Managing risk & compliance, enabling growth Finans IT-dagen 2012-13. september 2012 Jacob Herbst, jhe@dubex.dk
Dubex A/S - Profile Specialister i og laver kun IT-sikkerhed siden 1997 50 medarbejdere i København og Århus - over 2/3 arbejder med teknisk IT-sikkerhed Privatejet af de tre stiftere, samt medarbejderaktier Vækst og overskud alle år siden etableringen Omsætning 2010 ca. 86 mio. DKK Selvfinansierende - Dun & Bradstreet AAA Det største dedikerede IT-sikkerhedsfirma i DK Løsninger og ydelser bl.a. inden for netværks- og indholdssikkerhed, fjernadgang, mobility og autentificering, samt loghåndtering og compliance Eneste ISO 27001 certificerede danske IT-sikkerhedsleverandør Dubex, Aarhus Dubex, København
Agenda IT udfordringer 2012 Finansielle IT systemer Trusler Risikostyring Forretningsmæssig værdi Konklusion
It er forretningen It er grundlaget for alt Recessionen sætter fokus på effektivisering Mission for it-afdelingen: Øge virksomhedens indtjening og vækst The Six Styles of the Money- Making CIO 1) Entrepreneurial CIO 2) Cost Optimization CIO 3) Revenue-Creating CIO 4) Business Innovation CIO 5) Business Development CIO 6) Public-Serving CIO Kilde: The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry Kilde: Gartner Executive Programs - Reimagining IT: The 2011 CIO Agenda
It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source
Drivere it-sikkerhed som enabler Cloud Mobility Big Data Sociale Medier Private Cloud, public Cloud, hybrid cloud SmartPhones og tablets Consumirization Vækst i datamængder Analyse værktøjer Facebook og Twitter Private Cloud Computing is among the highest interest areas across all cloud computing, with 75% of respondents saying they plan to pursue a strategy in this area by 2014. By 2013, 80 percent of businesses will support a workforce using tablets. Big data in 2-5 years will have a transformative impact on the organization and to give appropriate feedback; by 2015 it will allow companies who have mastered the technology to beat competitors by 20 percent for all existing financial metrics. 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Sikkerhed som enabler
Cloud computing Compliance - Cloud Computing Hvordan er data reelt beskyttet? Tilgængelighed redundans og backup? Lovgivning hvor er ens data? Manglende adskillelse mellem administrative opgaver Interne og eksterne Cloud-løsninger kræver fleksible og skalerbare sikkerhedsløsninger Har min Cloud leverandører fokus på sikkerhed? Hvad er risikoen ved at jeg deler applikation, platform og infrastruktur med andre? Må jeg opbevare min virksomhedens data på fremmed udstyr? Hvordan er mine data beskyttet overholdes mine krav til fortrolighed? Hvordan laver jeg auditering og penetrationstest af min Cloud baserede infrastruktur? Hvor i verden er mine data? By 2015, 80% of enterprises using external cloud services will demand independent certification that providers can restore operations and data. Gartner s Top Predictions - 2011 and Beyond
Mobility State of the Internet Mobile Will Be Bigger Than Desktop Internet in 5 Years Morgan Stanley, april 2010 Computing Growth Drivers Over Time, 1960-2020E 1.000.000 Enheder/brugere (Mio. logaritmisk) 100.000 10.000 1000 100 10 1 Mainframe computing 1 mio.+ Mini Computer 10 mio.+ Personal Computing 100 mio.+ Desktop Internet 1 mia.+ Mobil Internet 10 mia.+ 1960 1970 1980 1990 2000 2010 2020 Internet of things 100 mia.+ Hver ny cyklus: Mere processorkraft Bedre brugerinterface Mindre fysisk størrelse Lavere priser Flere services Seneste cyklusser har typisk varet 10 år Kilde: http://www.morganstanley.com/institutional/techresearch/
Social media & consumerization Forbruger-orientering af vores it-systemer Brugergenereret indhold - Brugerne bidrager med det meste af indholdet Consumer hardware used for work Consumer services used for work Bring your own device - (sammen-)blanding af private og firma enheder/anvendelse Medarbejdere anvender forbrugerløsninger til at udføre sit arbejde fx Facebook og Skype Rich Internet Applications Avancerede webapplikationer Interaktive, simple. personificerede Applikationerne bliver bedre og med flere brugere 50% of respondents said they "customize their work environment moderately or aggressively" (including the use of unsanctioned tools) and will continue to do so. Source: Gartner Research poll
