Ledelse og eksekvering af informationssikkerhed

Transkript

1 Ledelse og eksekvering af informationssikkerhed Siscon Efterårskonference, Bella Sky, 10. september 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen

2 Security is hard. An important truth of security is that no matter how good you are, you can't protect against every threat. That's why a lot of security solutions are playing catch-up, and why some traditional solutions are always behind the curve. 2

3 I DAG I MORGEN I FREMTIDEN Fremtidens forretningsmodeller? dine data er modydelse for vores gratis service du køber privacy som en vare vi betaler dig for dine data Tre rationaler: # EU forordningen tager afsæt i en opfattelse af, at data tilhører den private sfære, dvs at persondata tilhører dig og du råder over dem på samme måde, som du råder over din krop og dine ejendele # der er eksempler på markedet: Blackphone, Dancrypt, Movvo # det passer fint sammen med deleøkonomi: Airbnb, Uber, Gomore # vi sælger allerede vores data: Datacoup 3

4 Case: Omlet privacy based social network Omlet shields users from the monetization of their personal lives by giving them total and unquestioned control of their personal data "The privacy economy is based on the premise that people will be willing to pay a modest upfront price to join social networks that guarantee the integrity of their personal data. This echoes a recent study by University of Colorado-Boulder economists that found people would pay $5.06 for the sweet nectar of privacy; findings that probably set Silicon Valley's entrepreneurial minds ablaze with dollar signs

5 Case: Datacoup personal data market place 5

6 Privacy bevidsthed For 68% af danskerne betyder det noget, at en hjemmeside fortæller, hvad den gør med deres persondata og hvad den ikke gør. 6

7 Ledelsesengagement og eksevering hvad skal der til? Ledelse Risiko Beslutning om beskyttelsesniveau Nye forretningsmuligheder Beslutning om udvikling med privacy by design, privacy by default, PETs Regulering Politik om privatlivsbeskyttelse Politik om it-sikkerhed Krav til leverandører Adfærdskodeks for medarbejdere Organisation Data Protection Officer Samarbejde mellem it-sikkerhed og jura Produkt/service udvikling og tilpasning Træning af medarbejdere i privacy og sikkerhed 7

8 Beslutning om beskyttelsesniveau Hvad er et tilstrækkeligt beskyttelsesniveau? Forretningskritiske data Personfølsomme data Tilgængelighed til data Opbevaring af data: geografisk lokation, løsning Outsourcing Branche -> omdømme, markedsandele, strategi NYT! Hvordan kan vi reducere risikoen gennem: Privacy by Design Privacy by Default Privacy Enhancing Tecnhologies IT-Branchen har udviklet konceptet Sikkerhed i balance, hvor der opstilles 5 niveauer for informationssikkerhed: Niveau 1 - Initial sikkerhed: Organisationer uden væsentlige kritiske aktiver. Niveau 2 - Formaliseret Sikkerhed: Organisationer med aktiver vurderet til at være kritisk og/eller personfølsomt, men som har en meget begrænset mængde at disse informationer. Niveau 3 - Defineret Sikkerhed: Organisationer der ejer en væsentlig mængde af kritisk data og/eller personfølsomt data, men kun i begrænset omfang behandler disse data. Niveau 4 - Styret Sikkerhed: Organisationer der behandler større mængder af kritisk data, ofte i en kompleks og omfattende IT infrastruktur. Niveau 5 - Optimeret Sikkerhed: Organisationer der ligger inde med væsentlige mængder af data, hvis tab af fortrolighed eller tilgængelighed vil have signifikant negativ betydning ikke blot for virksomheden selv, men for Danmark generelt. Sikkerhed i Balanceonceptet er anvendt som grundlag for en test: Erhvervsstyrelsen lancerer i 2016 et online værktøj til at teste it-sikkerhedsniveauet i virksomheder. ISO standarden stiller krav om ledelsesinvolvering. 8

9 Forretningsmuligheder i big data Data mining: Indentity, relations Behaviour, preferences Movements, locations Protective devices: Chryptography Anonymisation Pseudonymisation Data type: Omnipotent everything about everybody at all times Harvesting tools: WIFI Bluetooth Infra red Camera Data bearer: IP adress CPR Bio data MAC adress Physiological data

10 Privacy Impact Assessment Privacy by design Privacy by default Privacy i drift og forretningsudvikling Risiko analyser IT design & arkitektur Databehandling - data komprommitering - compliance - governance - indlejret privacy - anonymisering - pseudonymisering - kryptering - identiy management - effektiv privacy som standardindstilling - Begrænset indsamling, visning og videregivelse Privacy Kompasset Erhvervsstyrelsen lancerer som led i Vækstplan for digitalisering i Danmark PrivacyKompasset, der giver mulighed for at teste din virksomheds niveau for persondatabeskyttelse og generere en privacy politik. Lancering: 12. november 2015.

11 Case: MOVVO Retail Business Analytics 11

12 Intern regulering i virksomheden Leverandørkrav Adfærdskodeks for medarbejdere IT-politik Informationssikkerhedspolitik Privacy Politik forretningsstrategi 12

13 Behov for adfærdskodeks og træning for medarbejdere 50 % af de offentligt ansatte har kendskab til et eller flere brud på informationssikkerheden på deres egen arbejdsplads inden for de sidste 12 måneder. Hver 5. offentligt ansatte har oplevet, at fortrolige oplysninger om borgerne har været tilgængelige for medarbejdere uden relation til sagen. Næsten hver 5., oplyser også, at de har kollegaer, som ikke altid overholder reglerne om informationssikkerhed. 34 % af de offentligt ansatte er ind i mellem i tvivl om, hvorvidt de behandler fortrolige personoplysninger korrek 36 % af de offentligt ansatte føler sig kun i nogen eller ringe grad klædt på til at forvalte disse oplysninger. KMD Analyse Informationssikkerhed i det offentlige, 2015 file:///c:/users/bko/downloads/kmd_analyse_-_informationssikkerhed_i_det_offentlige_-_2015pdf.pdf 13

14 Organisation: robust, dynamisk, engageret Privacy by Default Privacy by Design IT sikkerhed Instrukser og procedurer for informationssikkerhed Forretnings udvikling Ledelse Jura Privacy Impact Assessment Data Protection Officer Træning HR Intern revision Bevidsthed Kultur Kommunikation Kontrol med overholdelse af procedurer og instrukser 14

15 Organisation: Data Protection Officer/Privacy Officer International Association of Privacy Professionals counts more than 14,000 members in 83 countries. The typical CPO role includes elements of law and compliance as well as technological understanding and operational management skills. 15

16 To do: sikkerhed & privacy i fokus Ledelsen skal have indsigt i: Risikoen for at persondata tilintetgøres, fortabes eller forringes, og mod at uvedkommende får adgang eller kendskab til dem og hvordan den mindskes med sikkerhed & privacy Forretningspotentialet i sikkerhed & privacy Og træffe beslutning om: Forretningsudvikling med indlejret sikkerhed & privacy Interne regler (politikker, adfærdskodeks, leverandørkrav) Etablering af en robust, dynamisk og engageret organisation gennem træning i sikkerhed & privacy 16

17 Kontakt information Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K bko@carve.dk Carve.dk 17