Hvornår er der økonomi i ITsikkerhed?

Størrelse: px

Starte visningen fra side:

Download "Hvornår er der økonomi i ITsikkerhed?"

Augusta Søgaard
6 år siden
Visninger:

1 Hvornår er der økonomi i ITsikkerhed? Anders Mørk, Dansk Supermarked

2 Erfaringsbaggrund 2

3 Teoretisk tilgang 3

4 Den akademiske metode 4

5 Er det så enkelt? Omkostningerne er relativt enkle at estimere Men hvad med nytten af de enkelte tiltag? Kan vi rangordne sikkerhedstiltag efter hvor meget nytte de gør? 5

6 Hvad gør vi i praksis? Cost case i to varianter Udskiftning af eksisterende infrastruktur Investering i ny infrastruktur Business case 6

7 Eksempel på cost case Eksisterende infrastruktur der skiftes ud med nyere og billigere infrastruktur Multifaktorautentikering Hvilken løsning er billigst med samme funktionalitet? 7

8 Sammenligning af funktionalitet Eks. løsning Leverandør 1 Leverandør 2 Integration med AD Ja Ja Ja Integration med Citrix Ja Ja Ja Soft tokens Ja Nej Ja Tokens Ja Ja Ja SMS koder Nej Ja Ja Kodekort mv. Nej Nej Ja SMS modem Nej Ja Ja Hosted SMS løsning Nej Nej Ja Self service portal Nej Ja Ja 8

9 Omkostninger over tre år ved forskellige løsninger 350% 300% 250% 200% 150% 100% 50% 0% Eks. løsning Leverandør 1 Leverandør 2 9

10 Hvad så med ny infrastruktur? DS finansierer ting enten via budgettet eller via ekstra bevillinger Det enkelte projekt der har brug for noget nyt skal enten få det med i budgettet for næste år eller argumentere særskilt godt for en ekstra bevilling Ofte kan det enkelte projekt ikke udarbejde en business case for den nødvendige infrastrukturinvestering Eksempel: Public Key Infrastructure 10

11 Hadrians mur Holdt barbarerne ude af romeriget 11

12 Den kinesiske mur Beskyttelse mod stammerne fra nord og vest 12

13 Grænsen Fra en stat til en anden 13

14 Paskontrol For at komme ind i landet viser man sit pas 14

15 Analogien for en PKI - Pas i Danmark Justitsministeriet Borgerservice Pas 15

Et lynkursus i kryptografi - 1/3 Kryptering har eksisteret i tusinder af år Formålet med kryptering er typisk at beskytte fortroligheden af data En besked i

16 Et lynkursus i kryptografi - 1/3 Kryptering har eksisteret i tusinder af år Formålet med kryptering er typisk at beskytte fortroligheden af data En besked i klartekst Lorem ipsum dolor sit amet Krypteres med algoritmen SHA1 f.eks. til: 38f00f8738e241daea6f37f6f55ae8414d7b0219 Denne form for kryptering kaldes symmetrisk 16

17 Et lynkursus i kryptografi 2/3 I 1977 beskrev Rivest, Shamir og Adleman første gang en asymmetrisk krypteringsalgoritme Den asymmetriske kryptering kræver en nøgle til kryptering og en til dekryptering 17

18 Et lynkursus i kryptografi 3/3 Asymmetriske krypteringsalgoritmer kan ud over fortrolighed også sikre: - Integritet og uafviselighed 18

19 Det bliver hurtigt kompliceret Når man sender en krypteret og signeret 19

20 Og når man modtager 20

21 Der er brug for noget infrastruktur til at holde styr på de offentlige nøgler at udstede private nøgler at styre gyldighedsintervaller for nøglerne 21

22 Eksempel på en PKI Root CA Issuing CA User Certificate 22

Anvendelser af en Public Key Infrastructure Digitale signaturer dvs. elektronisk kontrakthåndtering Sikker e-mail Internet autentikering f.eks.

23 Anvendelser af en Public Key Infrastructure Digitale signaturer dvs. elektronisk kontrakthåndtering Sikker Internet autentikering f.eks. for leverandører der skal gives adgang til DS-systemer IP sikkerhed f.eks. anvendelse af SSL/TLS i datatrafik mellem websites Smart card logon på en Windows desktop Kryptering af filsystem Trådløs autentikering via IEEE 802.1x Autentikering af netværksudstyr Autentikering af mobile enheder og/eller smartphones via SCEP Single Sign On på SAP platformen 23

24 Men, hvordan finder vi lige argumentet Show me the money Jerry Maguire 24

25 Vi låner lidt fra Lean Management Minimering af omkostninger Undgå ventetid 25

26 Business case - En pakkeløsning Projekt med nogle fornuftige besparelser + Nødvendig infrastruktur der er alment anvendelig = Bæredygtig business case 26

drejer sig om nulstilling af password Nulstilling af password koster ca.

27 Eksempel på business case - Single Sign On Færre ServiceDesk sager relateret til nulstilling af password Gartner estimerer at 30% af alle ServiceDesk sager drejer sig om nulstilling af password Nulstilling af password koster ca. 125 kr pr. sag Mindre tidsforbrug ved logon Mere sikkerhed Kun én gul lap til et password 27

28 Eksempel på ROI kalkulation 28

29 Demo SAP Single Sign On i DS 29

30 Hvad har vi lært? Sikkerhed baseret på åbne standarder eller de facto leverandørstandarder er vejen frem X.509-certifikater Security Assertion Markup Language (SAML) Kerberos Det hjælper rigtigt meget på investeringslysten at man kan stable en business case på benene 30

Relaterede dokumenter

Digital Signatur Infrastrukturen til digital signatur

Digital Signatur Infrastrukturen til digital signatur IT- og Telestyrelsen December 2002 Resumé: I fremtiden vil borgere og myndigheder ofte have brug for at kunne kommunikere nemt og sikkert med hinanden