Download - Dorthe Gyldenkærne og Ivan Bergendorff
Uddan din organisation i god digital adfærd Præsentation Offentlig Digitalisering 2016 – 17.03.2016Dorthe Gyldenkærne, CMO, Dubex A/S & Ivan Bergendorff, CSO, Dubex A/S
Dubex A/S
Managing risk –
Enabling growth
First mover
Største it-sikkerhedspartner i
Danmark
Selvfinansierende og privatejet siden
1997
Højt specialiserede it-sikkerheds-
eksperter
Eftertragtet arbejdsplads
Motiverede medarbejdere
Kvalitet
Service
Kompetence
Konsulent- og sikkerhedsydelser
lokalt og globalt
16. bedste
arbejdsplads i
Danmark
5. bedste IT-
arbejdsplads i
Danmark
Hændelser - Danmark
Menneskelig fejl kan være årsag til
cyberangreb mod kommunerAngreb som det, der har ramt Gribskov kommune, skyldes oftest menneskelige fejl -
men Danmark kan være i sigtekornet netop nu, mener ekspert.
Af Mads Allingstrup / 22. JAN. 2015 KL. 12.27
Mens Gribskov, Nordfyns og måske endnu flere kommuner netop nu kæmper med at slippe
fri af et nedrigt angreb mod deres IT-systemer, er der sansynligvis en eller flere ansatte i
kommunerne, der går rundt med røre øren
Ransomware-angreb skyldes nemlig oftest menneskelige fejl, hvor folk kommer til hente en
fil, de ikke skulle have hentet, eller klikker på et link eller en vedhæftet fil i en mail, der viser
sig at være inficeret.
Sådan lyder vurderingen fra direktør fra sikkerhedsorganisationen DK-Cert, Shehzad
Ahmad, der så sent som i sidste uge stod bag en rapport om danskernes IT-sikkerhed, hvor
Ransomware specifikt var nævnt som et stigende problem.
Udfordringer
Forretningskrav
Udfordrende
trusselsbillede
Medarbejdere
og kompetencer
Avanceret infrastruktur
og øget kompleksitet
Information er
blevet strategisk
Compliance - ISO27001
og lovgivning
Managing risk
Beskytte følsomme oplysninger for at
forbedre og opretholde
markedsposition og sikre overholdelse
af regulativer samtidig med en kontrol
af omkostningsniveauet
Enabling growth
Forbedre og sikre forretningens agilitet
ved at give hurtig og intuitiv adgang til
de rigtige informationer, værktøjer og
applikationer
Prioritering af sikkerhed
INFORMATION er blevet virksomheders vigtigste asset
CIO
It er grundlaget
for alle forretnings-
processer
Ledelsen og
bestyrelsen skal
beskytte værdien af
virksomheden
Udfordring:
Synliggørelse af den
risiko som it-
anvendelsen
medfører
Risikostyring skal
bruges til at beskytte
værdien af
virksomheden
Understøttelse af sikkerhedsprocessen
• Sikkerhed drejer sig i dag om vores proces og tilgang til at
• Risikostyre vores aktiver (Predict & Identify)
• Implementere passende afvejede kontroller (Prevent & protect)
• Opdage når vi bliver kompromitteret (Detect)
• Reagere hurtigt på en kompromittering (Respond & recover)
• Understøttelse med værktøjer og processer (Capabilities)
Predict &
identify
Prevent &
protectDetect
Respond &
recover
Security
capabilitiesRisk
management
Security
monitoring
Disaster
recovery
Incident
handling
Fundamental
security
Vulnerability
management
VisibilityThreat
intelligenceForensicContainment
Advanced
securityAnalytics
Hvad med det menneskelige ”operativsystem”?
Når den digitale verden oversættes til fysisk verden…
Vores brugere er konstant udsat
• Organiserede, fokuserede og finansielt motiverede hackere
• 100.000 nye malware-varianter hver dag
• 800 millioner phishing e-mails sendes hver dag
…og det handler om penge
Brug for mailadresser til spamming ellers phishing?
Cryptolocker/CTB-Locker/CryptoWall etc.http://malware.dontneedcoffee.com
Countrys
D
a
t
e
Udfordringen
Vores brugere udgør en risiko…
"Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking . . . Social Engineering is the single greatest security risk in the decade ahead."
Gartner
91% of data breaches start with a “spear-phishing”*
*research from security software firm Trend Micro
”79 procent af folk, der arbejder med
informationssikkerhed i Danmark,
oplever, at brugerne i deres
organisationer er den største
udfordring for sikkerheden!”DK CERT
Hvordan løses dette problem?
“Ansatte spiller en rolle i 9 ud af 10 sikkerhedshændelser.”
2015 DATA BREACH INVESTIGATIONS
REPORT - VERIZON
Ændret fokus på awareness vedholdende påvirkning af adfærd
Adfærdsmodeller
• Motivation
• Evne
• Nemt at gøre
Hvilke elementer bør inddrages?
CBT = Computer Based Training
Målsætninger for awareness-program
• Afmystificere problemstillinger
• Synliggøre trusler
• Øge vidensniveau
• Påvirke adfærd
• Skabe proaktivitet
• Opnå færre hændelser
• Øge sikkerheden
• Synliggøre værdien for den enkelte – også i privatregi
Klæde medarbejderne på
Viden
Hvad skal jeg gøre?
1
Evne
Hvordan skal jeg gøre
det?
2
Attitude
Jeg ønsker at gøre det!
3
Almindelig sund fornuft
Ansvarlig it-bruger
Du spiller en rolle
Værdifuld viden
19 års erfaring med sikkerhedsudfordringer
”79 procent af de danske sikkerhedsfolk oplever, at brugerne i deres organisationer
er den største udfordring for sikkerheden!” DK CERT
Onsite- & e-learning
Kick-off præsentation, plakater og brochurer kombineret med en
interaktiv, online platform sikrer medarbejderne viden om trusler og
god digital adfærd.
Dubex leverer en færdig uddannelsespakke, inkl. projektledelse
Quiz og rapportering
Start- og slutquiz dokumenterer medarbejdernes viden.
Resultaterne samles i en rapport, der giver dig overblik over
truslerne og anbefalinger til en prioriteret indsats
Udvalgte kunder
”Ledelsen ønskede med awareness-kampagnen at signalere, at vi tager it-sikkerhed
alvorligt, og at det er et fælles ansvar – og en del af vores daglige rutiner. Derfor
delte vi selvfølgelig også vores testresultater. Vi oplevede generelt en høj svarprocent,
så vi er overordnet rigtig godt tilfredse med forløbet og samarbejdet med
Dubex, der var gode til at lytte og give os det rigtige tilbud første gang.”
Søren Kromann forvaltningsdirektør i KOMBIT
Opsummering
• Manglende kommunikationsevner er den primære årsag til at de fleste awareness-programmer ikke hareffekt
• Nøglen til succes ligger i at få medarbejderen til at forstå sin rolle og værdien
• Ram medarbejderne på flere platforme med flere virkemidler
• Adfærd flyttes ikke gennem en kort kampagne, men kræver kontinuerligt fokus
Hvad skal du gøre, når du kommer hjem?
På mandag
• Identificér de 7-9 vigtigste temaer for din organisation over 12 måneder
Næste uge
• Arbejd på at få din ledelses opbakning – de er kulturbærere
• Sæt Kommunikation & Marketing i spil
Næste måned
• Integrér awareness i årshjulet – det stopper ikke!
Tilmeld dig på standen eller læs mere på
www.dubex.dk
Security & Risk Management Update 2016
• Ken Bonefeld-Nielsen, Head of Security and ACA department, Sony Mobile Communications
• Lars Romsø, CIO, T. Hansen
• Lena Bundgaard Mortensen, Senior Consultant, Region Midtjylland
• Peter Winkel Madsen, it-sikkerhedsansvarlig, Danish Crown
• Keld Norman, Security Consultant, Dubex Incent Response Team
• Jan Johannsen, SE Manager, Norden & Benelux, Check Point
Deltag den 12. maj i Horsens og hør bl.a.:
• Emner:
• Digital risikostyring - hvordan opnår du balancen mellem risici og sikkerhed
• EU-persondataforordningen og dens praktiske konsekvenser
• Beskyttelse af cloud-baseret infrastruktur
• Managed Security, Security Operations & Analytics samt Incident Response
Møde os på stand 41 – og få en italiensk is!
Spørgsmål ?