pcty 2012, de juridiske og ledelsesmæssige aspekter ved byod v. jørgen sørensen fra deloitte
DESCRIPTION
Præsentation fra PCTY 2012 v. Jørgen Sørensen fra DeloitteTRANSCRIPT
© 2012 Deloitte.
Bring Your Own Device - de juridiske og ledelsesmæssige aspekter
i et sikkerhedsperspektiv
Jørgen Sørensen
22 may 2012
© 2012 Deloitte.
Jørgen Sørensen
Partner i Deloitte – Enterprise Risk Services
Mail: [email protected] / mobil +45 2331 8995
24 års praktisk erfaring med it-revision og sikkerhedsrådgivning
Er certificerede CISA, CISM CISSP, CGEIT, CRISK
Er fungerende Informationssikkerhedschef i 2 store danske organisationer:
• 3F - Faglig Fælles Forbund
• Københavns Lufthavne
Er ansvarlig for Deloittes Cyber Security Services i Danmark og medlem af
Deloitte global Cyber Security Team
Arbejder bl.a. med reorganisering og transformering af sikkerhedsfunktioner
samt sikkerhedsrådgivning for en lang række stor private og offentlige
virksomheder.
© 2012 Deloitte.
Bring Your Own Device – BYOD
- But don’t Bring Your Organisation Down
3
Bring Your Own Device er den voksende trend, hvor
medarbejderne bruger deres eget foretrukne it-udstyr i
stedet for det virksomheden stiller til rådighed.
• Hvorfor BYOD nu ?
• BYOD i et sikkerhedsperspektiv
• 3 udfordringer
• Løsningen ?
© 2012 Deloitte.
Bring Your Own Device - En fordel for brugerne og virksomheden
4
Transport
-abel
Høj-
funktionel
Hurtig
udvikling
Højere
fleksibilitet i
arbejdet
Højere bruger-
tilfredshed
Besparelser
på udstyr
Den mest
effektive
teknologi
benyttes
Generation-z også kaldet ”digital natives” er nu
ankommet på arbejdsmarkedet.
© 2012 Deloitte. Presentation title 5
BYOD i et sikkerhedsperspektiv
© 2012 Deloitte. Beslutsomhed
Raff
inem
ent
Tilfældig
opdagelse Insider ’Script kiddy’
Forsmået
ex-
medarbejder
Hacktivism
Forsmået
kunde
Business
partner
Leverandører
Enlig/hobby
hacker
Konkurrenter
Malware
Cyberterror
Hacker-
kollektiver
Organiseret
kriminalitet
Stats-
sponsoreret
cyber warfare
Cyberkriminelle - Aktørerne
© 2012 Deloitte. 7
Sikkerhedsdilemmaet
Central IT Decentralisering Web-
enabling Cloud Device-
enabling
Adgang til data
Teknologisk udvikling
Høj
Lav
BYOD
Kontrol med
sikkerheden
© 2012 Deloitte.
Konkret eksempel – Brug af i-cloud
8
BYOD gør det svært
at kontrollere
medarbejderens
brug af Cloud-
services
Øget risiko for, at
virksomhedens data
ender ubeskyttet i
skyen.
Ansvaret for data
er stadig hos
virksomheden,
men kontrollen er
nu begrænset.
Awareness må
dække ind, hvor
kontrollen ikke
er tilstrækkelig.
© 2012 Deloitte. Presentation title 9
3 udfordringer
© 2012 Deloitte.
BYOD - nye udfordringer ?
10
Tekno-
logiske
udfordringer
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske
udfordringer
Styringsmæssige
udfordringer
© 2012 Deloitte.
Juridiske udfordringer - hvem ejer data?
11
Ejerskab af selve
enheden er ikke
ensbetydende med
ejerskab af data!
Så længe der tillades
et mix af data vil der
være udfordringer!
Er det muligt at skelne
mellem virksomhedens
data og medarbejderens
data?
Under det gamle
paradigme var
hovedparten af data
arbejdsrelaterede –
I en BYOD kontekst
kan det nemt svinge
til den anden side.
Tekno-
logiske
udfordringe
r
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske udfordringer
Styringsmæssige
udfordringer
© 2012 Deloitte.
Eksempler på juridiske udfordringer - skift i ejerskab/rettigheder
12
Må
virksomheden
slette data ved
mistanke om
misbrug?
Må
virksomheden
skaffe sig
adgang til data?
Må
virksomheden
løbende føre
kontrol med
brugen af
enheden?
Må enheden
inddrages ved
mistanke om
misbrug?
Tekno-
logiske
udfordringe
r
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske udfordringer
Styringsmæssige
udfordringer
Større risiko for
informationstab
Større risiko for
brud på love og
regler
Tab af
kontrol
Hvem styre
licens-
rettigheder?
© 2012 Deloitte.
Privacy udfordringer - kan virksomheden aftale sig ud af problemstillingen?
13
Tekno-
logiske
udfordringe
r
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske udfordringer
Styringsmæssige
udfordringer
– men det kræver
klart samtykke og
aftale
Må virksomheden slette
data ved mistanke om
misbrug?
Må virksomheden
skaffe sig adgang til
data?
Må virksomheden
løbende føre kontrol
med brugen af
enheden?
Må enheden inddrages
ved mistanke om
misbrug?
Ja
© 2012 Deloitte.
Teknologiske udfordringer - flere forskellige enheder og operative systemer
14
Tab af
kontrol
Hvilke anti-virus
installation?
Hvordan låses/
wipes enheden
ved misbrug?
Datasikkerhed?
Hvilke 3. parts
applikationer
installeres?
Text
Større risiko for
informationstab Hvilken
adgangskontrol?
Tekno-
logiske
udfordringe
r
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske udfordringer
Styringsmæssige
udfordringer
Større risiko for
brud på love og
regler
© 2012 Deloitte.
Eksempler på styringsmæssige udfordringer - som resultat af de nye udfordringer
15
Retningslinjer for
brug af
enheder?
Hvordan skal
nye trusler
identificeres?
Hvordan
håndteres
bortskaffelse af
enheder?
Hvordan
kontrolleres
tekniske
løsninger i
praksis?
Behov for nye
styrings-
mekanismer
Tekno-
logiske
udfordringe
r
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske udfordringer
Styringsmæssige
udfordringer
© 2012 Deloitte.
Implementeret Best Practice indenfor tekniske sikkerhedsforanstaltninger og awareness i virksomheden .
Entydig forståelse og gode incitamenter for overholdelse af sikkerhedskravene i virksomheden.
Effektiv sikring af virksomhedens data, uanset hvor de behandles ved anvendelse af teknologi.
Ledelsesmæssig forståelse for betydningen af risikobasered og effektiv sikkerhed
5
Sikkerhedsadministrationens modenhed
Anvendelse af ISMS.
Risikovurderingen er et ledelsesværktøj
Formel sikkerhedsudvalg
Uddannelse og træning af medarbejderne i sikkerhed
4
Informationssikkerhedspolitik og retningslinjer
Risikovurdering af Informationsaktiv
Fuldtids sikkerhedsfunktion
Ledelsen har sikkerhedsforståelse
3
It-sikkerhedspolitik
Deltids sikkerhedsansvarlig
2
Sikkerhedsforanstaltninger
implementeres ad hoc
efterhånden som
sikkerhedsbehov opstår
1
Mennesker Processer Teknik
© 2012 Deloitte.
Effektivt styringssystem
17
Transformation af
styringsmekanismerne
for sikkerhed
Procedurer • Principbaseret regulering
• Principper for sikring af
egen enhed
Tekniske løsninger • Access Management.
• Kryptering
• Data Loss Prevention
• Logning/ IDS/IPS
Governance • Politikker
• Guidelines - for håndtering af
data og mobile enheder
• God databehandlingsskik
Awareness • Træning
• Holdningsundersøgelse
• Awareness programmer
Tekno-
logiske
udfordringe
r
Styrings-
mæssige
udfordringer
Teknologiske
udfordringer Juridiske udfordringer
Styringsmæssige
udfordringer
© 2012 Deloitte. Presentation title 18
Løsning
© 2012 Deloitte.
Løsning - BYOD er bare en udfordring
• BYOD kræver juridiske overvejelser og nye regler og krav
• BYOD kræver en mere principbaseret tilgang til reguleringen af
informationssikkerheden og mere awareness
• Sikring af data ved BYOD kræver anvendelse af sikkerhedsteknologi
• BYOD (og de nye sikkerhedsudfordringer) giver sikkerhedsfunktionen
mulighed for at skabe fokus på de effektive styringsmekanismerne:
• Ledelsesinvolverede risikostyring
• ISMS
• Awareness programmer
• Reel data sikkerhed
• Tekniske sikkerhedsløsninger
19
Behovet for en effektiv sikkerhedsfunktion er og vil være stigende i takt med
øget regulering, trusler og forretningsmuligheder
– så udnyt det
© 2012 Deloitte.
Spørgsmål ?
20
© 2012 Deloitte.
Deloitte Touche Tohmatsu Limited
Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert
medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i
Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.
© 2012 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited