Uddan din organisation i god digital adfærd Præsentation Offentlig Digitalisering 2016 – 17.03.2016Dorthe Gyldenkærne, CMO, Dubex A/S & Ivan Bergendorff, CSO, Dubex A/S

Dubex A/S

Managing risk –

Enabling growth

First mover

Største it-sikkerhedspartner i

Danmark

Selvfinansierende og privatejet siden

1997

Højt specialiserede it-sikkerheds-

eksperter

Eftertragtet arbejdsplads

Motiverede medarbejdere

Kvalitet

Service

Kompetence

Konsulent- og sikkerhedsydelser

lokalt og globalt

16. bedste

arbejdsplads i

Danmark

5. bedste IT-

arbejdsplads i

Danmark

Hændelser - Danmark

Menneskelig fejl kan være årsag til

cyberangreb mod kommunerAngreb som det, der har ramt Gribskov kommune, skyldes oftest menneskelige fejl -

men Danmark kan være i sigtekornet netop nu, mener ekspert.

Af Mads Allingstrup / 22. JAN. 2015 KL. 12.27

Mens Gribskov, Nordfyns og måske endnu flere kommuner netop nu kæmper med at slippe

fri af et nedrigt angreb mod deres IT-systemer, er der sansynligvis en eller flere ansatte i

kommunerne, der går rundt med røre øren

Ransomware-angreb skyldes nemlig oftest menneskelige fejl, hvor folk kommer til hente en

fil, de ikke skulle have hentet, eller klikker på et link eller en vedhæftet fil i en mail, der viser

sig at være inficeret.

Sådan lyder vurderingen fra direktør fra sikkerhedsorganisationen DK-Cert, Shehzad

Ahmad, der så sent som i sidste uge stod bag en rapport om danskernes IT-sikkerhed, hvor

Ransomware specifikt var nævnt som et stigende problem.

Udfordringer

Forretningskrav

Udfordrende

trusselsbillede

Medarbejdere

og kompetencer

Avanceret infrastruktur

og øget kompleksitet

Information er

blevet strategisk

Compliance - ISO27001

og lovgivning

Managing risk

Beskytte følsomme oplysninger for at

forbedre og opretholde

markedsposition og sikre overholdelse

af regulativer samtidig med en kontrol

af omkostningsniveauet

Enabling growth

Forbedre og sikre forretningens agilitet

ved at give hurtig og intuitiv adgang til

de rigtige informationer, værktøjer og

applikationer

Prioritering af sikkerhed

INFORMATION er blevet virksomheders vigtigste asset

CIO

It er grundlaget

for alle forretnings-

processer

Ledelsen og

bestyrelsen skal

beskytte værdien af

virksomheden

Udfordring:

Synliggørelse af den

risiko som it-

anvendelsen

medfører

Risikostyring skal

bruges til at beskytte

værdien af

virksomheden

Understøttelse af sikkerhedsprocessen

• Sikkerhed drejer sig i dag om vores proces og tilgang til at

• Risikostyre vores aktiver (Predict & Identify)

• Implementere passende afvejede kontroller (Prevent & protect)

• Opdage når vi bliver kompromitteret (Detect)

• Reagere hurtigt på en kompromittering (Respond & recover)

• Understøttelse med værktøjer og processer (Capabilities)

Predict &

identify

Prevent &

protectDetect

Respond &

recover

Security

capabilitiesRisk

management

Security

monitoring

Disaster

recovery

Incident

handling

Fundamental

security

Vulnerability

management

VisibilityThreat

intelligenceForensicContainment

Advanced

securityAnalytics

Hvad med det menneskelige ”operativsystem”?

Når den digitale verden oversættes til fysisk verden…

Vores brugere er konstant udsat

• Organiserede, fokuserede og finansielt motiverede hackere

• 100.000 nye malware-varianter hver dag

• 800 millioner phishing e-mails sendes hver dag

…og det handler om penge

Brug for mailadresser til spamming ellers phishing?

Cryptolocker/CTB-Locker/CryptoWall etc.http://malware.dontneedcoffee.com

Countrys

D

a

t

e

Udfordringen

Vores brugere udgør en risiko…

"Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking . . . Social Engineering is the single greatest security risk in the decade ahead."

Gartner

91% of data breaches start with a “spear-phishing”*

*research from security software firm Trend Micro

”79 procent af folk, der arbejder med

informationssikkerhed i Danmark,

oplever, at brugerne i deres

organisationer er den største

udfordring for sikkerheden!”DK CERT

Hvordan løses dette problem?

“Ansatte spiller en rolle i 9 ud af 10 sikkerhedshændelser.”

2015 DATA BREACH INVESTIGATIONS

REPORT - VERIZON

Ændret fokus på awareness vedholdende påvirkning af adfærd

Adfærdsmodeller

• Motivation

• Evne

• Nemt at gøre

Hvilke elementer bør inddrages?

CBT = Computer Based Training

Målsætninger for awareness-program

• Afmystificere problemstillinger

• Synliggøre trusler

• Øge vidensniveau

• Påvirke adfærd

• Skabe proaktivitet

• Opnå færre hændelser

• Øge sikkerheden

• Synliggøre værdien for den enkelte – også i privatregi

Klæde medarbejderne på

Viden

Hvad skal jeg gøre?

1

Evne

Hvordan skal jeg gøre

det?

2

Attitude

Jeg ønsker at gøre det!

3

Almindelig sund fornuft

Ansvarlig it-bruger

Du spiller en rolle

Værdifuld viden

19 års erfaring med sikkerhedsudfordringer

”79 procent af de danske sikkerhedsfolk oplever, at brugerne i deres organisationer

er den største udfordring for sikkerheden!” DK CERT

Onsite- & e-learning

Kick-off præsentation, plakater og brochurer kombineret med en

interaktiv, online platform sikrer medarbejderne viden om trusler og

god digital adfærd.

Dubex leverer en færdig uddannelsespakke, inkl. projektledelse

Quiz og rapportering

Start- og slutquiz dokumenterer medarbejdernes viden.

Resultaterne samles i en rapport, der giver dig overblik over

truslerne og anbefalinger til en prioriteret indsats

Udvalgte kunder

”Ledelsen ønskede med awareness-kampagnen at signalere, at vi tager it-sikkerhed

alvorligt, og at det er et fælles ansvar – og en del af vores daglige rutiner. Derfor

delte vi selvfølgelig også vores testresultater. Vi oplevede generelt en høj svarprocent,

så vi er overordnet rigtig godt tilfredse med forløbet og samarbejdet med

Dubex, der var gode til at lytte og give os det rigtige tilbud første gang.”

Søren Kromann forvaltningsdirektør i KOMBIT

Opsummering

• Manglende kommunikationsevner er den primære årsag til at de fleste awareness-programmer ikke hareffekt

• Nøglen til succes ligger i at få medarbejderen til at forstå sin rolle og værdien

• Ram medarbejderne på flere platforme med flere virkemidler

• Adfærd flyttes ikke gennem en kort kampagne, men kræver kontinuerligt fokus

Hvad skal du gøre, når du kommer hjem?

På mandag

• Identificér de 7-9 vigtigste temaer for din organisation over 12 måneder

Næste uge

• Arbejd på at få din ledelses opbakning – de er kulturbærere

• Sæt Kommunikation & Marketing i spil

Næste måned

• Integrér awareness i årshjulet – det stopper ikke!

Tilmeld dig på standen eller læs mere på

www.dubex.dk

Security & Risk Management Update 2016

• Ken Bonefeld-Nielsen, Head of Security and ACA department, Sony Mobile Communications

• Lars Romsø, CIO, T. Hansen

• Lena Bundgaard Mortensen, Senior Consultant, Region Midtjylland

• Peter Winkel Madsen, it-sikkerhedsansvarlig, Danish Crown

• Keld Norman, Security Consultant, Dubex Incent Response Team

• Jan Johannsen, SE Manager, Norden & Benelux, Check Point

Deltag den 12. maj i Horsens og hør bl.a.:

• Emner:

• Digital risikostyring - hvordan opnår du balancen mellem risici og sikkerhed

• EU-persondataforordningen og dens praktiske konsekvenser

• Beskyttelse af cloud-baseret infrastruktur

• Managed Security, Security Operations & Analytics samt Incident Response

Møde os på stand 41 – og få en italiensk is!

Spørgsmål ?