mobila enheter och informationssäkerhetsrisker för nybörjaren
TRANSCRIPT
Mobila enheter och
informationssäkerhetsrisker
för nybörjaren
Marcus Larsson
20 maj, GRC 2015
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har fyra år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Agenda
• Bakgrund och statistik
• Varför syna mobil säkerhet?
• Hur går man till väga?
• Hemläxa: utmana din
organisation
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Om mig
• Bakgrund som IT-revisor och
GRC-konsult inom offentlig
sektor, finansiella sektorn, retail,
med flera.
• Tjänsteområdesansvarig för
informationssäkerhet och CISO
på Transcendent Group.
• Granskare och rådgivare kring
informationssäkerhet och
IT-säkerhet.
• CISA, CISM, CISSP, CRISC,
CEH, ITIL-certifierad.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Varför syna mobil säkerhet?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Riskbilden
Användning av mobila enheter har varit, och
fortsätter att vara en källa till säkerhetsincidenter.
Centrala riskområden är:
• Brist på lämpliga styrande principer, procedurer
och kontroller i samband med hantering av
mobila enheter.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
0%
10%
20%
30%
40%
50%
60%
2013 2015
Antal personliga enheter som lagrar företagsdata
Personliga enheter anslutna till företagsnät
Bakgrundsinformation och statistik
Ny studie genomförd i fem länder
visar:
• 56% av tillfrågade uppger att
antalet personliga enheter som
lagrar företagsdata ökat från 37%
2013 till 56% slutet av 2014.
• 95% tampas idag med utmaningar
av personligt ägda enheter som är
anslutna till verksamhetens nätverk
(BYOD).
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
Bakgrundsinformation och statistik
• Antalet mobila enheter anslutna till
företagsnätverk växer.
• Säkerhetsincidenter kopplade till
mobila enheter ökar, och så även
kostnaden att fixa problemen.
• 82% av tillfrågade säkerhetsexperter
tror att mobila säkerhetsincidenter
kommer fortsätta öka.
• 64% uppger att kostnaden för att
avhjälpa mobila säkerhetsincidenter
ökar.
• 42% av tillfrågande i företagsledningen
uppger att en mobil säkerhetsincident i
regel kostar mer än $250.000
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
60%
62%
64%
66%
68%
70%
72%
74%
76%
2012 2013 2014
Personliga enheter anslutna till företagsnät
Personliga enheter anslutna till företagsnät
Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
Hur går man till väga?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Att syna mobil
säkerhet• ansats, riskanalys/
avgränsningar/syfte
• policy och riktlinjer
• riskanalyser
• enhetshantering
• tekniska kontroller
• administrativa kontroller
• säkerhetsmedvetande och utbildning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Riskbaserad ansats
• Varför har frågan dykt
upp?
• Inträffade incidenter?
• Nya lagkrav på
informationssäkerhet?
• Verksamhetsrisk – Finns
ett starkt beroende av
mobila enheter idag?
• Diskutera med
ledningen.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Riskbaserad ansats}
Policy & Riktlinjer
• Lämpligt utformad policy:
– Dataklassificering
– Godkända enhetstyper och säkerhetskrav
– Centrala processer för hantering av enheter
• Riktlinjer för hantering och användande
• Uppdaterade och relevanta rutiner och instruktioner
• Översyn årligen och på förekommen anledning
• Löpande riskanalyser
• Ledningens engagemang
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Policy
Riktlinjer
Rutiner och instruktioner
Plan
Do
Check
Act
Vad är viktigast?
värdeskapande kostnadseffektiv
riskmedveten regelefterlevande
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Regelbundna riskanalyser
• Risker kopplade till mobila enheter identifieras och hanteras
löpande
• Periodiskt återkommande rapportering till ledningen
(minst årligen)
• Riskregister och uppföljning av åtgärder
• Ledningens förståelse och engagemang
• Verksamhetsrisker och rätt nomenklatur
• Finns relevanta KRI:er identifierade idag?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Administration och teknik,
det där sköter väl… IT?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Inte riktigt så enkelt
Operativsystem- och databasplattformar under flera
system
Processer sträcker sig över flera system, kostnadsställen
Data finns i flera system och byter värde och kravbild längs
medvägen
Verksamhetsmål och kostnadsställen
Informationen i centrum
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
}--------------------------------
vem äger risken?
+ vem ombesörjer?
+ intern politik( )
^2
Administrativa kontroller
• Tillämpliga kontroller i alla
processer
• Ansvar, roller och rutiner
• Vem äger systemen, processen
och informationen?
• Vem äger risken?
• Avsteg från riktlinjer
Behörighetshantering
Systemutveckling
Ändringshantering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Generella IT-kontroller}
Tekniska kontroller 1/3
Behörighetsstyrning
• Dataklassifikation
• Tillgång till särskilt känslig information
• Autentisering (PIN, komplex, stark/svag)
Skydd mot dataförlust
• Spårning av enheter (om tillämpligt/lagligt/etiskt)
• Fjärrövervakning och kontroll
• Regler för överföring/delning av data
• Synkronisering mot molnet
• Inkoppling av flyttbar media som ex. USB-enheter
• Data Loss Prevention (DLP)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Tekniska kontroller 2/3
Kryptering
• Dataklassifikation
• Krypterad lagring och överföring
• Centralt hanterad
• Avvikelser upptäcks, hanteras och incidentrapporteras
Regler för överföring
• Policy och dataklassificering sätter kraven
• Vilken data får röra sig mellan olika zoner, och under vilka förutsättningar? Mellan olika applikationer, urklippshanteraren, nätverkszoner, lokala lagringsytor etc.
• Centralt hanterade kontroller (förhindrande och upptäckande)
• Tillämplig säkerhetsmekanik för informationens risk (VPN, IPSEC, SSL etc.)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Tekniska kontroller 3/3
Skydd mot skadlig mjukvara
• Malwareskydd (antivirus, antispionmjukvara etc)
• Begränsning av installation av appar (whitelist/blacklist)
• Verksamhetsunik applikationskatalog ”egen appstore”
• Container för känslig verksamhetsinformation
• Avsteg upptäcks och hanteras
Intrångsskydd
• Begränsad åtkomst mot verksamhetens infrastruktur
• Upptäckande kontroller
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Nått man kan vara säker på är
att hårddiskar kraschar, det
regnar på midsommarafton och
mobiler tappas bort…
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Enhetshantering
BOYD/CYOD? - Policy styr
Riskanalys innan nya enhetstyper tillåts
Kontrollmiljö - Begräsningar beroende på enhetstyp
Enrollment/derollment av enheter
Mobile Device Management-verktyg (MDM)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Säkerhetsmedvetande: hur stort
är problemet?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Olika utmaningar och exempel
Skifte i kontroll och kravställning (consumerization)
• Vem äger enheten?
• IT- ställde tidigare krav, nu gör användaren det.
• Säkerhetsuppdateringar sker nu av användaren.
• Var går gränsen mellan arbetsverktyg och privat leksak?
• Lägre krav på säkerhet och högre krav på användarvänlighet.
20 års lärdomar kan
ibland kastas vid
väggrenen.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ny teknik, samma dilemma
användar-vänlighet
säkerhet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Mer statistik
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
Nyligen utförd studie visar att:
• 87% av tillfrågade säkerhetsansvariga säger att vårdslösa anställda idag utgör ett större hot än cyberkriminella.
• 63% säger att anställda nyligen bidragit till högprofils säkerhetsincidenter.
• 92% säger att medarbetares korrekta beteende kunde förhindrat nyligen inträffade allvarliga säkerhetsincidenter.
Anställdas handlingar har den största negativa påverkan på mobil säkerhet
Fundera på följande, vad är sagt hos er?
• Vad får fotograferas med enhetens inbyggda kamera?
• Är fotografierna på styrelsens whiteboard krypterad på minneskortet?
• Synkroniseras jobbmaterial och fotografier till molnet och sen vidare
till exempelvis en ”time capsule” på landstället?
• Är det OK att låna ut Ipaden till barnen på väg till landstället?
• Är det OK att skicka runt Ipaden på en fest för att visa fiskebilder?
• Får man som anställd ansluta enheten till trådlösa okända nätverk
utomlands, exempelvis caféer och flygplatser?
• Varför är 4 siffrors kod för inloggning ok på mobiler medan det inte är
det på datorer? Vilka kompenserande kontroller finns i så fall?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Tone at the top
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Säkerhetsmedvetande
• En av de största riskerna för en organisations
informationssäkerhet är oftast inte en svaghet i den tekniska
kontrollmiljön.
• Handlingar eller underlåtenhet av anställda och annan personal
leder ofta till säkerhetsincidenter som:
– utlämnande av känslig information.
– utnyttjande av obefogad tillgång till känslig information utan
att följa lämpliga förfaranden.
– att inte rapportera observerade aktiviteter och händelser.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Säkerhetsmedvetande
• Viktigt att organisationer har ett program för säkerhetsmedvetenhet för att säkerställa att:
– De anställda är medvetna om vikten av att skydda känslig information och vad de ska göra för att hantera information på ett säkert sätt samt att minska risken för misskötsel gällande känslig information.
• Medarbetarnas förståelse för de organisatoriska och personliga konsekvenserna av felhantering känslig information är idag av avgörande betydelse för en organisations framgång.
• Frånsteg från regler upptäcks, åtgärdas incidentrapporteras. Disciplinära åtgärder bör vidtas vid grov oaktsamhet eller medvetna avsteg från regler. Återkommande problem områden hanteras strukturerat.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Säkerhetsmedvetande och utbildning
Awareness-utbildning:
• Alla anställda får grundläggande utbildning av hur att hantera mobila enheter och riskerna förknippade med dem.
• Fördjupad utbildning sker av personal vars hantering av och tillgång till information ställer ytterligare krav på kontroll och riskmedvetande.
• Utbildning vid anställning/mottagande av mobil enhet, årligen uppdatering samt vid förekommen anledning.
• Kompetensprov och krav på kvalifikationer finns etablerade.
• Utbildningen uppdateras löpande efter hotbild
• Återkoppling från riskanalyser och inträffade incidenter reflekteras i utbildningens utformning och fokus.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Vart är trenden på väg?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ytterligare mobilisering innebär ökad risk
Användningen av mobila enheter som faktiskt arbetsverktyg fortsätter att öka.
Arbete på distans sätter nya krav på framtida tjänster på mobila enheter.
Arbetsmoment såsom tidrapportering, fakturering och attestering börjar nu utföras via mobila enheter.
Således inte längre bara konfidentialitet som är viktigt utan även tillgänglighet och riktighet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Nu till er egen
hemläxa
1. Har ni tillförlitlig
riskhantering på er mobila
enheter idag?
2. Utbildning och
riskmedvetande, hur ser ert
program för detta ut idag
och imorgon?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
www.transcendentgroup.com