Sikkerhed en løbende proces

Transkript

1 IDA-IT - Balancering af sikkerheden Sikkerhed en løbende proces Jacob Herbst, CTO, Dubex A/S København den 27. april 2016

2 Dubex A/S Højt specialiserede it-sikkerhedseksperter Kvalitet Service Kompetence Managing risk Enabling growth First mover Konsulent- og sikkerhedsydelser lokalt og globalt Eftertragtet arbejdsplads Motiverede medarbejdere Største it-sikkerhedspartner i Danmark Selvfinansierende og privatejet siden bedste ITarbejdsplads i Danmark 16. bedste arbejdsplads i Danmark

3 Danske og internationale kunder har tillid til os Vi leverer og supporterer sikkerhedssystemer på mere end 500 lokationer i verden AFRIKA ANGOLA / MOZAMBIQUE / SYDAFRIKA / TANZANIA ASIEN-PACIFIC AUSTRALIEN / KINA / INDIEN / INDONESIEN / JAPAN / SINGAPORE / THAILAND / TURKMENISTAN EUROPA ØSTRIG/ CYPERN / TJEKKIET / DANMARK / FÆRØERNE / FINLAND / FRANKRIG / TYSKLAND / GRØNLAND / UNGARN / ITALIEN / KAZAKHSTAN / LETLAND / LITAUEN / LUXEMBOURG / HOLLAND / NORGE / POLEN / RUSLAND / SKOTLAND / SLOVAKIET / SVERIGE / SCHWEIZ / TYRKIET / ENGLAND LATIN AMERIKA ARGENTINA / BRASILIEN / CHILE MELLEMØSTEN BAHRAIN / DUBAI / OMAN / QATAR NORDAMERIKA CANADA / USA

4 Danmarks førende it-sikkerhedsspecialist Technology focus Process focus Business focus Managing risk, enabling growth Vi er altid på udkig efter muligheder for at styrke vores kunders forretning og understøtte vækst. Vi hjælper med at balancere dine forretningsmål og et acceptabelt risikoniveau for it-sikkerhed.

5

6

7

8 Airbnb vs.

9 Den digitale fremtid ændrer verden omkring os Mobility Cloud Big Data Sociale medier 3D Printing AI Digital Disruption Software Defined Anything BYOx Webscale IT Internet time Internet of Things Robotics

10 Digital Disruption Teknologiledere i en bølge overlever sjældent til at blive teknologiledere i den næste De teknologiledere, som definerer hver bølge har ofte ikke eksisteret på nogen væsentlig måde i den tidligere bølge Lanceret 1995 Grundlagt 1998 Lanceret 2004 Re-lanceret 1996 Disruption vil være en markant konkurrencemæssig fordel Disruption, er ikke blot innovation, men omfatter hele forretningsmodellen Alle organisationer må blive digitale virksomheder i den nye virkelighed Kilde: Gartner

11 »Der er ved at ske nogle ting nu, som vi ikke har kendt til i den samme stil historisk set. Det er vores vurdering, at banksektoren over de næste 10 til 15 år kommer til at gennemgå større forandringer, end vi har gjort de seneste 300 år,det er den udvikling, som vi står over for i vores traditionelle forretningsmodeller, og som vi er nødt til at agere på. Da det første gang gik op for os i Danske Bank, var for halvandet år siden. Det tog os ti år at nå til en million brugere af vores onlinebank. Det tog os under ét år at nå en million brugere på MobilePay,«

12 »Man skal huske, at i dag kan den hårdeste konkurrent vise sig at være en ung IT-udvikler med hættetrøje i San Francisco!«Administrerende direktør Jens Klarskov, Dansk Erhverv

13 Alle virksomheder bliver digitale virksomheder

14 Potential Impact of Cybersecurity Risks to Global Economy

15 Global Risks Report 2016

16 Global Risks Report 2016

17 Digitial sikkerhed Informationssikkerhed It-sikkerhed ICS-sikkerhed Fysisk sikkerhed IoTsikkerhed Cybersikkerhed Digital sikkerhed

18 Hændelser - eksempler

19 Hændelser - Danmark Bølge af fup- fra Marokko Kommuner udsat for hackerangreb og afpresning Af Jens Beck Nielsen og Henrik Jensen 22. januar 2015, 22:30 Flere kommuner er nu for første gang blevet angreb af hackere, som kræver penge for at trække sig. En voldsom aktivitet på Gribskov Kommunes drev afslørede mandag eftermiddag, at kommunen for første gang var ramt af cyberangreb. Hackere havde krypteret filer i kommunens systemer og forlangte penge for at slippe kontrollen over dem. Kommunen afviste at betale og politianmeldte sagen, som i går blev sendt videre til Europol. Foreløbig er der ikke noget, der tyder på, at følsomme oplysninger om borgerne er sluppet ud, men kommunaldirektør Holger Spangsberg Kristiansen understreger, at angrebet tages»meget, meget alvorligt.«af Henrik Jensen / 11. februar 2015, 22:30 Det er en ekstraordinær stor mængde fra primært marokkanske bagmænd, som i disse dage forsøger af franarre danskerne deres kreditkortoplysninger. Få danskere er hoppet i fælden, siger ekspert. Bagmændene bag svindlen benytter sig af en metode, der kaldes phishing. Her sender de typisk flere tusinde rundt, hvor de udgiver sig for at være en troværdig kilde som eksempelvis en bank, Skat eller Nets. Ved de mest professionelt udførte angreb kan det være svært at se, at der er tale om en falsk . Andre gange kan det ringe sprog i en give et praj om, at der er tale om svindlere. Herefter forsøger gerningsmændene at overbevise modtagerne om, at en er ægte, og at de derfor skal gøre, som de instrueres til. Hvis modtagerne klikker på linket, bliver vedkommende typisk ledt ind på en hacket hjemmeside, hvor man for eksempel bliver bedt om at indtaste sine kreditkortoplysnigner. Nogle få klik og en indtastning af kreditkortoplysninger. Herefter kan tyvene købe flybilletter, elektronik og andre varer i dit navn. Mandag d. 28. september 2015, kl / Thomas Breinstrup To kommuner er ramt, men der er højst sandsynligt flere, som der ikke er Det kan være konsekvensen, hvis man ikke er opmærksom på den bølge af kendskab til endnu, forklarer Mads Nørgaard Madsen, sikkerhedsekspert PostDanmark og har politianmeldt virus, som foregiver at komme fra falske , som i denne uge hærger de danske indbakker. Her udgiver partner i revisionsfirmaet PWC, der har været i kontakt med de ramte postvæsenet, men som låser folks filer og kræver løsepenge. gerningsmændene sig for at være nøglekortudbyderen NemID og vil lokke kommuner. modtageren af de falske over på en hacket hjemmeside, hvor de skal En særdeles ondsindet computervirus, som udgiver sig for at komme fra indtaste deres kreditkortoplysninger. Det fortæller IT-sikkerhedsekspert Peter Ifølge Mads Nørgaard Madsen skyder hackerne med spredehagl og krypterer postvæsenet, spreder sig i Danmark og koder filer, så man ikke længere Kruse har fra virksomheden CSIS, der overvåger udviklingen. vilkårlige filer. Og ifølge ham er der altså ikke etale om målrettede forsøg adgang på at til dem. stjæle f.eks. personfølsomme oplysninger.»det handler her om at lave så meget ravage som muligt, så man kan kræve så mange penge som muligt. I tilfældet her har hackerne henvendt sig via mail, og nogle brugere er kommet til at hente en inficeret fil ned. Derfor handler det også om, at der kommer en øget bevidsthed om sikkerheden. Uden at pege fingre kunne det måske have imødegået disse angreb,«siger Mads Nørgaard Madsen. Ond postvirus angriber danske virksomheder PostDanmark advarer på sin forside mod den falske besked, som mange danskere har modtaget, og som rummer en farlig virus. I sidste uge er adskillige danske virksomheder blevet angrebet af Cryptolocker 2-virussen, som ankommer med det elektroniske postbud i en mail, der foregiver at være fra PostNord. Klikker man på et link i beskeden, bliver virussen installeret og går i gang med at kryptere - altså kode - vigtige filer på

20 Dubex Security Analytics Center & Dubex Incident Response Team Ransomware Kompromiterede web-servere Målrettet malware Ransomware tager dine data som gidsel ved at kryptere dem. Herefter tilbyder bagmændene at sælge dig nøglen. Tidligere var angrebene temmelig harmløse, da kryptering nemt kunne fjernes. Med Cryptolocker er dette dog ændret Man-in-the-middle angreb på VPN forbindelse i Kina Ukendt Malware Monitoring observationer: Interne systemer med malware Phishing-angreb Angreb mod webservere Brute force-angreb eks. ftp, ssh og SIP Mistænkelig trafik Uautoriseret trafik Andet skanninger

21 Hvorfor bliver vi angrebet? Spionage Konkurrenter Terrorisme Politiske & aktivister Cyberkrig Kriminelle Angreb Interne

22 Angreb - aktuel status Mål Målrettede angreb efter fortrolige informationer Industrispionage Økonomisk berigelseskriminalitet Tyveri af kreditkortinformation Internetsvindel Afpresning Ransomware og DDoS Politisk motiveret Informationslækage Sabotage Metoder Angreb, der omgår perimeterforsvaret Angreb mod brugere Social engineering angreb f.eks. phishing Angreb via sociale netværk Webbaserede angreb Indirekte angreb rettet mod klienter Indirekte angreb via betroede eksterne tredjeparter Angreb sløret i krypteret ssl-kommunikation Sårbarheder og avancerede dag-0-angreb Hurtig udnyttelse af sårbarheder Udnyttelse af ukendte sårbarheder dag-0 Unik og målrettet malware

23 Avancerede angreb er blevet det normale Mange målrettede angreb er stadig forholdsvis simple -- De fleste såkaldt avancerede angreb starter stadig med en sendt til den rette person med det rette indhold Cyber kriminalitet er en lukrativ forretning, og det er nemt at starte Undergrundsmiljø hvor de kriminelle handler med informationer Drivere bag cyberkriminalitet Automatisering Samarbejde og vidensdeling Profit How Industrial Hackers Monetize the Opportunity Social Security $1 DDOS as a Service ~$7/hour Credit Card Data $0.25-$60 Medical Record >$50 Bank Account Info Mobile Malware $150 Spam Exploits Malware Development $2500 Facebook Account with 15 friends >$1000 (depending on account type and balance) $50/500K s $1000-$300K $1 Source: RSA/CNBC Metoder som tidligere kun blev brugt i målrettede angreb anvendes nu af almindelige kriminelle Anonymitet Malware er blevet mere avanceret Betalingsinfrastruktur

24 Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud 205 dage tager det i gennemsnit at opdage en kompromittering 69% af alle hændelser blev opdaget af eksterne 31% af alle hændelser blev opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket

25 der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem, der ikke ved, at de er blevet hacket. Pointen er, at alle er blevet hacket James Comey, FBI Director Pointen er, at alle er blevet hacket

26 Når du ved, din virksomhed bliver kompromitteret, vil du så håndtere jeres sikkerhed anderledes?

27 Tilgang til sikkerhed Alvorlig hændelse! Investering i compliance Ok, hvad er vores Luk hullerne egentlige behov? NU! Sikkerhedshændelse En sikkerhedsbrud er en hændelse, der medfører uautoriseret adgang til data, applikationer, services, netværk og/eller enheder af en angriber der omgår de underliggende sikkerhedsforanstaltninger Nemt og billigt Integrity Data Confidentiality Availability

28 Hvorfor sker hændelserne? Angrebene anvender mere eller mindre overbevisende social engineering-metoder Udnytter eksempelvis information fra sociale netværk Mangelfuld endpoint-sikkerhed - værktøjer er ikke brugt effektivt Brugerne har for mange rettigheder De fleste angreb er baseret på udnyttelse af simple metoder Svage passwords, sårbarheder m.m. Vi ved, hvad vi burde gøre, men får det alligevel ofte ikke gjort Fokus er på alt det, vi rent faktisk kan og allerede gør. Men mere eller mindre bevidst glemmer vi alt det, vi ikke kan og ikke gør Fokus bør være på de konkrete problemer, vi har i dag, og ikke det, vi tror bliver problemet om nogle år Angreb udnytter hullerne mellem sikkerhedsmekanismerne Manglende integration og intelligens på tværs af værktøjer Angrebstrafik minder om normal netværkstrafik Udnytter de åbninger til fx webtrafik, der er i vores infrastruktur It-sikkerhedsbudgettet ofte procentdel af samlede it-budget Reaktiv sikkerhed Implicerer at sikkerhed er afgift Besværligt at beregne ROI hvad koster en afværget hændelse?

29 Udfordringer - organisering Dagens fundamentale problemer Sikkerhed Mangler en klar strategi Ikke planlagt godt nok Fragmenterede sikkerhedsløsninger Mangler overblik over, hvad der egentligt skal beskyttes Delt mellem afdelinger intet centralt ansvar Reaktivt drevet af konkrete hændelser Konsekvenser Sikkerhed Huller i sikkerheden Besværlig administration og drift Høje omkostninger Manglende fokus Dårlig Return On Investment Driftsforstyrrelser Tabt troværdighed og kunder Løsninger, som ikke følger med truslerne Dobbeltarbejde Eric Ouellet, Gartner: What we have found is that organizations that spend more than seven percent of the IT budget on security are actually less secure because they use reactionary approaches. They end up with point solutions where there s no overarching theme and no integration.

30 Udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere, ressourcer og kompetencer

31 Opfattelsen af it-sikkerhed It-sikkerhed som risikostyring Relateres til den forretningsmæssige risiko Optimering af omkostninger i forhold til potentielle forretningsmæssige tab It-sikkerhed som enabler fx understøtter forretningscase gennem nye indtægter It-sikkerhedsbudgettet bliver forretningsmæssigt begrundet Sikkerhed som en forretningsomkostning Sikkerhed som resultat af en strategi Sikkerhed som en forretningsenabler Guards, Guns and Gates Reaktiv sikkerhed Vigtigste drivere: Lovgivning Forsikring Sikkerhed og ansvar Mere proaktivt Formaliserede processer Forretningscasen baseres på besparelser og forhindre tab Sikkerhed indgår strategisk i forretningen Risk management som ledelsesværktøj Forøge produktivitet Investering i løsninger med fordel for både forretningen og sikkerhed

32 Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset It er grundlaget for alle forretningsprocesser Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko, som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden

33 Høj fart kræver gode bremser og en erfaren kører

34 Prioritering af it-sikkerhed Udfordringerne er mange Der er trusler og behov Der er krav og forventninger fra myndigheder, samarbejdspartnere og kunder Man kan drukne i løsninger, muligheder og aktiviteter Det er vigtigt at målrette sikkerheden til de forretningsmæssige behov Ledelsesopbakning og brugerinddragelse er kritisk for successen Risikovurderinger er et vigtigt hjælpemiddel til prioritering af it-sikkerhed - også når man skal vælge mellem forskellige løsninger/muligheder

35 Hvordan findes det rigtige sikkerhedsniveau? Værdier og truslerne Du skal kender dine værdier og truslerne Inventory: Hvilke aktiver du beskytter - Ikke så nemt som det umiddelbart ser ud Hvem angriber dig og hvorfor? Hvordan bliver du angrebet? Malware, APT, DDoS, økonomisk gevinst, etc. Historien er en stor indikator for fremtidige angreb Ikke alle aktiver og data bør beskyttes lige så Hvad er dine "gyldne æg" aktiver? Ofte er defineret af fysiske aktiver Bedre at definere ved anvendelse & service Omfatter alle del an den understøttende infrastruktur Hvorfor tale risici? Giver et dokumenteret grundlag for beslutninger Også når man skal vælge mellem forskellige løsninger/muligheder Fokuserer ledelsen på de forretningsmæssige risici og gevinster Ledelsen og bestyrelsen skal forøge og beskytte værdien af virksomheden It er grundlaget for alle forretningsprocesser Synliggørelse af den risiko som itanvendelsen medfører Risikostyring er det værktøj vi kan bruge til beskytte værdien af virksomheden Viser at sikkerhed ikke bare er ITs ansvar

36 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Information Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risiko Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Risikostyring er en løbende proces Foranstaltninger

37 Sikkerhed og risiko Sikkerhed betyder ikke nogen risiko eller fare Fuldstændig sikkerhed ingen risiko eller fare - kan ikke opnås Sikkerhed drejer sig om risikostyring Risiko er det potentielle tab Vurdering af risikoen baseres fx på de finansielle omkostninger, tab af menneskeliv, mistet omdømme m.m. Hacker Konkurrent Terrorist Utilfreds medarbejder Software fejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Foranstaltninger Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme

38 Risikovurderinger - prioritering af it-sikkerhed Synliggør hvor der bedst kan sættes ind Måske giver uventede områder mest! Lavere Udvælgelse af systemer, samt en præcisering af virksomhedens mål og risikovillighed Konsekvens Vurdering af konsekvenserne ved brud på tilgængelighed, fortrolighed og integritet Vurdering af sandsynligheder for brud på tilgængelighed, fortrolighed og integritet Vurdering af mulige forbedringer, og deres sikkerhedsmæssige konsekvenser Giver et risikobillede af situationen i dag og med de mulige forbedringer Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Højere Sandsynlighed inkl. Sikkerhedsmiljø

39 Risikostyring Sikkerhed er altid et spørgsmål om prioritering Kan investering i sikkerhed betale sig? Beslutninger baseres på en vurdering af risici Mennesker har en naturlig intuition omkring risici Vi træffer dagligt beslutninger ud fra en risikovurdering Alle dyr gør det Men alligevel tager vi så ofte fejl... Undervurderer alvorlige risici Overvurderer mindre risici Mennesker overdriver risici, der er: Mennesker underdriver risici, der er: The New Realities of Risk Management Transparency and defensibility of risky decisions are more critical than ever. Risk must be measured and addressed as part of the business process. All managers and leaders need basic skills in risk management. Risk management is an investment decision tool. Eliminating all risk is not possible or desirable. Risk treatment options include mitigation, contingency planning, transfer and acceptance. Risk and the accountability for risk are, and should be, owned by the business units creating and managing those risks. Risk management is an ongoing effort. Risk assessments are valid for a point in time, because risk factors evolve over time. Risk management must be baked into the thinking of decision makers and into the governance of the enterprise. Risk decisions are more complex and impactful than in the past. With instant communication and processes, organizations must act quickly and knowledgeably to threats and opportunities. Continuous monitoring and reporting of risk are becoming critical business processes. Spektakulær Sjældne Personificerede Uden for egen kontrol Øjeblikkelige Rammer dem selv Uforståelige Kedelige Almindelige Anonyme Under egen kontrol Langsigtede Rammer andre Velkendte The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry

40 Omkostninger potentielt tab Forskellen på risikominimering og -optimering Målet er at optimere risikoen ikke minimere den Velbegrundet beslutning om foranstaltninger Velbegrundet fravalg af foranstaltninger Risikooptimering: at udvælge og implementere de foranstaltninger som mest kosteffektivt adresserer de sårbarheder som med størst sandsynlighed vil medføre tab 80/20 reglen vil gælde i de fleste tilfælde Risikominimering Pansret glas i vinduerne Panserplader i loft og vægge Pigtrådshegn Aktiv brandslukning Vagter Kameraovervågning Panikrum Risikooptimering Lås på døre og vinduer Brand- og røgalarm Tyverialarm Brandslukker Risikooptimeringspunkt Omkostninger foranstaltninger

41 Mål, planlæg og gennemfør Foretag en risikovurdering og en GAP analyse Hvad har værdi for os, hvad er risikoen og hvor har vi problemer? Sæt fokus på de steder, hvor der er huller i sikkerheden Dokumentér hvilken forbedring af sikkerhedsniveauet en bestemt ændring medfører Giv ledelsen valgmuligheder mht. hvad de vil prioritere Udarbejd en langsigtet strategisk plan Prioriter projekterne efter omkostninger og værdi for organisationen Brug en risikovurdering til at adressere manglende budget -understøttelse Sørg for løbende rapportering Gap Projekt 1 Projekt 2

42 Ledelsesmæssig fokus på IT-sikkerhed Sammenhold og sammenkæd sikkerhedsinitiativer med virksomhedens øvrige mål, projekter og værdier Fokus på initiativer, der har ledelsesbevågenhed Fokus på forretningsværdi og muligheder for forretningen Formaliseret program til risikostyring og implementering af sikkerhed Mapning af risiko med klare performance målepunkter Sammenkæd risikoinitiativer med virksomhedens mål Undlad at bruge operationelle målepunkter i ledelses-kommunikationen Ledelseskommunikationen med fokus på, hvad der virker og hvad der ikke virker IT-sikkerhed forretningsdrivere Fremhæve virksomhedens værdier Mulighed for audit af processer Leve op til eksterne krav om compliance Opfylde branche standarder Fremme ønsket intern opførsel Beskytte mod tab af følsomme data Beskytte mod fejl o.a.

43 Organisering og forankring af sikkerhedsprocessen Risikostyring Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerhedsframework og -profil Implementering

44 Risikostyring på ledelse- og bestyrelsesniveau Risiko strategi Tager vi de rigtige risici? Risikoappetit Har vores risiko det rette omfang? Evner Er vi effektive til at styre risici? Kender vi de betydeligste risici, vi tager? Er de risici vi tager på linje med vores forretningsmæssige mål og vækststrategier? Vil de risici, vi tager hjælpe os med at opnå konkurrencemæssige fordele? Hvordan passer de risici, vi tager med aktiviteter, der skaber værdi? Har vi rettidig og relevant information til at foretage strategiske valg? Kan vi opnå et afkast, der er i overensstemmelse med vores overordnede risikoprofil? Fremmer eller hæmmer vores kultur det rette niveau af risikotagning adfærd og aktiviteter? Har vi en defineret, formidlet og forstået organisatorisk risikoappetit og tolerance? Er vores risikoappetit kvantificeret både samlet og per hændelse? Er vores reelle risikoprofil i overensstemmelse med vores risikovillighed? Er vores kapital er tilstrækkelig til at understøtte vores risikoprofil? Er vores risikostyringsproces "ensartet", på niveau med vores strategiske beslutningsproces og key performance foranstaltninger? Risikostyring - Er der klarhed over bemyndigelse, afgrænsninger og ansvarsområder? Overvåges vores risikostyringsproces effektivt på tværs af hele virksomheden? Er vores ensartede risikostyringsproces omkostningseffektiv og effektiv?

45 Ledelsesovervejelser Are we operating at acceptable risk? Are we as efficient as possible? Identify & Prioritize Assets Define Services Prioritize Risks Align Capacity & Demand Spend or owner accepts risk Service SLAs & Metrics Control effectiveness metrics In vs. Out Source

46 Modenhedskurve Forretningsorienteret Trusselsforsvar Compliance og sikkerhed i dybden Tjekliste-tilgang Risikobaseret sikkerhed Sikkerhed som resultat af en strategi Mere proaktivt Sikkerhed indgår strategisk som forretnings-enabler Risk Management som ledelsesværktøj Investering i løsninger med fordel for både forretningen og sikkerhed Sikkerhed opfattes som Guards, Guns and Gates En omkostning Et nødvendigt onde Compliance vigtigste drivere: lovgivning, forsikring og ansvar Sikkerhed i dybden Formaliserede processer Forretningscasen baseres på besparelser og hindring af tab Integrerede sikkerhedsløsninger Forebyggelse, detektion og reaktion Formaliseret incident response proces Manglende koordinering og prioritering Reaktiv og taktisk sikkerhed

47 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at: Risikostyre vores aktiver (Predict & Identify) Implementere passende, afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & identify Risk management Visibility Vulnerability management Analytics Prevent & protect Fundamental security Advanced security Detect Security monitoring Threat intelligence Incident handling Containment Respond & recover Disaster recovery Forensic Security capabilities

48 Risikovurderinger eksempel Risikovurderingen - processen 1. Risikovurderingen udarbejdes ved at sammenholde det vurderede sikkerhedsniveau med det aktuelle trusselsbillede 2. Derefter analyseres sandsynligheden for udnyttelse af de væsentligste sårbarheder, samt konsekvenserne ved sådanne brud 3. Risikovurderingen gennemførtes som en dialog mellem Dubex sikkerhedskonsulenter og Kundens deltagere, samt en efterfølgende analysefase hos Dubex 4. For hver område diskuteredes også de muligheder for forbedringer, der har været vendt med Kundens deltagere Risikovurdering Navn Beregnet risiko værdi Fortrolighed Sikring af hjemmearbejdspladser BYOD ,5 1 Sikker brug af Webmail Mobile enheder Firewall og VPN miljø 20 11,3 8 4 Antivirus Webservices for kunder Segmentering af netværket 15 12,5 5 7 Sikkerhed ifm. webtrafik Administration af brugeridentiteter 15, SIEM og loghåndering Trådløse netværk Intregitet Tilgængelighed Rang i dag

49 Hvad er ISO 27001? ISO er ikke bare en standard for et ledelsessystem ISO er også en generel proces, der hjælper med forankring, behovsanalyse og prioritering af it-sikkerheden Ledelsessystem for informationssikkerhed (ISMS) ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse Grundlaget er ledelsens commitment og accept Fokus er på forretningen og de forretningskritiske aktiver Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Procesorienteret (Plan-Do-Check-Act) Der lægges vægt på rapportering

50 SANS 20 Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering, og hvordan der følges op List Of Critical Controls 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation Retningslinjer for prioritering af sikkerhedsarbejdet 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services Fokus på automatisering af kontroller 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps

51 Prioritering af indsatser i forhold til SANS 20 CC

52 SANS Top 20 CSC 3-3 Limit administrative privileges to very few users who have both the knowledge necessary to administer the operating system and a business need to modify the configuration of the underlying operating system. This will help prevent installation of unauthorized software and other abuses of administrator privileges. Quick win (One of the "First Five") CSC 13-7 Require all remote login access (including VPN, dial-up, and other forms of access that allow login to internal systems) to use two-factor authentication. Visibility/Attribution First Five Quick Wins 1. Application whitelisting (found in CSC 2); 2. Use of standard, secure system configurations (found in CSC 3); 3. Patch application software within 48 hours (found in CSC 4); 4. Patch system software within 48 hours (found in CSC 4); 5. Reduced number of users with administrative privileges (found in CSC 3 and CSC 12).

53 Hvordan ændrer vi vores tankegang omkring sikkerhed? Fra prevent og protect til detect og response Fra compliance (tjekbokse) til risikobaseret sikkerhed Fra teknologi til forretningsudbytte Predict & identify Prevent & protect Detect Respond & recover Information Risiko Foranstaltninger Managing risk Enabling growth Fra forsvar til facilitering Mennesker Proces Fra snævert it-fokus til fokus på alle digitale aktiver Politik Teknologi Forretning Informationssikkerhed It-sikkerhed ICS Cybersikkerhed Digital sikkerhed Fysisk IoT Fra informationskontrol til informationsudveksling Fra fokus på teknologi til fokus på mennesker Fra absolut risiko til god og dårlig risiko Risikovurdering Beregnet risiko værdi Fortrolighed Intregitet Tilgængelighed Rang i dag Navn Sikring af hjemmearbejdspladser BYOD Sikker brug af Webmail Mobile enheder Firewall og VPN miljø , ,5 1 Antivirus Webservices for kunder Segmentering af , netværket 4 webtrafik Administration af brugeridentiteter SIEM og loghåndering Trådløse netværk Sikkerhed ifm. 15,

54 Anbefalinger

55 Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med single-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men I oplever også mange angreb med unik malware og udnyttelse af dag-0-sårbarheder, som kræver andre værktøjer Endpointbeskyttelse: Endpoints skal beskyttes af mere end antivirus - husk opdateringer, begrænsede rettigheder, websikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To-faktor-autentifikation: Dette vil ikke eliminere risikoen for, at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger

56 Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter, at der vil ske hændelser - følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Glem ikke de basale kontroller. Hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander

57

58 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

59 Kommende arrangementer Læs mere på

60 Hold dig opdateret Tilmeld dig Dubex nyhedsbrev Besøg Følg Dubex på LinkedIn & Twitter Deltag på Dubex arrangementer twitter.com/dubex

61 Tak!