1

IT-Bossens værste mareridt Den Digitale kant

2

1Virksomheden DR

3

I en kælder……

1937- 45

1961 Der var engang….

4

Medierne smelter sammen i samme teknologi med større kompleksitet

2006 IP i alt – alle stederKomplekst – stabilt – fleksibelt - åbent

5

Medierne smelter sammen i samme teknologi med større kompleksitet

2006 IP i alt – alle stederKomplekst – stabilt – fleksibelt - åbent

6

Fælles systemer

Ingen produktion uden IT

Ingen udsendelse uden IT

Mange deadlines

3500 ansatte

7

2Risikobilledet nu

og i fremtiden

8

Traditionel risiko

Traditionelleløsninger

Heatmap 2011

9

10

- Internet Auctions

- Online Gambling

- Online Rental

- Peer-to-Peer Networks

- Social Networking

- Wi-Fi Connections

- Work-at-Home Offer

cs111112 11

cs111112 12

Din personlige spam rapportDenne liste indeholder de spammails, som er blevet sendt til din mailadresse, og efterfølgende blokeret, indenfor de sidste 24 timer. Ud fra hver blokerede E-mail i listen findes et link, så du direkte kan frigive ønskede spammails. Du vil kort tid efter modtagemailen i din indbakke. Frigiv spammails er muligt 1 gang pr. spammail, og skal foretages indenfor en periode på 7 dage.

TypeAfsender Emne Modtaget Frigiv

spam silicuo5847@inetia.pl ### Monthly Sale, cs! Exclusive 80% off ###

2010-03-

08

20:43:33

Frigiv

spam vicky27@yahoo.com MedicalStore******Percocet_Vicodin!!

2010-03-

08

10:51:17

Frigiv

spamac755468b-2b584289-748ac02d-

35@bounce.globasemail.com

En iPod Touch ligger och väntar på Carsten

Stenstrøm!

2010-03-

08

09:21:46

Frigiv

Rapport sendt fra DR's spam-filter. Få teknisk hjælp ved at ringe "5000".

spam nqx1996@yz.ru

Оптимизации

налога на

прибыль и НДС

2011-09-11

15:54:36Frigiv

spam

kiev-

1265@ua.faberlic.

com

Как выявить

внешнего

контрагента-

однодневку

2011-09-11

22:57:48Frigiv

Det flytter sig hele tiden

cs111112 14

15

qg@dr.dk 6ec7f872c27e64fb8d4530ef43295eb0 (endnu ikke knækket)

whh@dr.dk 4bf06fa17d20227400327c1ec793488a Dj3vHp

tsl@dr.dk 74776ae101181f124a025501b64a7b53 NPLouV

jfx@dr.dk 4e4b55e1cbef693bdbe3cfb9262600dc 59Vzwb

typ@dr.dk 9c65a9f5dcd70a7a76ddb0d43a24cd6c TpEqg

copl@dr.dk 072aab6e16b9baca79ae923db7c1001e Hd7beZ

hvon@dr.dk e2aa624107a2ee57aced711367a5f654 (endnu ikke knækket)

ivce@dr.dk 57e57a3dbef41e7b377bc2d721d06496 3uTgd2

axar@dr.dk a62b09f5caf0c11fbb5066229e10136f 7DqdkG

xbu@dr.dk 6359a928275d4388237210d0ae33d082 VWxgXh

hqla@dr.dk 206b3aa9f5012378ad2b5339bd98394f MWEmgv

oq@dr.dk 8a64ad1c467040df08c8c43de225b6e8 hCJJT

enn@dr.dk f50deeb74a141240cc5bf84f65206053 xPa8W

ny@dr.dk e5111814ccf7897ca2dfd44e63f4b6b8 kwAbFt

wpe@dr.dk a7e14ff2ec0c72792b92c1b8431bbaec kK2KwB

cz@dr.dk 64cb1638d1f6f15b31ce41a46b2f192f GNeJ4h

ejf@dr.dk bbb387d9a70f3126fe4862cf4555baa0 ZSphnd

rje@dr.dk f19c42af5fe2bbb5d43d804ff282ebea hSXzjJ

STRATFOR – forvansket i dagens anledning

De sociale medier er jo også cloud

16

17

• Det udfordrer

– Det er besværligt at etablere sikkerhedssetup

– Sikkerhedspolitikker

– Kildebeskyttelse er vigtig for en medievirksomhed

– Rettighedsbeskyttelse

– Kræver mere åbent miljø

• Windows 7-administrator?

18

”Stiltiende Sourcing ”

Er cloud et ”golfbanesyndrom”?

Forretningsmodel

http://www.youtube.com/watch?v=_JmA2ClUvUY

19

De næste 7 årDatabaser –Servere og noget netværk

Kapaciteter

• >1000 Servere

• Databaser –Peta- til Exa-byte

• Serverrum her og der og alle vegne

• 3000 medarbejdere det var der også i 1985…DR.DK og flere kanaler er kommet

• Blu... Og en masse andre

• >87.324 honorar”ansatte”

20

Udfordringer

• Ændret trusselsbillede

– 2 forskellige antivirus så var man dækket ind

– Nye trusler på web – mailforsvaret er blevet for stærkt

– ”Dagens tablet” fra PC – Telefon – Tablet – Telefon?

– ”BYOD”

• SQL injection - Defacing

• Mailadresser er meget offentlige – Det er ikke alle der ka´li´os.

• DTT – én til mange

• Streaming én til én

Strategi – tilgang i dag

• Sikkerhed må ikke begrænse brugerne i deres arbejde.

• Uddanne medarbejderne – Security awareness

– Håndbog – folder – afdelingsmøder

– Intranet

– Sociale medier

– Vi handler i virksomhedens navn

• Adfærd – adfærd –adfærd – og lidt teknik..

21

22

3Hvad er det værste

mareridt

23

Jeg vil bare have ro til at finde fejlen

Hvem i service har ansvaret?

Chefer:Jeg må hellere tage over og gøre noget, for de andre

gør det ikke

En grad af kaos

Tak til Kurt

Mareridtet er IKKE:

• ”En sender er brudt ned…”

• ”Virus på alle computere…”

• ”En serverpark er ude af drift….”

• ”Hjemmesiderne er defaced”

…. Johhh.. Det er slemt nok…. men

24

Mareridtet ER….

• ”Vi ved ikke hvad der er sket…”

• ”Til gengæld ved vi ikke hvordan vi får et overblik…”

• ”Vi tror nok data ligger i Europa eller et sted i Asien…….”

• … men vi har da en kontrakt med 256 KPIer, SLAer og et par revisorerklæringer

Dette er mareridtet - for vi har ansvaret !!

25

26

3Hvordan griber vi

udfordringen

Gode klassiske principper SKAL fastholdes ved cloudløsninger

27

Gæstenet

Internt net

WEB

Databaser -produktion

Brugeroplevelse

28

Netscaler

VPN

IDS

Det sku’ være så godt…………

DR

Streaming 195.137.195

29

”Endnu har teknikken ikke løst et ledelsesproblem – men det kan understøtte hvis man vælger de rette midler”

Tak til Bjarne Lønberg

cs111112 30

31

Sikkerhedsfoldere – Pixi-bøger har stadig deres gang på jord. Reklamér for jeres HELP-DESK – dér samles viden

32

33

Teknologisikkerhedspolitik

Teknologisikkerhedspolitik

Formål

• DR ønsker, med udgangspunkt i en systematisk afdækning og vurdering af risici, at opretholde og løbende udbygge et teknologisikkerhedsniveau på højde med de krav, som er relevante for en medievirksomhed (relevante krav fra sikkerhedsstandarderne ISO2700x (DS484) anvendes).

34

Teknologisikkerhedspolitik

Balanceret teknologisikkerhed i en medievirksomhed

• Sikkerhedsforanstaltninger skal tilrettelægges, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere for DRs virksomhed.

35

Teknologisikkerhedspolitik fra 2011

Nøgleord

• TILGÆNGELIGHED

• INTEGRITET

• FORTROLIGHED

• AUTENTICITET og UAFVISELIGHED

• FUNKTIONSADSKILLELSE

• UAFHÆNGIGHED AF NØGLEPERSONER

• KOMPENSERENDE KONTROLLER(freelance)

36

Relancer jeres sikkerhedskrav ved alle digitaliseringsprojekter

• Eksempel på opdeling af krav til udbud

• DRs generelle sikkerhedskrav

• DRs sikkerhedskrav WEB systemer

• DRs sikkerhedskrav vedrørende persondatalov

37

38

Saml kompetencer for at afklare konkrete krav til sikkerhedf.eks.

•Arkitekturchef•Afdelingschefer (WEB-APP)•Infrastrukturchef•Driftschef•IT-sikkerhedschef

39

Strategi – tilgang fremover - tror vi…..

• Større åbenhed

• Stadig mange interne systemer

• Interaktion med Apps m.m.

• Netværk og databasesystemer og grundsystemer stilles til rådighed. Klar selv resten eller .

• Sikkerhedsløsninger skal dække hele paletten

– Mail-web-app-klient -servere

40

41

42

43

Spørgsmål – gode ideer og forslag