Security & Risk Management Summit
Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014
Agenda Trends Virksomhedens udfordringer Hvorfor outsource sikkerhed? Værdien ved outsourcing Hvilke områder bør overvejes? Vores anbefalinger
Hændelser i Danmark 2014
Den digitale forretning ændrer it-sikkerheds indflydelse radikalt Strategi Digitalisering Monitorering Mobility Risiko- og sikkerhedsafdelinger er ikke længere beskyttere af organisationen værdier; de skal facilitere en balance mellem beskyttelse og opretholdelse/udvidelse af forretningen. Den digitale forretning anvender nye teknologier som er udenfor den traditionelle kontrol af datacentermiljøer med mindre stabilitet og forudsigelighed. Sikkerhedsorganisationer må forvente, at de er blevet kompromitteret og derfor investere i værktøjer, som giver dem kontinuerlig overvågning af mønstre og egenskaber der indikerer trusler. Flere ting relateret til Mobility tvinger it-organisationerne til at gentænke deres rolle I virksomheden. It-personalet vil få behov for markante ændringer for at kunne følge med og supportere virksomheden. Den digitale forretning
Udfordringer Krav fra forretningen Optrapning i trusselsbilledet Medarbejdere og kompetencer
Fokusområder/trends for 2004/05 ifølge Gartner Som listen så ud for 10 år siden
Fokusområder/trends for 2014/15 Hvordan sikrer I prioritering, implementering, vedligehold & kompetenceniveau på samtlige af nedenstående områder? Endpoint integrity monitoring Privileged account management Application security Data inventory & classification Vulnerability assessment Mobile Device Management Advanced threat defense Data encryption, two factor validation Cloud encryption ITSM for compliance Privacy program Next gen firewall Social media usage, account validation & protection Planerne for disse initiativer ligger jævnt fordelt fra 28-40% Hvilket indikerer et blandet modenhedsniveau
Sikkerhedsinvesteringer 2015 versus 2014
Omkostningselementer ved egen drift af løsningen Køb af løsningen samt vedligehold/support. Driftsomkostninger til infrastruktur mv. Kompetencer til implementering, drift & vedligehold Procesforankring internt i virksomheden Anvendelsen og fortolkningen af data fra løsningen Konklusionen for mange virksomheder er, at PRIS, KVALITET samt HASTIGHED bliver afgørende for om de vælger at gøre det selv
Primære drivers for outsourcing Informationer om nuværende trusselsbillede er svært at vedligeholde Kompetencer til at udfylde de mange områder er svære at: Få Vedligeholde Udnytte & betale Hastighed i implementering og forankringen i forretningen tager for lang tid Omkostninger er for høje ved køb og drift selv Drift (8-17 eller 24x7) Vedligehold Administration Fortolkning af data Kvalitet Hastighed Effektivitet Omkostninger Virksomheden ønsker ikke at drive området selv, da det ikke er forretningskritisk Outsourcing giver større fleksibilitet, omkostningskontrol samt værdi
Primære kriterier for valg af Security-as-a-Service 1. Sikkerhedsekspertise 2. Udbyder skal ses som en strategisk partner 3. Prissætning (total omkostning for aftalte services) 4. Branchekendskab 5. Kvalitet i forhold til besvarelse af RFP samt præsentation af egenskaber 6. Tidligere erfaringer med udbyder 7. Finansiel styrke 8. Forretningsforståelse samt -behov 9. Gode referencer 10. Projekt- samt implementeringsmodel Efter inspiration fra Gartner
Områder der er velegnet til outsourcing Monitored or managed firewall or IPS Monitored or managed IPS Distributed Denial of Service (DDoS) protection Managed Secure Messaging Gateway Managed Secure Web Gateway Security Information Management Security Event Management Managed vulnerability scanning of networks, servers, databases or applications Security vulnerability or threat notification services Log Management and analysis Reporting associated with monitored/managed devices and incident response Efter inspiration fra Gartner
Dubex anbefalinger Få hjælp til prioritering af indsatsområder med rod i virksomheden risikovurdering Driv de områder, som giver mening og værdi internt, og hvor der ikke mindst er kritisk masse i opgaverne. Outsource de områder hvor der ikke er kritisk masse, erfaringer eller fokus. Find en partner som er agil og fleksibel kan udvide med ydelser som sikkerhedsanalyse, threat intelligence mv. kender forretningen kan rådgive bredt har gode integrationsmuligheder / erfaringer kan tilkaldes udenfor normal arbejdstid
Managed Service-model - lav evt. jeres egen Krav til prismodel samt ekstra ydelser Krav til rapportering, ressourceviden mv Statusmøder Omkostning Kvalitet Effektivitet Hastighed Krav til SLA & samarbejde Integrationspunkter SOC/ITIL Krav til implementering, vedligehold samt opdateringer
Managed Service-model hvad kan I opnå? Fast ydelse til fast pris Virksomheder ønsker ikke at eje licenser Eksperter som kender trusselsbillede samt løsningerne Omkostning Kvalitet Effektivitet Hastighed Dedikeret SOC Proaktiv reaktion i forhold til trusler Best practiceimplementering og vedligehold
Med Dubex som partner Cloud & SaaS Private, Public & Hybrid Cloud PaaS, IaaS & SaaS anvendelse Analyse Sikkerhedsanalyse Risikovurdering ISO 27001 Auditering Big Data Vækst i datamængder Analyseværktøjer Rådgivning Strategi Investering af itsikkerhedsløsninger Konsulentbistand Mobility Understøttelse af smartphones og tablets Implementering It-sikkerhedsprojekter Modernisering og optimering Projektledelse Support 1. & 2. Level support sf itsikkerhed Sociale medier Facebook, LinkedIn og Twitter Managed Service Fuld driftsløsning af udvalgte itsikkerhedsområder
Tak! For yderligere information besøg www.dubex.dk Martin Jæger 24695974 maj@dubex.dk