Big data moderne virksomheder bygger på data Voksende datamængde Global datamængde vokser med ca. 40% pr. år En 3.000 kr. harddisk kan rumme al musik i verden Ustruktureret data 80% af alle data er ustruktureret Dynamisk kommunikation 30 mia. opdateringer på Facebook hver måned Applikationer og kommunikation Social medier Mobile devices ~ ca. 5. mia. i verden Brugere, kunder, partnere Komplekse rettigheder Voksende og dynamisk datamængde
Den grænseløse organisation Anytime Anyone Anywhere Any device
Tendenser - Finansielle IT systemer Øget fokus på kundeoplevelsen Visuelle og teknologidrevne præsentationsteknologier Fokus på det som har betydning for kunden Mobile devices Fulde mobile selvbetjeningsløsninger fx onlineinvestering Mobile betalingsløsninger Forrester: Next Generation of Digital Finance Banks Need To Be SUPER' Sociale medier Kommunikation med kunder Markedsføring Sikkerhedsteknologier Bedre metoder fx baseret på biometri http://www.slideshare.net/backbase/banks-have-to-become-super
Udfordringer Finansielle IT systemer Dagens udfordringer Høje omkostninger Lille råderum for innovation For høje projektomkostninger Manglende funktionalitet Lav fleksibilitet og langsommelige ændringer Lille anvendelse af standard produkter Redundante og overlappende funktioner på forskellige platforme For mange teknologiske løsninger Uhensigtsmæssige bindinger mellem teknologi og forretning Manglende skalerbarhed Fremtidige krav Komponent baserede løsninger Funktioner delt på tværs af produkt linjer Fleksibel workflow understøttelse Anvendelse af standard software Funktioner implementeret konsistent på tværs af systemer og ikke bundet op på bestemte teknologier Lagdelt arkitektur Løsninger baseres på standarder som overholdes Baseres på modne og velafprøvede teknologier Billigt og standardiseret hardware http://www.imacor.eu/future proof_it_landscapes_of_banks.html
Tendenser Finansielle IT systemer Effektivisering af kundeservice Banking IT Trend Radar 2012-2015 Tilbyde nye produkter Beskytte fortrolige data Sikre at private og virksomhedskunder kan tilgå deres data med højest mulige rimelige sikkerhedsniveau Trusselsbilledet ændres konstant Basel III Mobile Web Social Media ipad 2 2012 2013 2014 2015 Integration Øgede krav om og regler for sikkerhed fra myndigheder og samarbejdsparter IT Security Data quality MiFID 2 SaaS CBS Transformation Kilde: www.imacor.de
Resultat Flere avancerede online løsninger Flere partnere og kunder Cloud eksterne applikationer Standard løsninger Mere brug af sociale medier Eksterne compliance krav
Vores forretning er afhængige af sikre og tilgængelige IT systemer
Udfordringer sårbarheder og angreb Mindre, hyppigere, målrettede og mere intelligente angreb Specialisering og arbejdsdeling blandt kriminelle Målrettet opsporing og misbrug af sårbarheder Geografisk og sprogmæssig målretning Unikt malware til hver eneste infektion Blandede angreb Flere samtidige angrebs vektorer Flere anvendelser af fx Botnetværk Sårbarheder og avancerede dag-0 angreb Social engineering, der udnytter vores sænkede parader Angreb som udnytter troværdige brands Angreb målrettet sociale netværk Udfordringer Indbrud bliver vanskeligere at detekterer Sløringsteknikker til at undgå opdagelse Angreb rettet gennem perimeteren Udbredelsen af netværk overalt gør opdagelse mere besværlig Angreb vil være rettet mod slutbrugeren Slutbrugeren vil blive narret gennem social engineering Sårbarheder i software gør det blot nemmere at narre slutbrugerne Formålet er tyveri af følsom information Simpel økonomisk berigelseskriminalitet Eksempler på tyveri af intellektuelle værdier
Angreb - målrettede angreb Sandsynlighed Orme og botnet Datatab APT Mål Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Metode Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber terrorisme og hacktivisem RSA Via spear phishing kompromiteres information om SecurID tokens Omkostninger: USD 50-100 mio. Epsilon Oplysninger om 100.000 stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Sony Playstation Network Anonymous angreb - 100 mio. brugere kompromitteret Omkostninger: USD 13.4 mia.
Sårbarheder og angribere Hvordan er vi sårbare? Hvem er angribere? Tekniske Sårbarheder og svagheder i software Fysiske Brand, lynnedslag, oversvømmelse m.m. Operationelle Fejlkonfiguration, fejlbetjening m.m. Menneskelige Social engineering, ubetænksomhed m.m. National interesse Økonomisk kriminalitet Hactivisem Personlig prestige Nysgerighed Vandal Størst i tab Uvelkommen gæst Flest resourcer brugt på beskyttelse Cyberwar IT-kriminelle Anonymous Størst i antal Synlige Inspiration: Microsoft Script- Kiddy Studerende Ekspert Specialist
Ændret mål med it-sikkerhed Tidligere... Intern fokus Kun egne ansatte skulle have adgang Centraliserede værdier Data opbevares centralt i godt beskyttede it-fæstninger Forhindre tab Målet med sikkerhed er at forhindre brud på fortroligheden It bestemmer Den sikkerhedsansvarlige bestemmer, hvem der skal have adgang Teknisk fokus Tekniske krav bestemmer it-sikkerhedsinvesteringerne... fremover Ekstern fokus Leverandører, partnere og kunder har alle forskellige behov for adgang Distribuerede værdier Data er spredt på distribuerede servere, lokationer og afdelinger Skabe værdier Understøtte e-business, fremme produktivitetet og fleksibiliteten mv. Forretningen bestemmer Forretningsenhederne ønsker at bestemme, hvem der skal have adgang Cost-benefit fokus It-sikkerhedsinvesteringer skal begrundes forretningsmæssigt Efter inspiration fra Forrester Research, Inc
Risikostyring Sikkerhed er altid et spørgsmål om prioritering Kan investering i sikkerhed betale sig? Beslutninger baseres på en vurdering af risici Mål: at optimere risikoen ikke minimere den Velbegrundet beslutning om foranstaltninger Velbegrundet fravalg af foranstaltninger Risikominimering Pansret glas i vinduerne Panserplader i loft og vægge Pigtrådshegn Aktiv brandslukning Vagter Kameraovervågning Panikrum Risikooptimering Lås på døre og vinduer Brand- og røgalarm Tyverialarm Brandslukker The New Realities of Risk Management Transparency and defensibility of risky decisions are more critical than ever. Risk must be measured and addressed as part of the business process. All managers and leaders need basic skills in risk management. Risk management is an investment decision tool. Eliminating all risk is not possible or desirable. Risk treatment options include mitigation, contingency planning, transfer and acceptance. Risk and the accountability for risk are, and should be, owned by the business units creating and managing those risks. Risk management is an ongoing effort. Risk assessments are valid for a point in time, because risk factors evolve over time. Risk management must be baked into the thinking of decision makers and into the governance of the enterprise. Risk decisions are more complex and impactful than in the past. With instant communication and processes, organizations must act quickly and knowledgeably to threats and opportunities. Continuous monitoring and reporting of risk are becoming critical business processes. The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry
Risiko baseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger
Kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Store og stigende omkostninger ved datatab Krav om at tilføre forretningen værdi Dokumenteret sammenhæng mellem forretningsmæssig risiko og it-sikkerhed Budgetmæssige overvejelser Køb af services frem for produkter og investeringer Tilføre forretningsmæssige fordele optimering af forretningsprocesser, der kan retfærdiggøre forøgede budgetter Kilde: InformationWeek - 2011 Strategic Security Survey: CEOs take Notice
Udfordringer - organisering Dagens fundamentale problemer - Sikkerhed Mangler en klar strategi Ikke planlagt godt nok Fragmenterede sikkerhedsløsninger Mangler overblik over, hvad der egentligt skal beskyttes Delt mellem afdelinger intet centralt ansvar Reaktivt drevet af konkrete hændelser Konsekvenser Sikkerhed Huller i sikkerheden Besværlig administration og drift Høje omkostninger Manglende fokus Dårlig Return On Investment Driftsforstyrrelser Tabt troværdighed og kunder Løsninger, som ikke følger med truslerne Dobbeltarbejde Eric Ouellet, Gartner: What we have found is that organizations that spend more than seven percent of the IT budget on security are actually less secure because they use reactionary approaches. They end up with point solutions where there s no overarching theme and no integration. Kilde: http://www.securecomputing.net.au/news/123479,gartner dispels security myths.aspx
Ledelsesmæssig fokus på it-sikkerhed Sammenhold og sammenkæd sikkerhedsinitiativer med virksomhedens øvrige mål, projekter og værdier Fokus på initiativer, der har ledelsesbevågenhed Fokus på forretningsværdi og muligheder for forretningen Formaliseret program til risikostyring og implementering af sikkerhed Mapning af risiko med klare performance målepunkter Sammenkæd risikoinitiativer med virksomhedens mål Undlad at bruge operationelle målepunkter i ledelseskommunikation Ledelseskommunikation med fokus på, hvad der virker og hvad der ikke virker It-sikkerhed forretningsdrivere Fremhæve virksomhedens værdier Mulighed for audit af processer Leve op til eksterne krav om compliance Opfylde branchestandarder Fremme ønsket intern opførsel Beskytte mod tab af følsomme data Beskytte mod fejl o.a.
Opfattelsen af it-sikkerhed It-sikkerhedsbudgettet ofte procentdel af samlede it-budget Reaktiv sikkerhed Implicerer at sikkerhed er afgift Besværligt at beregne ROI hvad koster en afværget hændelse? It-sikkerhed som risikostyring Relateres til den forretningsmæssige risiko Optimering af omkostninger i forhold til potentielle forretningsmæssige tab It-sikkerhed som enabler fx understøtter forretningscase gennem nye indtægter It-sikkerhedsbudgettet bliver forretningsmæssigt begrundet Sikkerhed som en forretningsomkostning Guards, Guns and Gates Reaktiv sikkerhed Vigtigste drivere: Lovgivning Forsikring Sikkerhed og ansvar Sikkerhed som resultat af en strategi Mere proaktivt Formaliserede processer Forretningscasen baseres på besparelser og forhindre tab Sikkerhed som en forretningsenabler Sikkerhed indgår strategisk i forretningen Risk management som ledelsesværktøj Forøge produktivitet Investering i løsninger med fordel for både forretningen og sikkerhed
Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretnings understøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Directive Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedre forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger
Design, beskyttelse og overvågning Sikkert design proaktiv sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i selve netværket Tillad kun betroede enheder og klienter Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Reagerer i forhold til misbrug af netværket Overvågning Overblik over ændringer på Configuration Items niveau Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler
Sikkerhedsbrud - mennesker Uvidenhed Interne brugere kender ikke/forstår ikke sikkerhedspolitikken Manglende forståelse af konsekvenserne af egne handlinger Manglende forståelse af elementær sikker it-håndtering Ligegyldighed Interne brugere kender sikkerhedspolitikken, men er ligeglade med den Manglende omtanke der sker jo nok ikke noget Ignorering af sikkerhedspolitikken Forsøg på at gøre ens hverdag lettere Kopiering af data Etablering af egne lokale trådløse netværk Ondskabsfuldhed Utilfredse ansatte med fuldt overlæg Personlig økonomisk vinding Personlig tilfredsstillelse IT SIKKERHED MENNESKER FYSISK SIKKERHED
Udfordringer baggrund for Dubex platformen Kompleksitet Mange produkter og mange konfigurationer Management Håndtering af mange ændringer Adapterbility Behov for hurtig tilpasning og ændringer Forretningsmæssig risikostyring Tilpasning af sikkerhedsniveau til behov Trusler Konstant ændret trusselsbillede Teknologi Cloud, virtualisering, mobility
Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
Dubex Security & Risk Management Summit Mere information og tilmelding: http://www.dubex.dk/summit2012/ http://www.dubex.dk/summit2012/ Fire spor It-sikkerhedsløsninger i praksis Ledelsesorienteret informationssikkerhed Enterprise Risk Management & Compliance Informationssikkerhed og risk management i den offentlige sektor
Keynotes: http://www.dubex.dk/summit2012/
TAK Jacob Herbst jhe@dubex.dk