Virksomhedernes cybertilstand

Relaterede dokumenter
Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Sådan får du styr på de digitale risici

Forordningens sikkerhedskrav

Managing Risk, Enabling Growth i din virksomhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

ISO Ledelsesværktøj til digital risikostyring

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Risikostyring ifølge ISO27005 v. Klaus Kongsted

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Security & Risk Management Summit

Databeskyttelse: Data er valuta i høj kurs! Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Strategisk informationssikkerhed

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

LRQA ISO- RISK BASED THINKING. Af Mogens Larsen, ISO-Academy.001

Security & Risk Management Summit 2016

Velkomst og praktiske informationer

Velkomst og praktiske informationer. Jacob Herbst Søborg, 4. juni 2013

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Security & Risk Management Summit 2016

Sikkerhed en løbende proces

RISIKOVURDERING I PRAKSIS

Forventninger til Cybercrime forsikringer med en risikobaseret tilgang TINE OLSEN, WILLIS JESPER B. HANSEN, SISCON

Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Erfaringer fra MDM projekt hos Region Syd. Ivan Bergendorff 13. marts 2013

SAS Institute CIO networking

RIGSREVISIONENS NATIONALE KONFERENCE EFFEKTIV FORVALTNING MED DIGITALISERING

Assens Kommune Sikkerhedspolitik for it, data og information

Mobility-strategi Hvordan kommer du i gang?

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Velkommen Gruppe SJ-1

Hvordan skalerer man Danmarks bedste IT-arbejdsplads. Peter Rafn

Vejledning i informationssikkerhedsstyring. Februar 2015

Informationssikkerhed på ledelsens agenda

It-sikkerhed i danske virksomheder

Sikkerhed som en del af virksomhedens risikostyring

Kundecase Region Syddanmark. Ivan Bergendorff Søborg, 7. november 2013

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Vejledning i informationssikkerhedspolitik. Februar 2015

Informationssikkerhed på ledelsens agenda

Seminar d Klik for at redigere forfatter

Lars Neupart Director GRC Stifter, Neupart

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

it-lounge Udvalgte områder fra IT i praksis 2006 Januar 2007 Projektleder, konsulent Jacob Fink

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Deloitte Cyber Awareness Training Træning af medarbejderne i informationssikkerhed er med til at beskytte virksomheden mod cyberkriminalitet.

Security & Risk Management Summit

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Velkomst og praktiske informationer. Jacob Herbst Søborg, 23. maj 2013

CYBERFORSIKRING OFFENTLIG KONFERENCE

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Velkommen Gruppe SJ-1

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Hvad er Informationssikkerhed

Security & Risk Management Update 2017

POLITIK FOR INFORMATIONSSIKKERHED

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Security & Risk Management Update 2017

Management of Risks (M_o_R ) Professionel styring af risici

Artikel trykt i Controlleren. Gengivelse af denne artikel eller dele heraf er ikke tilladt ifølge dansk lov om ophavsret.

Region Hovedstadens Ramme for Informationssikkerhed

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Cyber risk 2016 Mads N. Madsen Partner Revision. Skat. Rådgivning.

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Rollen som DPO. September 2016

CYBER RISIKOAFDÆKNING

Fællesregional Informationssikkerhedspolitik

Stream B: Governance, Risk & Compliance Dokumentation af kontroller. September 2012, Arne Joensen

Security & Risk Management Update 2017

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

STRATEGI FOR CONSUMERISATION AF VIRKSOMHEDENS IT SKAL AFGØRES UD FRA FORRETNINGSVÆRDI OG ORGANISATIONENS PARATHED

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Velkommen Grupperne SJ-1 & SJ-2

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Informationssikkerhedspolitik for Region Midtjylland

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Industriel IT-sikkerhed OT-sikkerhedens fire faser: Predict, Prevent, Detect and Respond

IT-drift konferencen Big Data know. act. grow.

Bestyrelsens håndtering af risici

ATP s digitaliseringsstrategi

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

ISO Styr på Arbejdsmiljøet på din virksomhed

GAB-ANALYSE I FORSYNINGSBRANCHEN

LEGAL RISK MANAGEMENT

Kursus: Ledelse af it- sikkerhed

IT- SIKKERHED. Omfanget og konsekvensen af IT-kriminalitet

Sikkerhed i skyen Afslutning

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Din digitale samarbejdsplatform

Fællesregional Informationssikkerhedspolitik

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Sikkerhed og Revision 2015

Sikkerhedsvurderinger

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

IT-sikkerhedspolitik S i d e 1 9

Transkript:

ATV-konference Virksomhedernes cybertilstand Klaus Kongsted, CEO, Dubex A/S København, den 15. januar 2015

Moderne virksomheder bygger på information Zynga behandler over 1 petabyte data om dagen 2 mia. videoer ses hver dag 1,2 mio. beskeder via Twitter pr. sekund Volume Store mængder data Velocity Hurtig behandling Variety Forskellige typer Large Hadron Collider genererer 150 mio. petabytes pr. år - 99.999% smides væk Voksende datamængde Global datamængde vokser med ca. 40% pr. år En harddisk til 3.000 kr. kan gemme al musik i verden Ustruktureret data 80% af alle data er ustrukturerede Dynamisk kommunikation 30 mia. opdateringer på Facebook hver måned Applikationer og kommunikation Sociale medier Mobile enheder ~ ca. 5. mia. i verden Brugere, kunder, partnere Komplekse rettigheder

Cyber-udfordringer for virksomhederne Advanceret infrastruktur Stigende kompleksitet Et udfordrende trussesbillede Forretningskrav Information er blevet strategisk Personale og kvalifikationer

Hvorfor bliver vi angrebet? Spionage Konkurrenter Terrorisme Politiske Cyberkrig Kriminelle Angreb Interne IP, financial, production information, plans, strategies National/Industrial plans, secrets, strategies Personal ID info., banking information, fraud, ID theft Industrial sabotage, planning, strategic secrets Gain device control, repurpose, rent, sell processing, fraud, industrial espionage Software maintenance or upgrade, operational errors

Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan af alle organisationer var flere måneder eller år om at opdage det 66% initiale indbrud 82% af alle hændelser blev opdaget af eksterne 12% af alle hændelser blev tilfældigt opdaget internt Percent of breaches that remain undiscovered for months or more Kun 6% af alle hændelser blev aktivt opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at vi er blevet hacket

Den nye adaptive tilgang til avancerede trusler Continuous Monitoring and Analytics Predict & identify Prevent & protect Detect Respond & recover

Prioritering af cybersikkerhed Udfordringerne er mange Der er trusler og behov Der er krav og forventninger fra myndigheder, samarbejdspartnere og kunder Man kan drukne i løsninger, muligheder og aktiviteter Det er vigtigt at målrette sikkerheden til de forretningsmæssige behov Ledelsesopbakning og brugerinddragelse er kritisk for successen Risikovurderinger er et vigtigt hjælpemiddel til prioritering af it-sikkerhed - også når man skal vælge mellem forskellige løsninger/muligheder

It-afdelingens dilemma INFORMATION er blevet virksomheders vigtigste asset Managing risk Beskytte følsomme oplysninger for at forbedre og opretholde markedsposition og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer It er grundlaget for alle forretningsprocesser Ledelsen og bestyrelsen skal beskytte værdien af virksomheden Udfordring: Synliggørelse af den risiko som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdien af virksomheden

Primære drivere for outsourcing Informationer om nuværende trusselsbillede er svært at vedligeholde Kompetencer til at udfylde de mange områder er svære at: Få Vedligeholde Udnytte & betale Hastighed i implementering og forankringen i forretningen tager for lang tid Omkostninger er for høje ved køb og drift selv Drift (8-17 eller 24x7) Vedligehold Administration Fortolkning af data Kvalitet Hastighed Effektivitet Omkostninger Virksomheden ønsker ikke at drive området selv, da det ikke er forretningskritisk Outsourcing giver større fleksibilitet, omkostningskontrol samt værdi

Høj fart kræver gode bremser

Organisering af sikkerhedsprocessen Risikostyring Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerheds-framework og profil Implementering

Risikostyring på ledelse- og bestyrelsesniveau Risikostrategi Tager vi de rigtige risici? Risikoappetit Har vores risiko det rette omfang? Evner Er vi effektive til at styre risici? Kender vi de betydeligste risici, vi tager? Er de risici vi tager på linje med vores forretningsmæssige mål og vækststrategier? Vil de risici, vi tager hjælpe os med at opnå konkurrencemæssige fordele? Hvordan passer de risici, vi tager med aktiviteter, der skaber værdi? Har vi rettidig og relevant information til at foretage strategiske valg? Kan vi opnå et afkast, der er i overensstemmelse med vores overordnede risikoprofil? Fremmer eller hæmmer vores kultur det rette niveau af risikotagning adfærd og aktiviteter? Har vi en defineret, formidlet og forstået organisatorisk risikoappetit og tolerance? Er vores risikoappetit kvantificeret både samlet og per hændelse? Er vores reelle risikoprofil i overensstemmelse med vores risikovillighed? Er vores kapital er tilstrækkelig til at understøtte vores risikoprofil? Er vores risikostyringsproces "ensartet", på niveau med vores strategiske beslutningsproces og key performance foranstaltninger? Risikostyring - er der klarhed over bemyndigelse, afgrænsninger og ansvarsområder? Overvåges vores risikostyringsproces effektivt på tværs af hele virksomheden? Er vores ensartede risikostyringsproces omkostningseffektiv og effektiv?

Modenhedskurve Forretningsorienteret Trusselsforsvar Compliance og sikkerhed i dybden Tjekliste-tilgang Risikobaseret sikkerhed Sikkerhed som resultat af en strategi Mere proaktivt Sikkerhed indgår strategisk som forretnings-enabler Risk Management som ledelsesværktøj Investering i løsninger med fordel for både forretningen og sikkerhed Sikkerhed opfattes som Guards, Guns and Gates En omkostning Et nødvendigt onde Manglende koordinering og prioritering Compliance vigtigste drivere: Lovgivning, forsikring og ansvar Sikkerhed i dybden Formaliserede processer Forretningscasen baseres på besparelser og hindring af tab Integrerede sikkerhedsløsninger Forebyggelse, detektion og reaktion Formaliseret incident response proces Reaktiv og taktisk sikkerhed

Hvad er ISO 27001? ISO 27001 er ikke bare en standard for et ledelsessystem ISO 27001 er også en generel proces, der hjælper med forankring, behovsanalyse og prioritering af it-sikkerheden Ledelsessystem for informationssikkerhed (ISMS) ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse Grundlaget er ledelsens commitment og accept Fokus er på forretningen og de forretningskritiske aktiver Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Procesorienteret (Plan-Do-Check-Act) Der lægges vægt på rapportering

Thank you For more information please contact kka@dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback