Managing Risk Enabling Growth. Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013

Relaterede dokumenter
Velkomst og praktiske informationer

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Sådan får du styr på de digitale risici

Security & Risk Management Summit

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Velkomst og praktiske informationer. Jacob Herbst Søborg, 4. juni 2013

Mobility-strategi Hvordan kommer du i gang?

Velkomst og praktiske informationer. Jacob Herbst Søborg, 23. maj 2013

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Modernisering af virksomhedens fundamentale sikkerhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Security & Risk Management Summit

Kom godt i gang med websikkerhed. Jacob Herbst Søborg, 14. maj 2013

Vejen til en succesfuld APT-sikkerhed. Jacob Herbst Søborg, 23. maj 2013

Risikostyring ifølge ISO27005 v. Klaus Kongsted

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Managing Risk, Enabling Growth i din virksomhed. Jacob Herbst, CTO, Dubex A/S Vejle, den 21. maj 2015

Forordningens sikkerhedskrav

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Sådan etableres en moderne sikkerhedsinfrastruktur, der kan håndtere et skiftende trusselsbilede

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Business casen ved implementering af Log Management. Claus Løppenthien, Hotel Vejlefjord, 21. maj 2015

Udfordringer. Udfordrende trusselsbillede. Teknologi. Avanceret infrastruktur og kompleksitet. Adaptability. Information er blevet strategisk

It-direktør Nils Lau Frederiksen

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Virksomhedernes cybertilstand

Er der hackere på linien?

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

MOC On-Demand Administering System Center Configuration Manager [ ]

Field & Network level Industrial Security to guarantee top performance in production

Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

KMD s tilgang til cybertrussler. Public

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Databeskyttelse - DLP Lækage af følsomme data udfordringer og krav. Jacob Herbst jhe@dubex.dk

Field & Network level Industrial Security to guarantee top performance in production

Interne og eksterne trusler Sådan håndterer vi trusler fra remote access/ad-hoc adgange fra medarbejdere og leverandører

OT Security. 17 november 2016

RÅDET FOR DIGITAL SIKKERHED

Cyber sikkerhed Process IT Cyber sikkerhed og risiko analyse

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Security & Risk Management Update 2017

Datatekniker med infrastruktur som speciale

Sikkerhed i applikationsudvikling

Workshop: Protecting data in a mobile environment. Jacob Herbst, CTO, Dubex A/S

MOC On-Demand Identity with Windows Server 2016 [20742]

Statusrapport. Rapportperiode: Juli Queue: Telefoni

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Hvad er Secure endpoints?

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Fart på SAP HANA. Sådan laver du analyser direkte på dine data i realtid. Copyright 2012 FUJITSU. Fujitsu IT Future, København, den 16.

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

Online kursus: Certified Information Security Manager (CISM)

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

Real-time Lokations Systemer for sundheds sektoren

CYBERTRUSLEN. Januar Lars Hermind Landechef Danmark

IT- SIKKERHED. De 20 CIS Kontroller til øget sikkerhed

MLC 2006 Implementering. Tim Engell Pedersen H.S.E.Q. Manager / DPA, herning shipping a.s.

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

SIEM - centralnervesystemet i indsamling og generering af it-indsigt

Virtual classroom: CCNA Boot Camp Accelerated

Fundamental sikkerhed: Dubex Managed Security Services. Dubex A/S, den 9. april 2015

Windows Server SBS/EBS. Claus Petersen Sr. PTS Core Infrastructure

Velkommen VI BYGGER DANMARK MED IT

En god Facebook historie Uddannelser og valgfag målrettet datacenterindustrien!?

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Security & Risk Management Update 2017

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

APT & Advanced Threat Protection - i et dansk perspektiv. Peter Sindt 28. august 2014

02.22 It-driftskapacitet Fra simpel serverkapacitet over Cloud til fuld outsourcing

Har det en værdi og hvordan kommer du i gang?

Executive Circle - Integration. Forretningsspor

Sikkerhed en løbende proces

APT & Advanced Threat Protection - i et dansk perspektiv. Peter Sindt & Henrik Larsson Søborg, 7. november 2013

F2 support rapport. Rapportperiode: februar 2017

Logning en del af en godt cyberforsvar

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe. Peter Sindt psi@dubex.dk Copenhagen,

Præsentation af Curanets sikringsmiljø

SKI årsmøde 2017 Outsourcing i praksis Cloud cases. Gorm Priem, 2. marts 2017

Valg af Automationsplatform

Workshoppens indhold. 2 minutter om ispoc

EU GDPR Endnu en Guide

Security & Risk Management Update 2017

Hvorfor opgradere til Microsoft 365? Få en kort introduktion til Microsoft 365 og de 7 største grunde til at opgradere

Hyper V og System Center løsninger

Din organisation og dine mennesker skal være med!

EZENTA BESKYTTER DANSKE VIRKSOMHEDER

Financing and procurement models for light rails in a new financial landscape

Arkitektur, der understøtter risikostyring i den digitaliserede virksomhed. Jan Johannsen SE Manager Nordics

Konkrete erfaringer - kan infrastrukturen beskytte mod Malware/APT? Og hvad gør man når der har været ubudne gæster?

Lovkrav vs. udvikling af sundhedsapps

APT & Advanced Threat Protection - i et dansk perspektiv

What s Our Current Position? Uddannelsesstruktur i AUE. What Can You Choose After DE5? Uddannelsesstruktur i AUE

XP til Windows 7. ved Anders Keis Hansen BALLERUP * ESBJERG * ODENSE * ÅRHUS * AALBORG * RØDEKRO * TLF

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

Transkript:

Managing Risk Enabling Growth Jacob Herbst, CTO, Dubex A/S Søborg, den 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013

Sikkerhedstendenser Udfordrende trusselsbillede APT angreb Dag-0 angreb Polymorfisk angreb Målrettede angreb Avanceret infrastruktur Konvergens på IP-netværk Virtualisering Mobile devices Organizations face an evolving threat scenario that they are ill-prepared to deal with.advanced threats that have bypassed their traditional security protection techniques and reside undetected on their systems. Øget kompleksitet Sikkerhed er komplekst Flere opgaver Manglende interne ressourcer og kompetencer Angreb stiger i kompleksitet og hyppighed Information er blevet strategisk Vores virksomheder bygger på information Kommunikation er vital Dataeksplosion Big data

Udfordringer Udfordrende trusselsbillede Teknologi Avanceret infrastruktur og kompleksitet Adaptability Information er blevet strategisk Forretningsmæssig risikostyring Management & drift

Information Security Management System (ISMS) Framework til etablering af proces for risikostyring og it-sikkerhed Sikrer en formaliseret proces omkring sikkerhedsarbejdet Proces omkring etablering af kontroller, der mindsker risikoen

SANS 20 Critical Controls List Of Critical Controls Fokus på simple kontroller med stor effekt Hver kontrol har anvisninger på implementering og hvordan der følges op Specifikt udarbejdet til offentlige myndigheder i USA, men er bredt anvendelige Retningslinjer for prioritering af sikkerhedsarbejdet Fokus på automatisering af kontroller 1 Inventory of Authorized and Unauthorized Devices 2 Inventory of Authorized and Unauthorized Software 3 Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 4 Secure Configurations for Network Devices such as Firewalls, Routers, and Switches 5 Boundary Defense 6 Maintenance, Monitoring, and Analysis of Security Audit Logs 7 Application Software Security 8 Controlled Use of Administrative Privileges 9 Controlled Access Based on the Need to Know 10 Continuous Vulnerability Assessment and Remediation 11 Account Monitoring and Control 12 Malware Defenses 13 Limitation and Control of Network Ports, Protocols, and Services 14 Wireless Device Control 15 Data Loss Prevention 16 Secure Network Engineering 17 Penetration Tests and Red Team Exercises 18 Incident Response Capability 19 Data Recovery Capability 20 Security Skills Assessment and Appropriate Training to Fill Gaps http://www.sans.org/critical-security-controls/

Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

Risikovurderinger eksempel Risikovurdering Beregnet risiko værdi Tilgængelighed Rang i dag Navn Fortrolighed Sikring af hjemmearbejdspladser BYOD 20 20 7,5 1 Sikker brug af Webmail 15 8 18 2 Mobile enheder 20 10 10 3 Firewall og VPN miljø 20 11,3 8 4 Antivirus 15 9 15 5 Webservices for kunder 15 12 12 6 Segmentering af netværket 15 12,5 5 7 Sikkerhed ifm. webtrafik 8 8 15 8 Administration af brugeridentiteter 15,8 6 4 9 SIEM og loghåndering 4 4 8 10 Trådløse netværk 4 4 4 12 Intregitet

Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Suppler den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.

Strategi i forhold til APT-angreb Strategies for Dealing With Advanced Targeted Attacks June 2013 Figure 1. Magic Quadrant for Network Access Control Defending Against Targeted Attacks Requires Lean-Forward Technologies and Processes Source: Gartner (June 2013) Targeted attacks, often called APTs, penetrate existing security controls, causing significant business damage. Enterprises need to focus on reducing vulnerabilities and increasing monitoring capabilities to deter or more quickly react to evolving threats. DAM = digital asset management; DAST = dynamic application security testing; DLP = data loss prevention; IPS = intrusion prevention system; NAC = network access control; SIEM = security information and event management

Hvordan løser Dubex dine sikkerhedsudfordringer? DUBEX-PLATFORMEN Mennesker Politik Proces Forretning CONSULTING FINANCIAL SERVICES INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR Teknologi RETAIL & CONSUMER PRODUCTS TRANSPORTATION

Vi tilpasser teknologier til dine forretningsbehov DUBEX-PLATFORMEN EXPERT SUPPORT CONSULTING FINANCIAL SERVICES TECHNOLOGY EVALUATION & SOLUTION DEVELOPMENT OPERATION AND MAINTENANCE LICENSE MANAGEMENT CONSULTING & PROJECT MANAGEMENT INDUSTRIAL INSURANCE IT & TELECOM MEDIA MEDICAL & BIOTECH PUBLIC SECTOR RETAIL & CONSUMER PRODUCTS CASE MANAGEMENT TRANSPORTATION

Hvorfor Dubex til it-sikkerhed? Hvilke ressourcer investerer Dubex i sikkerhed? Løbende opfølgning på det aktuelle trusselsbillede Løbende research af sikkerhedsmarkedet Studier af rapporter fra Gartner, Forrester m.fl. Interne test og benchmarking af markedsførende løsninger Feedback fra vores kunder Brede kompetencer, der dækker alle aspekter i forhold til it-sikkerhed Træning af teknisk personale - deltagelse i produktkurser og særlig træning Fokus på intern sikkerhed bl.a. via vores ISO 27001 certificering kombineret med over 15 års erfaring med it-sikkerhed

360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service

Risikobegrænsning Risikoen kan ikke fjernes, kun begrænses Sikkerhed kan ikke købes som produkt Sikkerhed opnås ved en blanding af Procedure & ledelse / (Management issues) Design, værktøjer og tekniske løsninger Løbende overvågning og vedligeholdelse Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem

Samarbejde sådan kommer du videre Sådan kan et stærkt samarbejde begynde 1. Vi afstemmer behov, ønsker og udviklingsmuligheder på et indledende møde 2. Dubex løsningsspecialister tager udgangspunkt i specifikke behov 3. Gennemførelse af PoC der giver overblik og synlighed 4. Workshop med lederteamet i din virksomhed Book et møde allerede i dag

TAK! For mere information kontakt jhe@dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback