Sådan får du styr på de digitale risici

Relaterede dokumenter
Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Forordningens sikkerhedskrav

Security & Risk Management Update 2017

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Fundamental sikkerhed: Dubex Managed Security Services. Dubex A/S, den 9. april 2015

Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

Security & Risk Management Summit

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Sikkerhed en løbende proces

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Security & Risk Management Update 2017

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Security & Risk Management Summit 2016

Security & Risk Management Summit

Hvorfor bruge Managed Security Services & Security Analytics Center?

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Køreplan ift. EU-persondataforordningen - processer og kontroller

KMD s tilgang til cybertrussler. Public

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Mobility-strategi Hvordan kommer du i gang?

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Hvilke initativer kræver implementering af EUpersondataforordningen. værktøjer. Klaus Kongsted, Dubex. Horsens, 13. maj 2016

O Guide til it-sikkerhed

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Modernisering af virksomhedens fundamentale sikkerhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

guide til it-sikkerhed

Angreb og forsvar i en digital verden

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Databeskyttelse: Data er valuta i høj kurs! Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Threat Intelligence: Processen - Identify, Protect, Detect & Response. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 12. maj 2015

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Industriel IT-sikkerhed OT-sikkerhedens fire faser: Predict, Prevent, Detect and Respond

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

RÅDET FOR DIGITAL SIKKERHED

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

It-sikkerhed i danske virksomheder

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Informationssikkerhed på ledelsens agenda

RISIKOVURDERING I PRAKSIS

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Er der hackere på linien?

Transkript:

Sådan får du styr på de digitale risici Jacob Herbst, CTO, Dubex A/S Bygholm Park, Horsens, den 12. maj 2016

Udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere, ressourcer og kompetencer

Prioritering af sikkerhed INFORMATION er blevet virksomheders vigtigste asset It er grundlaget for alle forretningsprocesser Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko, som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden

Understøttelse af sikkerhedsprocessen Pointen er, at alle er blevet hacket Sikkerhed drejer sig i dag om vores proces og tilgang til at: Risikostyre vores aktiver (Predict & Identify) Implementere passende, afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & identify Risk management Visibility Vulnerability management Analytics Prevent & protect Fundamental security Advanced security Detect Security monitoring Threat intelligence Incident handling Containment Respond & recover Disaster recovery Forensic Security capabilities Advanced targeted attacks make prevention-centric strategies obsolete. Securing enterprises in 2020 will require a shift to information and people-centric security strategies, combined with pervasive internal monitoring and sharing of security intelligence. 2020, 60% of enterprise information security budgets will be allocated for rapid detection and response approaches up from less than 10% in 2013. - Neil MacDonald

Hvordan ændrer vi vores tankegang omkring sikkerhed? Fra prevent og protect til detect og response Fra compliance (tjekbokse) til risikobaseret sikkerhed Fra teknologi til forretningsudbytte Predict & identify Prevent & protect Detect Respond & recover Information Risiko Foranstaltninger Managing risk Enabling growth Fra forsvar til facilitering Mennesker Proces Fra snævert it-fokus til fokus på alle digitale aktiver Politik Teknologi Forretning Informationssikkerhed It-sikkerhed ICS Cybersikkerhed Digital sikkerhed Fysisk IoT Fra informationskontrol til informationsudveksling Fra fokus på teknologi til fokus på mennesker Fra absolut risiko til god og dårlig risiko Risikovurdering Beregnet risiko værdi Fortrolighed Intregitet Tilgængelighed Rang i dag Navn Sikring af hjemmearbejdspladser BYOD Sikker brug af Webmail Mobile enheder Firewall og VPN miljø 20 15 20 20 15 15 8 10 11,3 9 12 18 10 8 15 12 3 4 5 6 7 20 2 7,5 1 Antivirus Webservices for kunder Segmentering af 15 8 12,5 8 5 15 8 9 netværket 4 webtrafik Administration af brugeridentiteter SIEM og loghåndering Trådløse netværk 4 4 4 4 4 Sikkerhed ifm. 15,8 6 8 10 12

Understøttelse af sikkerhedsprocessen Predict & identify Prevent & protect Detect Respond & recover Security capabilities Risk management Vulnerability management Fundamental security Security monitoring Incident handling Disaster recovery Visibility Analytics Advanced security Threat intelligence Containment Forensic Dubex Security Professionals & Consulting Security Operations & Analytics Centers Dubex Managed Services Dubex Support options Technology providers

Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Proces Politik Forretning Teknologi

Anbefalinger

Hvad kan vi gøre? - Praktiske anbefalinger (1) Sikkerhed i dybden: Anvend forskellige og overlappende sikkerhedsforanstaltninger, så der beskyttes med single-point-of-failure i enkelte foranstaltninger eller teknologier Basale kontroller: Hold fokus på basale kontroller husk den løbende opfølgning Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde. Overvågning af logfiler og change management kan give tidligere advarsel Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men I oplever også mange angreb med unik malware og udnyttelse af dag-0-sårbarheder, som kræver andre værktøjer Endpointbeskyttelse: Endpoints skal beskyttes af mere end antivirus - husk opdateringer, begrænsede rettigheder, websikkerhed, device kontrol Patch straks: Angribere får ofte adgang ved hjælp af simple angrebsmetoder, som man kan beskytte sig mod med et opdateret og godt konfigureret it-miljø samt opdateret anti-virus Krypter følsomme data: Hvis data bliver tabt eller stjålet, er det meget sværere for en kriminel at misbruge Beskyt krypteringsnøgler: Hvis krypteringsnøglerne kompromitteres, kompromitteres sikkerheden også To-faktor-autentifikation: Dette vil ikke eliminere risikoen for, at passwords bliver stjålet, men det kan begrænse de skader, der kan ske ved misbrug af stjålne legitimationsoplysninger

Hvad kan vi gøre? - Praktiske anbefalinger (2) Mennesker: Awareness er stadig vigtigt. Undervis dine ansatte i vigtigheden af sikkerhed, hvordan man opdager et angreb, og hvad de skal gøre, når de ser noget mistænkeligt Hold adgangen til data på et need-to-know niveau: Begræns adgangen til systemerne til det nødvendige personale. Sørg for, at have processer på plads til at lukke for adgangen igen, når folk skifter rolle eller job Husk fysisk sikkerhed: Ikke alle datatyverier sker online. Kriminelle vil manipulere med computere, betalingsterminaler eller stjæle dokumenter Backup: Hvis alle andre foranstaltninger fejler, kan en backup redde data. Husk beskyttelse af backup medierne Incident response: Planlæg efter, at der vil ske hændelser - følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Opfølgning: Glem ikke de basale kontroller. Hold fokus på bedre og hurtigere opdagelse gennem en blanding af mennesker, processer og teknologi Trusselsbilledet: Hold øje med trusselsbilledet for løbende at kunne tilpasse sikkerhedsløsningen. Husk at one-size fits all ikke holder i virkeligheden Riskovurdering: Er du mål for egentlig spionage, så undervurder ikke vedholdenheden, ekspertisen og værktøjerne hos din modstander

Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

Hvad skal du gøre når du kommer hjem? På mandag Skaf et overblik over jeres aktuelle sikkerhedstilstand Næste uge Risikovurder dine aktiver Næste måned Start implementeringen af de kontroller risikovurderingen viser der er behov for

Tak! Læs mere om Dubex på www.dubex.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback