INFORMATIONS- SIKKERHED I STORE DANSKE VIRKSOMHEDER

Relaterede dokumenter
INFORMATIONSSIKKERHED I

INFORMATIONS- SIKKERHED I STORE DANSKE VIRKSOMHEDER TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR. KMD Analyse

INFORMATIONS- SIKKERHED I DET OFFENTLIGE TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR

Er I klar til den nye persondataforordning?

Strategisk informationssikkerhed

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Torben Waage Partner

Sikkerhedsvurderinger

Kommunal- og regionsvalg 2013 Valgkampens medier KMD Analyse November 2013

POPULATION HEALTH MANAGEMENT

> DKCERT og Danskernes informationssikkerhed

Persondataforordningen. Henrik Aslund Pedersen Partner

Danmark og cybersikkerhed: Cybertruslen bekymrer flere end tidligere, og vi ser et skærpet fokus på den kommende EU-persondataforordning

Cybercrime Survey 2016

It-sikkerhed i danske virksomheder

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

Tryghed i den digitale verden - It-sikkerhed og persondata

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Regler om persondata Koordinatormøde den 28. nov. 2017

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Må lrettet årbejde med persondåtåforordningen for DANSK PLANTAGEFORSIKRING DANSK PLANTAGEFORSIKRING

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Databeskyttelse INDSAMLER OPBEVARER BRUGER DU DATA? Hvad er personoplysninger? Bedre regler for små virksomheder. Januar 2017 DA

Cybercrime Survey 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Survey-rapport: Persondata og it-sikkerhed 1. Bech-Bruun Intelligence. Persondata og it-sikkerhed

Rollen som DPO. September 2016

Informationssikkerhed i det offentlige

Overblik over persondataforordningen

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

Overordnet organisering af personoplysninger

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Cybercrime Survey 2018

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Overordnet organisering af personoplysninger

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

ANALYSENOTAT Når erhvervslivet at blive klar til de nye persondataregler?

Det skal du have styr pa inden 2018

Plesner Certifikat i Persondataret

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Persondataforordningen. Konsekvenser for virksomheder

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Ma lrettet arbejde med persondataforordningen for

DATABESKYTTELSESPOLITIK

Persondatapolitik for Tørring Gymnasium 2018

CYBERFORSIKRING OFFENTLIG KONFERENCE

Informationssikkerhed i det offentlige. KMD Analyse

Databeskyttelsespolitik for DSI Midgård

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Målrettet arbejde med persondataforordningen for

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

SOPHIAGÅRD ELMEHØJEN

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

Persondatapolitik Vordingborg Gymnasium & HF

Introduktion til persondataforordning

Persondatapolitik for Aabenraa Statsskole

ANALYSE AF DATA- OG CYBERSIKKERHED

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik Frederiksberg Kommune

Informationssikkerhedspolitik

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Målrettet arbejde med persondataforordningen for

Hvad er Informationssikkerhed

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Per Løkken, Partner. CAMPUS November 2018

Persondataforordningen...den nye erklæringsstandard

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

evalg i Danmark DANSKERNES HOLDNINGER TIL STEMMEAFGIVNING VIA INTERNETTET

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Databrudspolitik i Luthersk Mission

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Hvorfor er informationssikkerhed et ledelsesansvar?

EU Persondataforordning GDPR

Er du klar til den nye Persondataforordning?

PERSONDATAPOLITIK (EKSTERN)

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Persondatapolitik på Gentofte Studenterkursus

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

ANALYSE Informationssikkerhed blandt DI s medlemmer

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Transkript:

INFORMATIONS- SIKKERHED I STORE DANSKE VIRKSOMHEDER TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR Danske topvirksomheder tages som datagidsler Danske sikkerhedsafdelinger opruster men savner mere opbakning fra topledelserne Persondataforordning på vej topvirksomheder mangler at udpege data protection officers KMD Analyse Briefing Maj 2016

DANSKE TOPVIRKSOMHEDER TAGES SOM DATAGIDSLER De største danske virksomheder oplever i betydeligt omfang angreb på deres datasikkerhed og angriberne lykkes i stor stil med deres mission. Det viser en rundspørge fra KMD Analyse blandt it-sikkerhedsansvarlige i toppen af dansk erhvervsliv. Virksomhederne oplever mange forskellige angrebstyper, men listen toppes af Ransomware, som otte ud af ti af de adspurgte sikkerhedsansvarlige angiver, at deres virksomhed har været udsat inden for de seneste 12 måneder. Fire ud af 10 angiver, at det er lykkes angriberne at kryptere data i virksomheden. Rundspørgen afdækker endvidere, at der implementeret en række sikkerhedstiltag i virksomhederne men også, at en betydelig andel af de ansatte mangler undervisning i datasikkerhed.

De største danske virksomheder udsættes i stor stil for angreb på deres it-sikkerhed. Og angriberne har et godt stykke af vejen succes med deres arbejde. Det viser en rundspørge blandt 54 it-sikkerhedsansvarlige blandt de 300 største danske virksomheder foretaget af KMD Analyse. VIRKSOMHEDERNE ER OFRE FOR RANSOMWARE 94 pct. af de adspurgte it-sikkerhedsansvarlige har oplevet en eller flere sikkerhedshændelser de seneste 12 måneder i deres virksomheder. 89 pct. af de sikkerhedsansvarlige angiver, at de inden for de seneste 12 måneder er blevet udsat for phishing. 80 pct. fortæller, at de er blevet udsat for ransomware*. Og angrebene er ikke uden succes. 43 pct. af de adspurgte it-sikkerhedsansvarlige har kendskab til angreb, der er gennemført med succes mod deres virksomhed. Af disse angreb udgøres størstedelen af ransomware-typen, hvor hele 41 pct. angiver, at der er lykkes uvedkommende at blokere data inden for de seneste 12 måneder. - Danske virksomheders data er i sigtekornet fra it-kriminelle. Det er bekymrende, at det i så stort omfang lykkes angriberne at trænge igennem. Ransomware og kryptoware kan være yderst generende og medføre store tab af viden, og selvfølgelig også direkte økonomiske tab, hvis virksomhederne ikke har beskyttet sig tilstrækkeligt, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed. Hos CERTA Intelligence & Security, der rådgiver virksomheder i alle former for sikkerhed, kan man genkende både trusselsbilledet og de potentielle konsekvenser; - Information er et væsentligt aktiv for den enkelte virksomhed, og når det gælder informationssikkerheden må virksomheder i dag forholde sig til et trusselsbillede, som er mere alvorligt, dynamisk og komplekst end nogensinde før. Konsekvenserne kan være store for den enkelte virksomhed, og mange virksomheder er fortsat meget sårbare og ikke rustet godt nok til at holde uvedkommende ude. Man kan blive overrasket over, hvordan selv store og veletablerede danske virksomheder, der har meget på spil, kommer i situationer, hvor de f.eks. må betale løsepenge til kriminelle for igen at få adgang til deres egne informationer, siger Jakob Scharf, der er direktør i CERTA og tidligere chef for Politiets Efterretningstjeneste, PET. MANGE VIRKSOMHEDER UVIDENDE OM ANGREB Hver femte adspurgte ved ikke, om det er lykkes for angribere at trænge igennem deres forsvarsværker. - Det ikke er nogen skam at blive hacket, men det er en skam ikke at opdage det. Det er umuligt at sikre sig totalt mod indtrængen fra uvedkommende, men virksomhederne skal sørge for at de opdager indbrud. Ellers kan konsekvenserne vokse yderligere, forklarer Lars Neupart. Analysen afdækker endvidere, at lige under hver femte it-sikkerhedsansvarlige har været udsat for DDoS angreb. Lige under hver tiende angiver, at de har været udsat for spionage-software via mail, og 7 pct. af de adspurgte har oplevet hacking af arbejdspladsens offentlige hjemmeside, webmail eller intranet. MEDARBEJDERNE MANGLER UNDERVISNING KMD Analyse har også spurgt til virksomhedernes sikkerhedstiltag. Undersøgelsen viser, at der i de fleste større danske virksomheder er implementeret en bred pallette af digitale sikkerhedsforanstaltninger, men at der stadig er plads til forbedringer i mange virksomheder. Brugerrettighedsstyring (100 pct.), logning (91 pct.), skriftlige politikker (87 pct.) og klar ansvarsforankring (85 pct.) er bredt implementeret. Men 67 pct. af virksomhederne har ikke foretaget afprøvning af informationssikkerheden, eksempelvis gennem phishing-forsøg eller telefonopringninger, og 41 pct. af virksomhederne underviser ikke medarbejderne i informationssikkerhed. - At mange virksomheder ikke får undervist deres medarbejdere i it-sikkerhed må give anledning til panderynker. Og det er naturligvis oplagt at kæde den manglende undervisning sammen med succesraten på ransomware, som netop rettes mod de ansatte. Der er i bund og grund tale om en angrebstype, som man kan beskytte sig imod med kendte metoder, som backup og awareness-træning, forklarer Lars Neupart. Hos CERTA Intelligence & Security ser man også en kulturel udfordring hos danske virksomheder. - Sikkerhedskulturen halter i mange danske virksomheder og insider-truslen udgør den måske største sikkerhedsmæssige risiko, når det drejer sig om at beskytte virksomhedens informationer. Virksomhederne kan nå langt, når de forstår medarbejdernes centrale betydning for informationssikkerheden. Men der er fortsat meget, som virksomhederne også på andre områder kan og må gøre for at styrke deres muligheder for hurtigt og effektivt at kunne forebygge og imødegå trusler mod informationssikkerheden samt ikke mindst genoprette skaderne ved et eventuelt angreb på den enkelte virksomhed, siger Jakob Scharf. Undersøgelsen viser, at hver tredje virksomhed ikke har en formel procedure ved opdagelse af brud på informationssikkerheden lige som 31 pct. ikke har et beredskab, der kan aktiveres i tilfælde af it-sikkerhedsbrud. ORDFORKLARING * I phishing forsøger angriberne at lokke oplysninger om password, kontonummer eller lign. ud af offeret via f.eks. mails. I ransomware installeres ondsindede programmer på ofrets computer, typisk ved at man har klikket på et link eller en fil i en mail, eller har besøgt en inficeret web-side. Programmet krypterer data, hvor der efterfølgende kræves betaling til angriberen for at låse data op igen.

Andel af it-sikkerhedsansvarlige, der giver udtryk for, at de har kendskab til en eller flere sikkerhedshændelser i egen virksomhed inden for de seneste 12 måneder 94% 6% Ja Nej/ Har din virksomhed oplevet følgende sikkerhedshændelser - herunder mislykkede forsøg på angreb - inden for de seneste 12 måneder? Phishing via mail 89% 7% 4% Ransomware via mail 80% 15% 6% Phishing via telefonopkald 30% 56% 15% Bortkomst af it-udstyr 26% 63% 11% DDoS angreb 17% 8 Tyveri af it-udstyr med sensitiv information 13% 80% 7% Spionage-software via mail 9% 67% 24% Hacking af arbejdspladsens offentlige hjemmeside 7% 87% 6% Hacking af arbejdspladsens webmail og/eller intranet 7% 8 11% Spionage software via USB nøgle 74% 24% Andet 50% 48% Ja Nej

Har du kendskab til, at det er lykkedes uvedkommende at gennemføre følgende angreb inden for de seneste 12 måneder? Organisationens data har været blokeret via ransomware 41% Organisationens hjemmeside har været blokeret via DDoS-angreb 9% Forretningsdata er afgivet via phishing Adgang til forretningsdata via hacking 0% Andet 7% Ingen angreb 37% 20% 0% 10% 20% 30% 40% 50% Med hensyn til informationssikkerhed, hvilke af følgende foranstaltninger har din arbejdsplads? Brugerrettighedsstyring (begrænsning af adgang til systemer eller data i relation til jobrolle) Logning i it-systemerne 100% 91% 7% En skriftlig politik 87% 13% En klar forankring af ansvaret 85% 13% Et beredskab i tilfælde af brud 69% 31% Procedurer ved opdagelse af brud 65% 33% Undervisning af medarbejdere 59% 41% Kryptering af mails og/eller mobiltelefon 48% 50% Afprøvning (eks. via phishing-forsøg eller telefonopringninger) 30% 67% 4% Ja Nej

DANSKE SIKKERHEDS- AFDELINGER OPRUSTER MEN SAVNER MERE OPBAK- NING FRA TOPLEDELSERNE En rundspørge fra KMD Analyse blandt sikkerhedsansvarlige i toppen af dansk erhvervsliv viser, at virksomhederne vurderer, at trusselsbilledet er voksende, og man fortsætter den igangværende oprustning på sikkerhedsområdet. På trods af stigende investeringer oplever de it-sikkerhedsansvarlige samtidig et behov for en øget prioritering af området blandt topledelserne i deres virksomheder. Særligt uopmærksomme medarbejdere udgør en trussel mod virksomhederne. De største danske virksomheder udsættes i stort omfang af digitale angreb som phishing og ransomware. Og angriberne har et godt stykke af vejen succes med deres arbejde. De it-sikkerhedsansvarlige har optrappet investeringerne og er på vej med yderligere investeringer på området. De savner dog fortsat en større opmærksomhed fra det øverste ledelseslag. Det viser en rundspørge blandt 54 it-sikkerhedsansvarlige blandt de 300 største danske virksomheder foretaget af KMD Analyse. - Tab af forretningsdata udgør en voksende trussel mod danske virksomheder. Vi lever af vores viden, og det er det altafgørende, at den er godt beskyttet. Man har mange opmærksomhedspunkter som topledelse i dag, men det er min klare anbefaling, at man i direktionsgrupperne i de danske virksomheder får sat betydeligt mere fokus på trusselbilledet og virksomhedens sikkerhedsniveau, siger Eva Berneke, adm. direktør i KMD.

SIKKERHEDSAFDELINGERNE OPRUSTER 80 pct. af de adspurgte it-sikkerhedsansvarlige i undersøgelsen mener, at trusselsbilledet vil udvikle sig i opadgående retning og af disse mener 11 pct., at der vil være tale om en markant udvikling. haft et stigende fokus på området de sidste fire-fem år. Vi beskytter både egne data såvel som vores kunders data, og der er ingen tvivl om fra vores side, at sikkerhed i dag er særdeles forretningskritisk, siger adm. direktør i KMD, Eva Berneke. Og fortsætter: Og der investeres da også mere og mere i sikkerhedsområdet blandt virksomhederne. 65 pct. af de adspurgte it-sikkerhedsansvarlige giver udtryk for, at investeringerne i de seneste 12 måneder er højere eller meget højere end det forgangne år. 63 pct. af de adspurgte it-sikkerhedsansvarlige fortæller, at investeringsniveauet for de næste 12 måneder vil blive højere eller meget højere sammenlignet med niveauet for de seneste 12 måneder. Hos CERTA Intelligence & Security, der rådgiver virksomheder om bl.a. informationssikkerhed, oplever man ligeledes, at virksomhederne opruster, når det gælder informationssikkerheden. - Det alvorlige trusselsbillede og de store risici for den enkelte virksomhed gør det helt naturligt. Men spørgsmålet melder sig meget hurtigt, om virksomheden får den rigtige samt mest og bedst mulig informationssikkerhed for investeringerne. Det er bestemt ikke altid tilfældet, og det skyldes ofte, at virksomhederne ikke har en sammenhængende og helhedsorienteret tilgang til informationssikkerhed, men hopper lidt fra til tue til tue og foretager isolerede investeringer. Udfordringen for virksomhederne og deres sikkerhedsafdelinger er stor, og hvis man for alvor skal kunne håndtere udfordringen kræver det, at man får en langt mere proaktiv og strategisk tilgang til virksomhedens informationssikkerhed, siger Jakob Scharf, der er direktør i CERTA og tidligere chef for Politiets Efterretningstjeneste, PET. MEN SAVNER ØGET LEDELSESOPBAKNING Trods truslerne er opbakningen fra den øverste ledelse fortsat ikke på det ønskede niveau. 54 pct. af de adspurgte it-sikkerhedsansvarlige, svarer, at topledelsen i højere eller meget højere grad bør prioritere tiltag, der skal styrke informationssikkerheden. De færreste direktioner behandler sikkerhedsområdet jævnligt på deres møder. - Sikkerhed er en kompleks størrelse, og det er min oplevelse, at det for mange bestyrelser og direktioner er vanskeligt at danne sig et samlet og sammenhængende overblik over virksomhedens sikkerhedsmæssige situation eller bare at finde ud af, hvad man egentlig skal spørge ind til og være opmærksom på. Men der er ingen vej udenom. Såvel bestyrelse som direktion må regelmæssigt og systematisk sikre sig, at virksomheden er beskyttet på passende vis, og at virksomheden har en effektiv ressourceanvendelse også på det sikkerhedsmæssige område, siger Jakob Scharf. I KMD s egen topledelse har man selv opprioriteret området kraftigt, og KMD s adm. direktør opfordrer sine CEO kollegaer i dansk erhvervsliv til at sætte sikkerhed højere på agendaen. - Sikkerhed skal ikke kun vedrøre en lukket skare af it-professionelle det skal op på højeste niveau. Man behøver ikke indgående teknisk viden for at kunne stille relevante spørgsmål sin sikkerhedsorganisation. Efterfølgende skal man være parate til at understøtte dem i at løfte opgaven. MEDARBEJDERNE ER DEN STØRSTE TRUSSEL Truslerne kommer flere steder fra også inde fra virksomhederne selv. 59 pct. af respondenterne vurderer, at uopmærksomme medarbejdere udgør en trussel i høj eller meget høj grad. Tages i nogen grad med er tallet 90 pct. 50 pct. af de adspurgte it-sikkerhedsansvarlige vurderer organiserede kriminelle som en trussel i høj eller meget høj grad. Tages i nogen grad med er tallet 81 pct. Derefter er der et stykke ned til de resterende grupper. Utilfredse kunder bliver vurderet som den mindste trussel mod informationssikkerheden. Det skal dog bemærkes, at de it-sikkerhedsansvarlige ikke afskriver de fleste af grupperne. Tæller man i nogen grad med opnås følgende samlede vurderinger; drengestreger (44 pct.), fremmede magter (33 pct.), aktivister (33 pct.) og konkurrenter (31 pct.). AWARENESSS-TRÆNING I HØJ KURS Undersøgelsen fra KMD Analyse viser endvidere, at det største flertal (65 pct.) af de adspurgte it-sikkerhedsansvarlige forventer inden for de næste 12 måneder at investere i awareness-træning af medarbejdere inden for informationssikkerhed. Mere end halvdelen af virksomhederne forventer at investere i sårbarhedsscanninger (54 pct.), mobilsikkerhed (54 pct.), etablering og forankring af sikkerhedspolitik og compliance (52 pct.) og central og intelligent logning (52 pct). - Selv om angrebstyperne er meget forskellige i dag, så er ransomware og phishing de absolut mest udbredte. Og her er medarbejderne det vigtigste forsvarsværk. Man kan fange en del i spamfiltre og lignende tekniske tiltag, men man kan aldrig filtrere alt fra. Og det kræver kun en uopmærksom medarbejder før store dele af et netværk er krypteret eller blokeret af kriminelle. Så den store fokus på investeringer i oplysningsprogrammer giver rigtig god mening. Man kan måske sige, at det også er på tide, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed. - Selv om vi i KMD har sikkerhed som en del af vores mangeårige DNA, så er vi fra den øverste ledelses side gået endnu et gear op og

Du bedes vurdere i hvilken grad nedenstående grupper udgør en trussel mod informationssikkerheden på din arbejdsplads Politisk motiverede aktivister 26% 37% 30% 4% 4% Konkurrenter 20% 46% 24% 6% Utilfredse kunder 33% 54% 4% 4% 4% Fremmede magter 31% 31% 24% 7% 4% Udøvere af digitale drengestreger 7% 46% 30% 11% 4% Organiserede kriminelle 17% 31% 26% 24% Uopmærksomme medarbejdere 7% 31% 35% 24% Slet ikke I høj grad I ringe grad I meget høj grad I nogen grad Har jeres investeringer i informationssikkerhed i de sidste 12 måneder været højere eller lavere end året før? 0% 4% 30% 54% 11% Meget mindre Mindre Det samme Højere Meget højere

I forhold til de seneste 12 måneder, hvordan forventer du, jeres investeringsniveau i informationssikkerhed er de næste 12 måneder? 0% 4% 4% 3 59% Meget mindre Mindre Det samme Højere Meget højere Hvilke områder forventer I at investere i de kommende 12 måneder? (Sæt gerne flere krydser) Awareness-træning 65% Sårbarhedsscanninger 54% Mobilsikkerhed Etablering og forankring af sikkerhedspolitik og compliance Central og intelligent logning Opgradering/udskiftning af gamle operativsystemer 54% 5 5 48% Identity management 39% Privillegeret adgangsstyring Efterlevelse af metodeforankring som ISO 2700x eller NIST Etablering af beredskab 33% 33% 3 Etablering af risikostyring 24% Andet 6% 0% 10% 20% 30% 40% 50% 60% 70%

Hvordan bør topledelsen på din virksomhed efter din mening prioritere tiltag, der skal styrke informationssikkerheden? 0% 0% 44% 41% 13% De bør prioritere det... Meget mindre Mindre Det samme Højere Meget højere

PERSONDATAFORORDNING PÅ VEJ TOPVIRKSOMHEDER MANGLER AT UDPEGE DATA PROTECTION OFFICERS Den nye persondataforordning blev endelig vedtaget i slutningen af april, men danske topvirksomheder er endnu ikke for alvor gået i gang med at udpege de centrale Data Protection Officers. Arbejdet med at indfri de nye krav kan være omfattende, så virksomhederne bør tage fat nu, vurderer KMD sikkerhedsekspert.

Databeskyttelsesforordningen blev vedtaget af Europa-Parlamentet i slutningen af april. Den nye persondataforordning stiller krav om, at virksomheder, som eksempelvis sælger varer og tjenesteydelser til privatpersoner i Europa og som følge deraf opbevarer og behandler personoplysninger skal udpege en medarbejder til at varetage en nyoprettet funktion som Data Protection Officer (DPO). En DPO kan betragtes som virksomhedes interne vagthund for sikker behandling af persondata. PERSONDATAFORORDNINGENS NYE TILTAG 1. Øgede dokumentationskrav for overholdelse af forordningen Omfatter bl.a. kortlægning af: Hvilke typer data der behandles, formålet med behandlingerne, kategorier af registrerede personer og modtagere af oplysninger, eventuelle videregivelser til usikre tredjelande, angivelse af tidsfrister for sletning af oplysninger Forordningen ligger højt på opmærksomhedsskalaen blandt de danske it-sikkerhedsansvarlige, men virksomhederne er ikke for alvor gået i gang med at udpege de centrale Data Protection Officers. Det viser en rundspørge blandt 54 it-sikkerhedsansvarlige blandt de 300 største danske virksomheder foretaget af KMD Analyse. FORORDNINGEN KRÆVER FLERE RESSOURCER Ni ud af ti it-sikkerhedsansvarlige giver udtryk for, at de har kendskab til den nye persondataforordning, der træder i kraft i 2018. Et flertal af de it-sikkerhedsansvarlige i de største danske virksomheder vurderer, at man i deres virksomhed vil skulle bruge flere ressourcer på at efterleve kravene i den nye forordning. 26 pct. af de it-sikkerhedsansvarlige vurderer, at det i høj eller meget høj grad skal bruges flere ressourcer som konsekvens af den nye forordning, mens yderligere 46 pct. forventer, at det i nogen grad kan blive tilfældet. - Den nye persondataforordning kommer til at betyde et ekstra arbejde for langt de fleste større danske virksomheder. De skal helt grundlæggende have bedre overblik og styr på dataprocesser og opbevaring af data. Det er derfor godt at se, at langt de fleste af de adspurgte virksomheder har persondataforordningen på radaren, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed. DPO IKKE PÅ PLADS Rundspørgen fra KMD Analyse viser samtidig, at 73 pct. af de adspurgte virksomheder endnu ikke har udpeget en Data Protection Officer. 2. Pligt til at udarbejde konsekvensanalyser (Privacy Impact Assessments) - hvis behandlingen af personoplysninger indebærer høje risici for registreredes rettigheder og friheder. Kravet om konsekvensanalyse vil navnlig kunne aktualiseres, hvor der er tale om: Systematiske profileringsaktiviteter, behandling af følsomme oplysninger og/eller omfattende videoovervågning af offentlige arealer. 3. Pligt til at lave indbygget databeskyttelse dvs. til at tænke databeskyttelse ind fra start ved udviklingen af nye IT-løsninger, services m.v. 4. Obligatorisk udpegning af en databeskyttelsesansvarlig ( data protection officer / DPO ) for alle offentlige myndigheder og visse private virksomheder. DPO en skal have en særlig viden om persondatabeskyttelse og bl.a. sikre, at forordningens regler overholdes i myndighedens/virksomhedens daglige drift. 5. Mulighed for væsentligt højere bøder for overtrædelser op til EUR 20.000.000 eller 4 % af årlig omsætning for virksomheder. De enkelte medlemsstater kan dog selv bestemme, om bøderne skal udstedes administrativt af Datatilsynet eller fastsættes af domstolene samt bødeniveauet. Kilde: Kammeradvokaten - Jeg vil ikke sige, at man er decideret bagud, hvis man endnu ikke har udpeget en Data Protection Officer, men man skal til at gå i gang. Før man får set sig om, så er de to år gået, og der ligger en del arbejde foran de fleste virksomheder. Der skal laves datastrømsanalyser, beskrivelser og dokumentation af processer og en masse andet. Og hvis arbejdet viser, at man har huller rundt omkring, så skal de selvfølgelig også lappes, inden forordningen træder i kraft, forklarer, Lars Neupart.

Er du bekendt med, at Europa-Parlamentet og Ministerrådet netop har vedtaget en ny persondataforordning? 91% 7% Ja Nej Vil der efter din vurdering skulle bruges flere ressourcer på informationssikkerhed i din virksomhed som konsekvens af den nye forordning? 4% 20% 46% 24% 4% Slet ikke I ringe grad I nogen grad I høj grad I meget høj grad

Andel af virksomheder for hvilke det er relevant at udpege en Data Protection Officer: 74% 26% Relevant for min virksomhed Ikke relevant for min virksomhed Har din virksomhed udpeget en Data Protection Officer? 25% 73% 3% Ja Nej...danske topvirksomheder er endnu ikke for alvor gået i gang med at udpege de centrale Data Protection Officers. Arbejdet med at indfri de nye krav kan være omfattende, så virksomhederne bør tage fat nu, vurderer KMD sikkerhedsekspert.

OM ANALYSEN VIRKSOMHEDSSURVEY Analysen Informationssikkerhed i store danske virksomheder Trusler, sikkerhedshændelser & forsvar bygger blandt andet på en survey blandt de 300 største virksomheder i Danmark. Virksomhedssurveyen er gennemført online af KMD Analyse i perioden fra 3. februar til 8. marts 2016 med deltagelse af 54 respondenter, der har ansvaret for it-sikkerheden i deres respektive virksomheder. Respondenters titler spænder forholdsvis bredt: CIO, IT-sikkerhedsansvarlig, CISO, IT Head, it-direktør, it-chef mv. De medvirkende repræsenterer deres virksomhed i analysen. 24 af de 54 respondenter hører til blandt de største 100 virksomheder i Danmark. 14 kommer fra top 101-200 kategorien. 16 kommer fra top 201-300 kategorien. 20 pct af C20 virksomhederne er repræsenteret i undersøgelsen. Analysen er gennemført som online survey af konsulenthuset Trellis. KMD har samarbejdet med konsulentfirmaet CEDI samt CERTA Intelligence & Security, der er en privat efterretnings- og sikkerhedsvirksomhed, om udarbejdelsen af analysen. KMD Analyse skal bemærke, at surveyen ud fra en generaliseringsbetragtning er behæftet med en del usikkerhed. Surveyen skal ses som et pejlemærke for it-sikkerhedssituationen blandt Danmarks største virksomheder. OM KMD ANALYSE KMD Analyse udarbejder analyser om de digitale muligheder i det offentlige og private Danmark. KMD Analyse har blandt andet tidligere udgivet rapporterne Den digitale folkeskole vurderinger og holdninger fra elever og forældre, Socialt bedrageri i Danmark og Telemedicinsk behandling af KOL-patienter potentialer og barrierer. Læs mere om KMD Analyse og hent rapporterne på www.kmd.dk/analyse OM KMD A/S KMD er den største danskbaserede it-virksomhed, og hovedparten af KMD s forretning udspringer af egen softwareudvikling. I mere end 40 år har KMD arbejdet med udvikling, drift og vedligeholdelse af Danmarks største kommunale it-systemer. KMD udvikler og leverer i dag software- og serviceløsninger til kommune-, stats- og erhvervsmarkedet i Danmark. KMD har en årlig omsætning på godt fem milliarder danske kroner og har omkring 3.200 ansatte. KMD er ejet af Advent International og Sampension. KONTAKT For yderligere oplysning, kontakt: Morten Langager Direktør, Kommunikation og Marketing M: mlr@kmd.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback