Managing risk & compliance, enabling growth. Finans IT-dagen 2012-13. september 2012 Jacob Herbst, jhe@dubex.dk

Relaterede dokumenter
Kom godt i gang med websikkerhed. Jacob Herbst Søborg, 14. maj 2013

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Managing risk, enabling growth. Jacob Herbst, CTO, Dubex 24. maj 2012

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Velkomst og praktiske informationer. Jacob Herbst Søborg, 4. juni 2013

Security & Risk Management Summit

Workshop: Protecting data in a mobile environment. Jacob Herbst, CTO, Dubex A/S

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Databeskyttelse - DLP Lækage af følsomme data udfordringer og krav. Jacob Herbst jhe@dubex.dk

Velkomst og praktiske informationer

Sådan får du styr på de digitale risici

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Mobility-strategi Hvordan kommer du i gang?

Virksomhedernes cybertilstand

Velkomst og praktiske informationer. Jacob Herbst Søborg, 23. maj 2013

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Kundecase Region Syddanmark. Ivan Bergendorff Søborg, 7. november 2013

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Mobility som business enabler - muligheder og trusler. Jacob Herbst, CTO, Dubex A/S 13. marts 2013

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Erfaringer fra MDM projekt hos Region Syd. Ivan Bergendorff 13. marts 2013

Morten Juul Nielsen Produktchef Microsoft Danmark

Prioriter IT-budgettet Microsofts model til sikring af at investeringerne understøtter forretningsstrategien optimalt

Markedsføring IV e-business

Kommunale IT løsninger

Hvad er Secure endpoints?

MOC On-Demand Administering System Center Configuration Manager [ ]

Identity Access Management

Hvad er cloud computing?

Financing and procurement models for light rails in a new financial landscape

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

make connections share ideas be inspired

Dagens tema. Kompetencemæssigt begiver vi os ud i de teknologiske forventninger fra Cloud computing til Robotteknologi og programmering

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

En tur rundt om skyen:

Fra ERP strategi til succesfuld ERP implementering. Torben Storgaard HerbertNathan & Co

Introduktion til NNIT

Strategisk informationssikkerhed

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

Fart på SAP HANA. Sådan laver du analyser direkte på dine data i realtid. Copyright 2012 FUJITSU. Fujitsu IT Future, København, den 16.

Mobil Awareness 2011 CSIS Security Group

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

Sådan er fremtidens virtuelle arbejdsplads idag! Copyright 2011 Microsoft Corporation

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

CONNECTING PEOPLE AUTOMATION & IT

Hvor kan det bedst betale sig at optimere it-infrastrukturen?

Executive Circle - Integration. Forretningsspor

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

SKI årsmøde 2017 Outsourcing i praksis Cloud cases. Gorm Priem, 2. marts 2017

Velkommen VI BYGGER DANMARK MED IT

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Copyright SaaS-it Consult Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

Får styr på virksomhedens it-sikkerhedsmæssige risici. 6. juni 2012 Jacob Herbst

CGI Microsoft-dagen 2015

Udfordringer for cyber security globalt

Har det en værdi og hvordan kommer du i gang?

4 sekunder. 20 sekunder. 1-3 timer. 14% hurtigere. 5-6% bagud. 30/70 split. Vejen til succes med Hybrid Cloud v/cso, Poul Bærentsen, Atea

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Humanistisk Disruption. Morten Albæk Menneske og grundlægger af Voluntas Investments & Advisory November, 2016

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

It-direktør Nils Lau Frederiksen

Velkommen. Program: Oplæg om emnet baseret på Best Practice (ITIL) Refleksion

Lovkrav vs. udvikling af sundhedsapps

Informationssikkerhed om fem år. Nye udfordringer giver nye kommercielle fordele. Luke Herbert

Everything-as-a-Service. Afdelingsdirektør, Poul Bærentsen

Lars Neupart Director GRC Stifter, Neupart

Den digitale virkelighed

EU GDPR Endnu en Guide

Det Digitale Mindset? Industri 4.0: Møde 1 Parathed, Potentialer og Udbytte

SAXOTECH Cloud Publishing

Sikkerhed på nettet for applikationer og identiteter

Erhvervsleder i Praktik og IBM

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

STRATEGI FOR CONSUMERISATION AF VIRKSOMHEDENS IT SKAL AFGØRES UD FRA FORRETNINGSVÆRDI OG ORGANISATIONENS PARATHED

Projektledelse i praksis

Tænk ud af boksen med Microsoft Dynamics NAV og kig på Microsoft Dynamics NAV 2016

Fra iværksætter til global markedsspiller. Kort virksomhedspræsentation

Trusselsvurdering Cyberangreb mod leverandører

Handlinger til adressering af risici og muligheder Risikovurdering, risikoanalyse, risikobaseret tilgang

STYRKEN I DET ENKLE. Business Suite

Sæt it-sikkerheden på autopilot

SPØRGSMÅL: KONTAKT: Esben Hørning Spangsege Tlf: 2989

Kom godt i gang med Digital Transformation via din Microsoft ERP-platform

Skyen der er skræddersyet til din forretning.

Forretningsmodeller for mobile applikationer

BERLINGSKE BUSINESS GRØNNE FORRETNINGSMODELLER

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Dagens program. Incitamenter 4/19/2018 INCITAMENTSPROBLEMER I FORBINDELSE MED DRIFTSFORBEDRINGER. Incitamentsproblem 1 Understøttes procesforbedringer

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

#RenewYourBusiness. Cybersecurity. Er du sikker på, du er sikker?

Transkript:

Managing risk & compliance, enabling growth Finans IT-dagen 2012-13. september 2012 Jacob Herbst, jhe@dubex.dk

Dubex A/S - Profile Specialister i og laver kun IT-sikkerhed siden 1997 50 medarbejdere i København og Århus - over 2/3 arbejder med teknisk IT-sikkerhed Privatejet af de tre stiftere, samt medarbejderaktier Vækst og overskud alle år siden etableringen Omsætning 2010 ca. 86 mio. DKK Selvfinansierende - Dun & Bradstreet AAA Det største dedikerede IT-sikkerhedsfirma i DK Løsninger og ydelser bl.a. inden for netværks- og indholdssikkerhed, fjernadgang, mobility og autentificering, samt loghåndtering og compliance Eneste ISO 27001 certificerede danske IT-sikkerhedsleverandør Dubex, Aarhus Dubex, København

Agenda IT udfordringer 2012 Finansielle IT systemer Trusler Risikostyring Forretningsmæssig værdi Konklusion

It er forretningen It er grundlaget for alt Recessionen sætter fokus på effektivisering Mission for it-afdelingen: Øge virksomhedens indtjening og vækst The Six Styles of the Money- Making CIO 1) Entrepreneurial CIO 2) Cost Optimization CIO 3) Revenue-Creating CIO 4) Business Innovation CIO 5) Business Development CIO 6) Public-Serving CIO Kilde: The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry Kilde: Gartner Executive Programs - Reimagining IT: The 2011 CIO Agenda

It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source

Drivere it-sikkerhed som enabler Cloud Mobility Big Data Sociale Medier Private Cloud, public Cloud, hybrid cloud SmartPhones og tablets Consumirization Vækst i datamængder Analyse værktøjer Facebook og Twitter Private Cloud Computing is among the highest interest areas across all cloud computing, with 75% of respondents saying they plan to pursue a strategy in this area by 2014. By 2013, 80 percent of businesses will support a workforce using tablets. Big data in 2-5 years will have a transformative impact on the organization and to give appropriate feedback; by 2015 it will allow companies who have mastered the technology to beat competitors by 20 percent for all existing financial metrics. 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Sikkerhed som enabler

Cloud computing Compliance - Cloud Computing Hvordan er data reelt beskyttet? Tilgængelighed redundans og backup? Lovgivning hvor er ens data? Manglende adskillelse mellem administrative opgaver Interne og eksterne Cloud-løsninger kræver fleksible og skalerbare sikkerhedsløsninger Har min Cloud leverandører fokus på sikkerhed? Hvad er risikoen ved at jeg deler applikation, platform og infrastruktur med andre? Må jeg opbevare min virksomhedens data på fremmed udstyr? Hvordan er mine data beskyttet overholdes mine krav til fortrolighed? Hvordan laver jeg auditering og penetrationstest af min Cloud baserede infrastruktur? Hvor i verden er mine data? By 2015, 80% of enterprises using external cloud services will demand independent certification that providers can restore operations and data. Gartner s Top Predictions - 2011 and Beyond

Mobility State of the Internet Mobile Will Be Bigger Than Desktop Internet in 5 Years Morgan Stanley, april 2010 Computing Growth Drivers Over Time, 1960-2020E 1.000.000 Enheder/brugere (Mio. logaritmisk) 100.000 10.000 1000 100 10 1 Mainframe computing 1 mio.+ Mini Computer 10 mio.+ Personal Computing 100 mio.+ Desktop Internet 1 mia.+ Mobil Internet 10 mia.+ 1960 1970 1980 1990 2000 2010 2020 Internet of things 100 mia.+ Hver ny cyklus: Mere processorkraft Bedre brugerinterface Mindre fysisk størrelse Lavere priser Flere services Seneste cyklusser har typisk varet 10 år Kilde: http://www.morganstanley.com/institutional/techresearch/

Social media & consumerization Forbruger-orientering af vores it-systemer Brugergenereret indhold - Brugerne bidrager med det meste af indholdet Consumer hardware used for work Consumer services used for work Bring your own device - (sammen-)blanding af private og firma enheder/anvendelse Medarbejdere anvender forbrugerløsninger til at udføre sit arbejde fx Facebook og Skype Rich Internet Applications Avancerede webapplikationer Interaktive, simple. personificerede Applikationerne bliver bedre og med flere brugere 50% of respondents said they "customize their work environment moderately or aggressively" (including the use of unsanctioned tools) and will continue to do so. Source: Gartner Research poll

Big data moderne virksomheder bygger på data Voksende datamængde Global datamængde vokser med ca. 40% pr. år En 3.000 kr. harddisk kan rumme al musik i verden Ustruktureret data 80% af alle data er ustruktureret Dynamisk kommunikation 30 mia. opdateringer på Facebook hver måned Applikationer og kommunikation Social medier Mobile devices ~ ca. 5. mia. i verden Brugere, kunder, partnere Komplekse rettigheder Voksende og dynamisk datamængde

Den grænseløse organisation Anytime Anyone Anywhere Any device

Tendenser - Finansielle IT systemer Øget fokus på kundeoplevelsen Visuelle og teknologidrevne præsentationsteknologier Fokus på det som har betydning for kunden Mobile devices Fulde mobile selvbetjeningsløsninger fx onlineinvestering Mobile betalingsløsninger Forrester: Next Generation of Digital Finance Banks Need To Be SUPER' Sociale medier Kommunikation med kunder Markedsføring Sikkerhedsteknologier Bedre metoder fx baseret på biometri http://www.slideshare.net/backbase/banks-have-to-become-super

Udfordringer Finansielle IT systemer Dagens udfordringer Høje omkostninger Lille råderum for innovation For høje projektomkostninger Manglende funktionalitet Lav fleksibilitet og langsommelige ændringer Lille anvendelse af standard produkter Redundante og overlappende funktioner på forskellige platforme For mange teknologiske løsninger Uhensigtsmæssige bindinger mellem teknologi og forretning Manglende skalerbarhed Fremtidige krav Komponent baserede løsninger Funktioner delt på tværs af produkt linjer Fleksibel workflow understøttelse Anvendelse af standard software Funktioner implementeret konsistent på tværs af systemer og ikke bundet op på bestemte teknologier Lagdelt arkitektur Løsninger baseres på standarder som overholdes Baseres på modne og velafprøvede teknologier Billigt og standardiseret hardware http://www.imacor.eu/future proof_it_landscapes_of_banks.html

Tendenser Finansielle IT systemer Effektivisering af kundeservice Banking IT Trend Radar 2012-2015 Tilbyde nye produkter Beskytte fortrolige data Sikre at private og virksomhedskunder kan tilgå deres data med højest mulige rimelige sikkerhedsniveau Trusselsbilledet ændres konstant Basel III Mobile Web Social Media ipad 2 2012 2013 2014 2015 Integration Øgede krav om og regler for sikkerhed fra myndigheder og samarbejdsparter IT Security Data quality MiFID 2 SaaS CBS Transformation Kilde: www.imacor.de

Resultat Flere avancerede online løsninger Flere partnere og kunder Cloud eksterne applikationer Standard løsninger Mere brug af sociale medier Eksterne compliance krav

Vores forretning er afhængige af sikre og tilgængelige IT systemer

Udfordringer sårbarheder og angreb Mindre, hyppigere, målrettede og mere intelligente angreb Specialisering og arbejdsdeling blandt kriminelle Målrettet opsporing og misbrug af sårbarheder Geografisk og sprogmæssig målretning Unikt malware til hver eneste infektion Blandede angreb Flere samtidige angrebs vektorer Flere anvendelser af fx Botnetværk Sårbarheder og avancerede dag-0 angreb Social engineering, der udnytter vores sænkede parader Angreb som udnytter troværdige brands Angreb målrettet sociale netværk Udfordringer Indbrud bliver vanskeligere at detekterer Sløringsteknikker til at undgå opdagelse Angreb rettet gennem perimeteren Udbredelsen af netværk overalt gør opdagelse mere besværlig Angreb vil være rettet mod slutbrugeren Slutbrugeren vil blive narret gennem social engineering Sårbarheder i software gør det blot nemmere at narre slutbrugerne Formålet er tyveri af følsom information Simpel økonomisk berigelseskriminalitet Eksempler på tyveri af intellektuelle værdier

Angreb - målrettede angreb Sandsynlighed Orme og botnet Datatab APT Mål Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Metode Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber terrorisme og hacktivisem RSA Via spear phishing kompromiteres information om SecurID tokens Omkostninger: USD 50-100 mio. Epsilon Oplysninger om 100.000 stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Sony Playstation Network Anonymous angreb - 100 mio. brugere kompromitteret Omkostninger: USD 13.4 mia.

Sårbarheder og angribere Hvordan er vi sårbare? Hvem er angribere? Tekniske Sårbarheder og svagheder i software Fysiske Brand, lynnedslag, oversvømmelse m.m. Operationelle Fejlkonfiguration, fejlbetjening m.m. Menneskelige Social engineering, ubetænksomhed m.m. National interesse Økonomisk kriminalitet Hactivisem Personlig prestige Nysgerighed Vandal Størst i tab Uvelkommen gæst Flest resourcer brugt på beskyttelse Cyberwar IT-kriminelle Anonymous Størst i antal Synlige Inspiration: Microsoft Script- Kiddy Studerende Ekspert Specialist

Ændret mål med it-sikkerhed Tidligere... Intern fokus Kun egne ansatte skulle have adgang Centraliserede værdier Data opbevares centralt i godt beskyttede it-fæstninger Forhindre tab Målet med sikkerhed er at forhindre brud på fortroligheden It bestemmer Den sikkerhedsansvarlige bestemmer, hvem der skal have adgang Teknisk fokus Tekniske krav bestemmer it-sikkerhedsinvesteringerne... fremover Ekstern fokus Leverandører, partnere og kunder har alle forskellige behov for adgang Distribuerede værdier Data er spredt på distribuerede servere, lokationer og afdelinger Skabe værdier Understøtte e-business, fremme produktivitetet og fleksibiliteten mv. Forretningen bestemmer Forretningsenhederne ønsker at bestemme, hvem der skal have adgang Cost-benefit fokus It-sikkerhedsinvesteringer skal begrundes forretningsmæssigt Efter inspiration fra Forrester Research, Inc

Risikostyring Sikkerhed er altid et spørgsmål om prioritering Kan investering i sikkerhed betale sig? Beslutninger baseres på en vurdering af risici Mål: at optimere risikoen ikke minimere den Velbegrundet beslutning om foranstaltninger Velbegrundet fravalg af foranstaltninger Risikominimering Pansret glas i vinduerne Panserplader i loft og vægge Pigtrådshegn Aktiv brandslukning Vagter Kameraovervågning Panikrum Risikooptimering Lås på døre og vinduer Brand- og røgalarm Tyverialarm Brandslukker The New Realities of Risk Management Transparency and defensibility of risky decisions are more critical than ever. Risk must be measured and addressed as part of the business process. All managers and leaders need basic skills in risk management. Risk management is an investment decision tool. Eliminating all risk is not possible or desirable. Risk treatment options include mitigation, contingency planning, transfer and acceptance. Risk and the accountability for risk are, and should be, owned by the business units creating and managing those risks. Risk management is an ongoing effort. Risk assessments are valid for a point in time, because risk factors evolve over time. Risk management must be baked into the thinking of decision makers and into the governance of the enterprise. Risk decisions are more complex and impactful than in the past. With instant communication and processes, organizations must act quickly and knowledgeably to threats and opportunities. Continuous monitoring and reporting of risk are becoming critical business processes. The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry

Risiko baseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger

Kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Store og stigende omkostninger ved datatab Krav om at tilføre forretningen værdi Dokumenteret sammenhæng mellem forretningsmæssig risiko og it-sikkerhed Budgetmæssige overvejelser Køb af services frem for produkter og investeringer Tilføre forretningsmæssige fordele optimering af forretningsprocesser, der kan retfærdiggøre forøgede budgetter Kilde: InformationWeek - 2011 Strategic Security Survey: CEOs take Notice

Udfordringer - organisering Dagens fundamentale problemer - Sikkerhed Mangler en klar strategi Ikke planlagt godt nok Fragmenterede sikkerhedsløsninger Mangler overblik over, hvad der egentligt skal beskyttes Delt mellem afdelinger intet centralt ansvar Reaktivt drevet af konkrete hændelser Konsekvenser Sikkerhed Huller i sikkerheden Besværlig administration og drift Høje omkostninger Manglende fokus Dårlig Return On Investment Driftsforstyrrelser Tabt troværdighed og kunder Løsninger, som ikke følger med truslerne Dobbeltarbejde Eric Ouellet, Gartner: What we have found is that organizations that spend more than seven percent of the IT budget on security are actually less secure because they use reactionary approaches. They end up with point solutions where there s no overarching theme and no integration. Kilde: http://www.securecomputing.net.au/news/123479,gartner dispels security myths.aspx

Ledelsesmæssig fokus på it-sikkerhed Sammenhold og sammenkæd sikkerhedsinitiativer med virksomhedens øvrige mål, projekter og værdier Fokus på initiativer, der har ledelsesbevågenhed Fokus på forretningsværdi og muligheder for forretningen Formaliseret program til risikostyring og implementering af sikkerhed Mapning af risiko med klare performance målepunkter Sammenkæd risikoinitiativer med virksomhedens mål Undlad at bruge operationelle målepunkter i ledelseskommunikation Ledelseskommunikation med fokus på, hvad der virker og hvad der ikke virker It-sikkerhed forretningsdrivere Fremhæve virksomhedens værdier Mulighed for audit af processer Leve op til eksterne krav om compliance Opfylde branchestandarder Fremme ønsket intern opførsel Beskytte mod tab af følsomme data Beskytte mod fejl o.a.

Opfattelsen af it-sikkerhed It-sikkerhedsbudgettet ofte procentdel af samlede it-budget Reaktiv sikkerhed Implicerer at sikkerhed er afgift Besværligt at beregne ROI hvad koster en afværget hændelse? It-sikkerhed som risikostyring Relateres til den forretningsmæssige risiko Optimering af omkostninger i forhold til potentielle forretningsmæssige tab It-sikkerhed som enabler fx understøtter forretningscase gennem nye indtægter It-sikkerhedsbudgettet bliver forretningsmæssigt begrundet Sikkerhed som en forretningsomkostning Guards, Guns and Gates Reaktiv sikkerhed Vigtigste drivere: Lovgivning Forsikring Sikkerhed og ansvar Sikkerhed som resultat af en strategi Mere proaktivt Formaliserede processer Forretningscasen baseres på besparelser og forhindre tab Sikkerhed som en forretningsenabler Sikkerhed indgår strategisk i forretningen Risk management som ledelsesværktøj Forøge produktivitet Investering i løsninger med fordel for både forretningen og sikkerhed

Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretnings understøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Directive Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedre forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger

Design, beskyttelse og overvågning Sikkert design proaktiv sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i selve netværket Tillad kun betroede enheder og klienter Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Reagerer i forhold til misbrug af netværket Overvågning Overblik over ændringer på Configuration Items niveau Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler

Sikkerhedsbrud - mennesker Uvidenhed Interne brugere kender ikke/forstår ikke sikkerhedspolitikken Manglende forståelse af konsekvenserne af egne handlinger Manglende forståelse af elementær sikker it-håndtering Ligegyldighed Interne brugere kender sikkerhedspolitikken, men er ligeglade med den Manglende omtanke der sker jo nok ikke noget Ignorering af sikkerhedspolitikken Forsøg på at gøre ens hverdag lettere Kopiering af data Etablering af egne lokale trådløse netværk Ondskabsfuldhed Utilfredse ansatte med fuldt overlæg Personlig økonomisk vinding Personlig tilfredsstillelse IT SIKKERHED MENNESKER FYSISK SIKKERHED

Udfordringer baggrund for Dubex platformen Kompleksitet Mange produkter og mange konfigurationer Management Håndtering af mange ændringer Adapterbility Behov for hurtig tilpasning og ændringer Forretningsmæssig risikostyring Tilpasning af sikkerhedsniveau til behov Trusler Konstant ændret trusselsbillede Teknologi Cloud, virtualisering, mobility

Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

Dubex Security & Risk Management Summit Mere information og tilmelding: http://www.dubex.dk/summit2012/ http://www.dubex.dk/summit2012/ Fire spor It-sikkerhedsløsninger i praksis Ledelsesorienteret informationssikkerhed Enterprise Risk Management & Compliance Informationssikkerhed og risk management i den offentlige sektor

Keynotes: http://www.dubex.dk/summit2012/

TAK Jacob Herbst jhe@dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback