Managing risk, enabling growth Jacob Herbst, CTO, Dubex 24. maj 2012
Danmarks førende it-sikkerhedsspecialist 1997 2006 2012 Managing risk, enabling growth Vi er altid på udkig efter muligheder for at styrke vores kunders forretning og understøtte vækst. Vi hjælper med at balancere dine forretningsmål og et acceptabelt risikoniveau for it-sikkerhed.
Præsentation af Dubex A/S Specialister i og laver kun it-sikkerhed siden 1997 50 medarbejdere i København og Århus - over 2/3 arbejder med teknisk it-sikkerhed Privatejet af de tre stiftere og medarbejderaktier Vækst og overskud alle år siden etableringen Omsætning 2011 ca. 85 mio. DKK Selvfinansierende - Dun & Bradstreet AAA Det største dedikerede it-sikkerhedsfirma i DK Løsninger og ydelser bl.a. inden for netværks- og indholdssikkerhed, fjernadgang, mobility og autentificering, samt loghåndtering og compliance Første og eneste ISO 27001 certificerede danske it-sikkerheds-leverandør Dubex, Aarhus Dubex, Copenhagen (from June 2012)
Danske og internationale kunder har tillid til os
Vi leverer og supporterer sikkerhedssystemer på mere end 500 lokationer i verden AFRIKA ANGOLA / MOZAMBIQUE / SYDAFRIKA / TANZANIA ASIEN- PACIFIC AUSTRALIEN / KINA / INDIEN / INDONESIEN / JAPAN / SINGAPORE / THAILAND / TURKMENISTAN EUROPA ØSTRIG/ CYPERN / TJEKKIET / DANMARK / FÆRØERNE / FINLAND / FRANKRIG / TYSKLAND / GRØNLAND / UNGARN / ITALIEN / KAZAKHSTAN / LETLAND / LITAUEN / LUXEMBOURG / HOLLAND / NORGE / POLEN / RUSLAND / SKOTLAND / SLOVAKIET / SVERIGE / SCHWEIZ / TYRKIET / ENGLAND LATIN AMERIKA ARGENTINA / BRASILIEN / CHILE MELLEMØSTEN BAHRAIN / DUBAI / OMAN / QATAR NORDAMERIKA CANADA / USA
Nyheder Dubex flytter den 8. juni 2012 til Gyngemose Parkvej 50, 2860 Søborg Nyt grafisk identitet House Warming Reception - onsdag den 20. juni kl. 15.00-18.30
Dagens program Kl. 14.00 Managing risk, enabling growth i 2012 Kl. 14.30 Kundecases: It-sikkerhed, der understøtter forretningen Kl. 15.00 Enterprise Security and Risk Management Kl. 15.30 Pause Kl. 15.50 Lodtrækning om Apple TV Kl. 16.00 Men in Black III Kl. 18.00 Tak for i dag
Præsentationer Vi vælger at skåne miljøet præsentationerne vil være tilgængelige på www.dubex.dk
Husk mobiltelefonerne Husk at sætte telefonen på lydløs
Insert video
Managing risk, enabling growth Jacob Herbst, CTO, Dubex 24. maj 2012
Aktuelle udfordringer Teknologi Proces Forretning
It er forretningen It er grundlaget for alt Recessionen sætter fokus på effektivisering Mission for it-afdelingen: Øge virksomhedens indtjening og vækst The Six Styles of the Money- Making CIO 1) Entrepreneurial CIO 2) Cost Optimization CIO 3) Revenue-Creating CIO 4) Business Innovation CIO 5) Business Development CIO 6) Public-Serving CIO Kilde: The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry Kilde: Gartner Executive Programs - Reimagining IT: The 2011 CIO Agenda
It-udfordringer Interne krav - forretningen Reduktion af omkostninger Grøn it Fleksibilitet Tilgængelighed og performance Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Work/life balance Consumerization og user empowerment Applikationer Web baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativ systemer og applikationer Trusler Organiseret kriminalitet Målrettede angreb - APT Tilfældige angreb og datatab Dag-0 sårbarheder Eksterne krav Compliance Forventninger fra kunder Aftaler og SLA er Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Telepresense Open Source
Opfattelsen af it-sikkerhed It-sikkerhedsbudgettet ofte procentdel af samlede it-budget Reaktiv sikkerhed Implicerer at sikkerhed er afgift Besværligt at beregne ROI hvad koster en afværget hændelse? It-sikkerhed som risikostyring Relateres til den forretningsmæssige risiko Optimering af omkostninger i forhold til potentielle forretningsmæssige tab It-sikkerhed som enabler fx understøtter forretningscase gennem nye indtægter It-sikkerhedsbudgettet bliver forretningsmæssigt begrundet Sikkerhed som en forretningsomkostning Guards, Guns and Gates Reaktiv sikkerhed Vigtigste drivere: Lovgivning Forsikring Sikkerhed og ansvar Sikkerhed som resultat af en strategi Mere proaktivt Formaliserede processer Forretningscasen baseres på besparelser og forhindre tab Sikkerhed som en forretningsenabler Sikkerhed indgår strategisk i forretningen Risk management som ledelsesværktøj Forøge produktivitet Investering i løsninger med fordel for både forretningen og sikkerhed
Ændret mål med it-sikkerhed Tidligere... Intern fokus Kun egne ansatte skulle have adgang Centraliserede værdier Data opbevares centralt i godt beskyttede it-fæstninger Forhindre tab Målet med sikkerhed er at forhindre brud på fortroligheden It bestemmer Den sikkerhedsansvarlige bestemmer, hvem der skal have adgang Teknisk fokus Tekniske krav bestemmer it-sikkerhedsinvesteringerne... fremover Ekstern fokus Leverandører, partnere og kunder har alle forskellige behov for adgang Distribuerede værdier Data er spredt på distribuerede servere, lokationer og afdelinger Skabe værdier Understøtte e-business, fremme produktivitetet og fleksibiliteten mv. Forretningen bestemmer Forretningsenhederne ønsker at bestemme, hvem der skal have adgang Cost-benefit fokus It-sikkerhedsinvesteringer skal begrundes forretningsmæssigt Efter inspiration fra Forrester Research, Inc
Drivere it-sikkerhed som enabler Teknologi Mobility Kommunikation Compliance Nye trådløse teknologier: 3G, 4G, WLAN, WiMax m.fl. Konvergens: Alt bliver netværksbaseret Unified Communication, VPN, VoIP, iscsi, Mobility, Web m.m. Virtualisering Cloud computing Bedre muligheder for mobilitet og fjernadgang Krav om hurtig reaktion SmartPhones og tablets Storage enheder, der kan indeholde følsomme data - SD og USB enheder Mange parter får adgang til netværket Mange indgange til netværket E-handel - Intranet, Extranet og Partnernet Adgang til interne data Økonomiske besparelser Regler, love og standarder der stiller krav til vores it-systemer SOX, EU-SOX, HIPAA, PCI, DS484 Krav til formaliseret change kontrol, krav til logkonsolidering osv. Sikkerhed som enabler
Den grænseløse organisation Anytime Anyone Anywhere Any device
Enheder/brugere (Mio. logaritmisk) Hvorfor er mobilitet interessant? State of the Internet Mobile Will Be Bigger Than Desktop Internet in 5 Years Morgan Stanley, april 2010 Computing Growth Drivers Over Time, 1960-2020E 1.000.000 100.000 Internet of things 10.000 Personal Computing 100 mia.+ 1000 100 10 1 Mainframe computing 1 mio.+ Mini Computer 10 mio.+ 100 mio.+ Desktop Internet 1 mia.+ Mobil Internet 10 mia.+ Hver ny cyklus: Mere processorkraft Bedre brugerinterface Mindre fysisk størrelse Lavere priser Flere services Seneste cyklusser har typisk varet 10 år 1960 1970 1980 1990 2000 2010 2020 Kilde: http://www.morganstanley.com/institutional/techresearch/
Consumerization Forbruger-orientering af vores it-systemer Consumer hardware used for work Consumer services used for work Bring your own device - (sammen-)blanding af private og firma enheder/anvendelse Medarbejdere anvender forbrugerløsninger til at udføre sit arbejde fx Facebook og Skype 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Source: Forrester Research 50% of respondents said they "customize their work environment moderately or aggressively" (including the use of unsanctioned tools) and will continue to do so. Source: Gartner Research poll Q. You received offers from two organizations that are equal in terms of opportunity and reputation Offer A: Higher salary, but no workplace flexibility Offer B: Lower salary, with workplace flexibility 34% 66% Kilde: The Cisco Connected World Report 2010
Trusler Mere sofistikerede angreb - APT Kriminalitet og profitdreven Cyber warfare og spionage Cyber terrorisme og hacktivisem Sandsynlighed Mål Metode Orme og botnet Datatab APT Tilfældige Internet brugere Kreditkort-håndterende virksomheder Regeringer og kritisk infrastruktur Simple angreb SPAM, orme og botnet Avanceret datatyveri Avancerede målrettede angreb spear phishing
Hændelser Stuxnet Avanceret malware inficerer atomprogram Omkostninger: Ukendte. RSA Via spear phishing kompromiteres information om SecurID tokens Omkostninger: USD 50-100 mio. Epsilon Oplysninger om 100.000 stjålet efter spear phishing angreb Omkostninger: USD 100 mio. USD 4 mia. Lockheed Martin Corporation Angreb på remote access løsning vha. stjålen SecurID infomration Omkostninger: Ukendte Sony Playstation Network Anonymous angreb - 100 mio. brugere kompromitteret Omkostninger: USD 13.4 mia. DigiNotar CA infrastruktur kompromitteret falske certifikater udstedt Omkostninger: Ukendt DigiNotar er erklæret konkurs
Sårbarheder og angribere Hvordan er vi sårbare? Hvem er angribere? Tekniske Sårbarheder og svagheder i software Fysiske Brand, lynnedslag, oversvømmelse m.m. Operationelle Fejlkonfiguration, fejlbetjening m.m. Menneskelige Social engineering, ubetænksomhed m.m. National interesse Økonomisk kriminalitet Hactivisem Personlig prestige Nysgerighed Vandal Størst i tab Uvelkommen gæst Flest resourcer brugt på beskyttelse Cyberwar IT-kriminelle Anonymous Størst i antal Synlige Inspiration: Microsoft Script- Kiddy Studerende Ekspert Specialist
Kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Store og stigende omkostninger ved datatab Krav om at tilføre forretningen værdi Dokumenteret sammenhæng mellem forretningsmæssig risiko og it-sikkerhed Budgetmæssige overvejelser Køb af services frem for produkter og investeringer Tilføre forretningsmæssige fordele optimering af forretningsprocesser, der kan retfærdiggøre forøgede budgetter Kilde: InformationWeek - 2011 Strategic Security Survey: CEOs take Notice
Udfordringer - organisering Dagens fundamentale problemer - Sikkerhed Mangler en klar strategi Ikke planlagt godt nok Fragmenterede sikkerhedsløsninger Mangler overblik over, hvad der egentligt skal beskyttes Delt mellem afdelinger intet centralt ansvar Reaktivt drevet af konkrete hændelser Konsekvenser Sikkerhed Huller i sikkerheden Besværlig administration og drift Høje omkostninger Manglende fokus Dårlig Return On Investment Driftsforstyrrelser Tabt troværdighed og kunder Løsninger, som ikke følger med truslerne Dobbeltarbejde Eric Ouellet, Gartner: What we have found is that organizations that spend more than seven percent of the IT budget on security are actually less secure because they use reactionary approaches. They end up with point solutions where there s no overarching theme and no integration. Kilde: http://www.securecomputing.net.au/news/123479,gartner-dispels-security-myths.aspx
Ledelsesmæssig fokus på it-sikkerhed Sammenhold og sammenkæd sikkerhedsinitiativer med virksomhedens øvrige mål, projekter og værdier Fokus på initiativer, der har ledelsesbevågenhed Fokus på forretningsværdi og muligheder for forretningen Formaliseret program til risikostyring og implementering af sikkerhed Mapning af risiko med klare performance målepunkter Sammenkæd risikoinitiativer med virksomhedens mål Undlad at bruge operationelle målepunkter i ledelseskommunikation Ledelseskommunikation med fokus på, hvad der virker og hvad der ikke virker It-sikkerhed forretningsdrivere Fremhæve virksomhedens værdier Mulighed for audit af processer Leve op til eksterne krav om compliance Opfylde branchestandarder Fremme ønsket intern opførsel Beskytte mod tab af følsomme data Beskytte mod fejl o.a.
Kilde:http://luizfirmino.blogspot.com/2011/08/business-case.html
Risikostyring Sikkerhed er altid et spørgsmål om prioritering Kan investering i sikkerhed betale sig? Beslutninger baseres på en vurdering af risici Mål: at optimere risikoen ikke minimere den Velbegrundet beslutning om foranstaltninger Velbegrundet fravalg af foranstaltninger Risikominimering Pansret glas i vinduerne Panserplader i loft og vægge Pigtrådshegn Aktiv brandslukning Vagter Kameraovervågning Panikrum Risikooptimering Lås på døre og vinduer Brand- og røgalarm Tyverialarm Brandslukker The New Realities of Risk Management Transparency and defensibility of risky decisions are more critical than ever. Risk must be measured and addressed as part of the business process. All managers and leaders need basic skills in risk management. Risk management is an investment decision tool. Eliminating all risk is not possible or desirable. Risk treatment options include mitigation, contingency planning, transfer and acceptance. Risk and the accountability for risk are, and should be, owned by the business units creating and managing those risks. Risk management is an ongoing effort. Risk assessments are valid for a point in time, because risk factors evolve over time. Risk management must be baked into the thinking of decision makers and into the governance of the enterprise. Risk decisions are more complex and impactful than in the past. With instant communication and processes, organizations must act quickly and knowledgeably to threats and opportunities. Continuous monitoring and reporting of risk are becoming critical business processes. The 2011 Gartner Scenario: Current States and Future Directions of the IT Industry
Mål, planlæg og gennemfør Foretag en risikovurdering og en GAP-analyse Hvad har værdi for os, hvad er risikoen og hvor har vi problemer? Sammenlig fx i forhold til anbefalingerne fra SANS Sæt fokus på de steder, hvor der er huller i sikkerheden Dokumentér hvilken forbedring af sikkerhedsniveauet en bestemt ændring medfører Giv ledelsen valgmuligheder mht. hvad de vil prioritere Fokus på områder der giver en hurtig gevinst Udarbejd en langsigtet strategisk plan Prioritér projekterne efter omkostninger og værdi for organisationen Brug en risikovurdering til at adressere manglende budget -understøttelse Sørg for løbende rapportering Gap 1 2 3 4 5 6 7 Projekt 1 Projekt 2
Sikkerhedsbrud - mennesker Uvidenhed Interne brugere kender ikke/forstår ikke sikkerhedspolitikken Manglende forståelse af konsekvenserne af egne handlinger Manglende forståelse af elementær sikker it-håndtering Ligegyldighed Interne brugere kender sikkerhedspolitikken, men er ligeglade med den Manglende omtanke der sker jo nok ikke noget Ignorering af sikkerhedspolitikken Forsøg på at gøre ens hverdag lettere Kopiering af data Etablering af egne lokale trådløse netværk Ondskabsfuldhed Utilfredse ansatte med fuldt overlæg Personlig økonomisk vinding Personlig tilfredsstillelse IT SIKKERHED MENNESKER FYSISK SIKKERHED
Hot topics 2012 Mobilitet & Consumerization SCADA Virtualisering Cloud Computing Patch management Compliance & loghåndtering Optimering
Vores fokusbrancher Rådgivningsvirksomheder Medier Den Finansielle Sektor Medicinal & Biotek Produktionsvirksomheder Den Offentlige Sektor Forsikring & Fagforeninger Retail It & Tele Transport
Kendskab til de enkelte branchegruppers særpræg giver os et godt udgangspunkt for kompetent rådgivning
Udfordringer baggrund for Dubex platformen Kompleksitet Mange produkter og mange konfigurationer Management Håndtering af mange ændringer Adapterbility Behov for hurtig tilpasning og ændringer Forretningsmæssig risikostyring Tilpasning af sikkerhedsniveau til behov Trusler Konstant ændret trusselsbillede Teknologi Cloud, virtualisering, mobility
Vi tilpasser teknologier til dine forretningsbehov DUBEX-PLATFORMEN Teknologi Proces Forretning
Vi tilpasser teknologier til dine forretningsbehov DUBEX-PLATFORMEN
Vurdering af teknologier Vi er på forkant med den teknologiske udvikling, så du ikke behøver være det Evaluering af aktuelle produkter og leverandør-roadmaps Løsninger, der kombinerer forskellige produkter optimalt Tilbyder forskellige produkter i samme løsningskategori Mere relevant metode end best-of-breed -anbefalinger fra analytikere It-sikkerhed minimerer risici og understøtter vækst Vores fabrikker kører altid, og vi accepterer ikke nedetid. Jeg kan altid regne med Dubex til rådgivning, implementering og hurtig support på de rette løsninger. Deres konsulenter er proaktive og har både en dyb og bred viden, der skaber værdi for mig, og sparer mig for en masse tid. Dubex er rigtig stærke til at forudsige behov, som vi endnu ikke kender. Det kan være konsolidering af en log, produkter til effektivisering af vores processer eller en ny metode til afstemning af vores sikkerhedsniveau. Dubex kommer proaktivt til mig med optimerende tiltag, der sparer mig både tid og penge. Morten Bro, Global IT Operations Manager, Rockwool Verdens største producent af unik stenuld Behov for at beskytte forretningshemmeligheder (f.eks. egenudviklende produktionsmetoder) 24/7-produktion kræver sikkerhed for oppetid på systemer
Udvikling af løsninger Dubex har kompetence indenfor alle væsentlige it-sikkerhedsområder, der understøtter din forretning Compliance & risikostyring SIEM, security information & event management Autentifikation & identifikation Netværkssikkerhed & fjernadgang Indholds- & serversikkerhed Databeskyttelse Mobil & endpoint-sikkerhed Tilgængelighed & optimering Topmoderne it-sikkerhed understøtter traditionel forretning It-sikkerhed er et nicheområde, og med Dubex specialister får vi et helhedsbillede af sikkerhedssituationen samt løbende rådgivning i forhold til vores specifikke udfordringer. Vi er i øjenhøjde og bliver altid mødt med gode løsninger, hjælp og rådgivning på forkant, og hurtig bistand når vi har behov Claus Andersen, CIO hos Kopenhagen Fur. Verdens største auktionshus for skind Traditionelle handelsform men stor vægt på it og itsikkerhed
Support & onlinetjenester Mindre administration, optimeret ydeevne Support teams supplerer din virksomheds interne ekspertise Samlet licensadministration ét sted Sagsstyring via dokumenterede processer og online-værktøjer Serviceniveauer kan justeres løbende ud fra dine behov Vækststrategi med it-sikkerhed som katalysator Vi fik anbefalet Dubex fra en rådgiver, og i starten brugte vi dem på drift og firewall. Derfra er samarbejdet vokset med vores behov. Vores sikkerhedsbehov ændrer sig hele tiden, og vi inddrager altid kvalificeret rådgivning fra Dubex i vores beslutninger. Vores dygtige it-folk er i øjenhøjde med konsulenterne fra Dubex, der altid leverer tilfredsstillende tekniske løsninger, spidskompetencer og erfaring, som det ikke giver mening at opbygge internt. Lars Henrichsen Information Security & Quality Control Manager, COWI International og rådgivende ingeniørvirksomhed med over 6000 medarbejdere Etablerer løbende kontorer og medarbejdere i hele verden Arkitekter, ingeniører og kunder har ofte behov for at udveksle opdateret data
Drift og driftsstøtte Dubex er din forlængede arm Drift og overvågning af sikkerhedsløsninger Kompetence Fleksibel service Værner om kundedata og sikrer høj oppetid Vi outsourcer it-sikkerhed til Dubex for altid at have specialistviden på hånden. Udfordringer i forhold til it skifter hele tiden, og det ville være meget omkostningsfuldt, hvis vi skulle have disse kompetencer internt. Vores Dubex konsulenter har fingeren på pulsen og sikrer, at vi hele tiden er opdateret og ikke foretager ændringer i vores systemer, der åbner en dør op for uvedkommende. Det er en langt bedre forretning for os at oursource Claus Jørgensen, it-chef, Kommunekemi. Kommunekemis kunder indberetninger om affald kan røbe virksomheders forretningshemmeligheder Behov for at sikre it-systemerne og de følsomme oplysninger It-sikkerhed er kritisk for forretningen. Hvis it-systemer er nede, vil logistikken omkring affaldsafhentning besværliggøres både hos kunderne, transportører og Kommunekemi
Konsulentbistand & projektledelse Unik ressource som supplement til din interne it-afdeling Forbedring af sikkerhed, effektivitet, administration eller compliance Fra rådgivning til mere praktiske opgaver i form af varetagelse af installationer, opgraderinger og test Omfattende tekniske certificeringer og praktisk erfaring Seminarer for både it-afdelinger og ledelser Ingen spildtid med it-sikkerhed Vi skal være førende på at rense spildevand. Dubex sørger for, at vi lever et roligt liv på vores netværk uden virus og hackere på trods af hjemmearbejdspladser, mobile enheder, arbejdsgrupper, leverandører og konsulenter på netværket. Det er guld værd for mig at have rutinerede eksperter fra Dubex til sparring og rådgivning. De kan hurtigt prioritere og igangsætte en opgave i forhold til mine behov. Carsten Thirsing, IT Manager, Lynettefællesskabet. Danmarks største spildevandscenter Al teknik er computerstyret og overvåges døgnet rundt for at sikre et godt vandmiljø i Storkøbenhavn Ejes af 8 kommuner; Frederiksberg, Gentofte, Gladsaxe, Herlev, Hvidovre, København, Lyngby- Taarbæk og Rødovre
Konsulentbistand & projektledelse DUBEX LEVERANCE MODEL Sikker strategi i Vesthimmerland Kommune Med en sikkerhedsanalyse fra Dubex har vi på et kvalificeret grundlag kunnet prioritere og strukturere processen med at forbedre informationssikkerheden. Derudover har vi fået konkrete forslag til vores videre arbejde. Processen kører fint, og rapporten danner stadig grundlag for vores prioritering af indsatsområder. Pia Risgård, Afdelingsleder i Administration og It, Vesthimmerlands Kommune. Målet er at sikre kommunen og dens borgere mod sikkerhedsbrud En analyse med konkrete anbefalinger fra Dubex skaber grundlag for at prioritere og strukturere denne proces.
Thinking like we are part of our clients businesses is what sets us apart.
Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretnings understøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Directive Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedre forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger
Konklusion Organisering og management It er forretningen så inddrag den It-sikkerhed er en forretnings enabler Risikostyring er omdrejningspunktet Tekniske områder Formaliseret proces for sikkerhedsstyring Defence in depth er fortsat aktuelt Security Management er et krav "Security is not a product, it's a process Bruce Schneier
Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem