Hvornår er der økonomi i ITsikkerhed? Anders Mørk, Dansk Supermarked
Erfaringsbaggrund 2
Teoretisk tilgang 3
Den akademiske metode 4
Er det så enkelt? Omkostningerne er relativt enkle at estimere Men hvad med nytten af de enkelte tiltag? Kan vi rangordne sikkerhedstiltag efter hvor meget nytte de gør? 5
Hvad gør vi i praksis? Cost case i to varianter Udskiftning af eksisterende infrastruktur Investering i ny infrastruktur Business case 6
Eksempel på cost case Eksisterende infrastruktur der skiftes ud med nyere og billigere infrastruktur Multifaktorautentikering Hvilken løsning er billigst med samme funktionalitet? 7
Sammenligning af funktionalitet Eks. løsning Leverandør 1 Leverandør 2 Integration med AD Ja Ja Ja Integration med Citrix Ja Ja Ja Soft tokens Ja Nej Ja Tokens Ja Ja Ja SMS koder Nej Ja Ja Kodekort mv. Nej Nej Ja SMS modem Nej Ja Ja Hosted SMS løsning Nej Nej Ja Self service portal Nej Ja Ja 8
Omkostninger over tre år ved forskellige løsninger 350% 300% 250% 200% 150% 100% 50% 0% Eks. løsning Leverandør 1 Leverandør 2 9
Hvad så med ny infrastruktur? DS finansierer ting enten via budgettet eller via ekstra bevillinger Det enkelte projekt der har brug for noget nyt skal enten få det med i budgettet for næste år eller argumentere særskilt godt for en ekstra bevilling Ofte kan det enkelte projekt ikke udarbejde en business case for den nødvendige infrastrukturinvestering Eksempel: Public Key Infrastructure 10
Hadrians mur Holdt barbarerne ude af romeriget 11
Den kinesiske mur Beskyttelse mod stammerne fra nord og vest 12
Grænsen Fra en stat til en anden 13
Paskontrol For at komme ind i landet viser man sit pas 14
Analogien for en PKI - Pas i Danmark Justitsministeriet Borgerservice Pas 15
Et lynkursus i kryptografi - 1/3 Kryptering har eksisteret i tusinder af år Formålet med kryptering er typisk at beskytte fortroligheden af data En besked i klartekst Lorem ipsum dolor sit amet Krypteres med algoritmen SHA1 f.eks. til: 38f00f8738e241daea6f37f6f55ae8414d7b0219 Denne form for kryptering kaldes symmetrisk 16
Et lynkursus i kryptografi 2/3 I 1977 beskrev Rivest, Shamir og Adleman første gang en asymmetrisk krypteringsalgoritme Den asymmetriske kryptering kræver en nøgle til kryptering og en til dekryptering 17
Et lynkursus i kryptografi 3/3 Asymmetriske krypteringsalgoritmer kan ud over fortrolighed også sikre: - Integritet og uafviselighed 18
Det bliver hurtigt kompliceret Når man sender en krypteret og signeret e-mail 19
Og når man modtager 20
Der er brug for noget infrastruktur til at holde styr på de offentlige nøgler at udstede private nøgler at styre gyldighedsintervaller for nøglerne 21
Eksempel på en PKI Root CA Issuing CA User Certificate 22
Anvendelser af en Public Key Infrastructure Digitale signaturer dvs. elektronisk kontrakthåndtering Sikker e-mail Internet autentikering f.eks. for leverandører der skal gives adgang til DS-systemer IP sikkerhed f.eks. anvendelse af SSL/TLS i datatrafik mellem websites Smart card logon på en Windows desktop Kryptering af filsystem Trådløs autentikering via IEEE 802.1x Autentikering af netværksudstyr Autentikering af mobile enheder og/eller smartphones via SCEP Single Sign On på SAP platformen 23
Men, hvordan finder vi lige argumentet Show me the money Jerry Maguire 24
Vi låner lidt fra Lean Management Minimering af omkostninger Undgå ventetid 25
Business case - En pakkeløsning Projekt med nogle fornuftige besparelser + Nødvendig infrastruktur der er alment anvendelig = Bæredygtig business case 26
Eksempel på business case - Single Sign On Færre ServiceDesk sager relateret til nulstilling af password Gartner estimerer at 30% af alle ServiceDesk sager drejer sig om nulstilling af password Nulstilling af password koster ca. 125 kr pr. sag Mindre tidsforbrug ved logon Mere sikkerhed Kun én gul lap til et password 27
Eksempel på ROI kalkulation 28
Demo SAP Single Sign On i DS 29
Hvad har vi lært? Sikkerhed baseret på åbne standarder eller de facto leverandørstandarder er vejen frem X.509-certifikater Security Assertion Markup Language (SAML) Kerberos Det hjælper rigtigt meget på investeringslysten at man kan stable en business case på benene 30