Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Transkript

1 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

2 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at de er blevet hacket. Pointen er, at alle er blevet hacket James Comey, Direktør, FBI

3 Udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere og kompetencer

4 Høj fart kræver gode bremser og en erfaren kører

5

6

7 Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Visibility Analytics Advanced security Threat intelligence Containment Forensic

8 Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer It er grundlaget for alle forretningsprocesser Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden

9 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer - beslutninger baseres på en vurdering af risici Informationscentreret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Risikostyring er en løbende proces Information Risiko Foranstaltninger Vi ønsker at basere vores it-sikkerhed på en reel risikovurdering af vores systemer, infrastruktur, interne og eksterne trusler osv. Dubex sikkerhedsanalyse har givet os overblik og anbefalinger samt et optimalt grundlag for at foretage prioriteringer i forhold til at sætte nye initiativer i gang Claus Ritter, CIO, Slagelse Kommune.

10 Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med sigle-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men i oplever også mange angreb med unik malware og udnyttelse af dag-0 sårbarheder som kræver andre værktøjer Endpoint beskyttelse: Endpoint skal beskyttes af andet end kun antivirus - husk opdateringer, begrænsede rettigheder, web-sikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To- faktor-autentificering: Dette vil ikke eliminere risikoen for at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger

11 Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter at der vil ske hændelser - Følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Uden at glemme de basale kontroller, så hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du et mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander

12 Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

13 Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Politik Proces Forretning CONSULTING FINANCIAL SERVICES INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR Teknologi RETAIL & CONSUMER PRODUCTS TRANSPORTATION

14 Understøttelse af sikkerhedsprocessen Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Visibility Analytics Advanced security Threat intelligence Containment Forensic Dubex Security Professionals & Consulting Security Operations Center Dubex Managed Services Dubex Support options Technology providers

15 Hvad skal du gøre når du kommer hjem? I morgen Skaf et overblik over jeres aktuelle sikkerhedstilstand Næste uge Risikovurder jeres aktiver Næste måned Start implementeringen af de kontroller risikovurderingen viser der er behov for

16 Hold dig opdateret Abonnér på Dubex nyhedsbrev Besøg Følg Dubex på LinkedIn & Twitter Deltag på Dubex arrangementer twitter.com/dubex

17 Kommende arrangementer Læs mere på

18 Tak!