Delivery models Related investments

10 Next Generation Firewall eller Web Gateway? Secure Web Gateway funktionen kræver mange ressourcer, som kan påvirke firewall funktionen Udbredelsen af mobile brugere gør det i stigende grad nødvendigt at kunne tilbyde Secure Web Gateway funktionaliteten som cloud løsning eller hybrid løsninger Effektive kontroller kræver fokuserede produkter Next-Generation Firewalls and Secure Web Gateways Will Not Converge Before 2015 Published: 5 April 2011Figure 1. Magic Quadrant for Network Access Control Analyst(s): John Pescatore, Peter Firstbrook, Lawrence Orans, Greg Young While there is overlap between the Web-oriented security controls provided by next-generation firewalls (NGFWs) and secure Web gateways (SWGs), Gartner does not believe these two areas will converge before We present three use cases for enterprises to use to make the best decision. Key Findings User applications and threats have focused on HTTP in recent years, driving overlap in the protection provided by different network security controls. Large and complex enterprises place very different demands on firewalls and Web security gateways. Smaller and less complex businesses may be able to reduce costs by using a single product for network firewall and Web security controls, but most enterprises should evaluate dedicated approaches.

11 360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service

12 Konsulentbistand & projektledelse DUBEX PROJEKTFORLØB

13 Dubex & websikkerhed Hvilke ressourcer investerer vi i websikkerhed? Løbende research af websikkerhedsmarkedet Løbende opfølgning på det aktuelle trusselsbillede Studier af Gartner rapporter, Forrester m.fl. Interne test og benchmarking af markedsførende løsninger Feedback fra vores kunder Træning af teknisk personale - deltagelse i produktkurser og særlig træning kombineret med 15 års erfaring med it-sikkerhed

14 Blue Coat Blue Coat Premier Partner Blue Coat partner siden 2004 den største Blue Coat partner i Danmark Første og eneste partner udnævnt som Bluetouch Certified Partner, herunder opfylder de særlige krav omkring træning Dubex medarbejder der er udnævnt til Blue Knight, som er Blue Coat s allerhøjeste specialist grad, der kun gives til nogle få, udvalgte konsulenter, som har dokumenteret en ekstraordinær høj viden og erfaring med produkterne

15 Samarbejde Sådan kan et stærkt samarbejde begynde 1. Vi afstemmer behov, ønsker og udviklingsmuligheder på et indledende møde 2. Dubex løsningsspecialister tager udgangspunkt i specifikke behov 3. Gennemførelse af PoC der giver overblik og synlighed 4. Workshop med lederteamet i din virksomhed

16 Prøv Blue Coat Cloud Kontakt Dubex for trail på Blue Coat Cloud

17 TAK! For mere information kontakt