Tom Engly - Deloitte

Finansagenda 2015
- Balancering af IT-sikkerhed og digital transformation
28. oktober 2015
Tom Engly, Koncernsikkerhedschef, Tryg
1
28. oktober 2015
Tom Engly
Koncernsikkerhedschef i Tryg
cyberpanser(@)gmail.com
Phone: +45 23212811
Tom Engly
Agenda
•
•
•
•
2
Cyber risk – Trusselsbilledet
Hvad og hvem er vi oppe imod?
Sikkerhedsniveauet – hvordan gør vi i Tryg?
Anbefalinger og “tag med hjem”
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Cyber risk – trusselsbilledet.
Ransomware
Drive by
attacks
Cyber
terrorism
Advanced
persistent
threats
Malware
Denial of
Service
Virus
Hacktivism
Trojans
Spear
Phishing
3
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Trusselsbilledet - Største Cyber sikkerhedsudfordringer 2015
4
Ransomware
Kryptering af data, der kun
kan ”løslades” ved at
indbetale et beløb til de
kriminelle
Drive-By angreb og Patch
Management
Inficerede websider, hvorved
Egne sårbare systemer
rammes
Spearphishing
Rafinerede angreb mod
topledelser og bestyrelser
primært som e-mails
eller tilsendt materiale
(USB stick, DVD)
Ddos og digitale
demonstrationer
Massiv trafik mod websider,
hvorved de blokeres.
Stigende udfordring i takt
med stigende digitalisering
BOYD – Bring your own
Device
Eget udstyr giver store
sikkerhedsudfordringer,
men ses som et øget krav fra
medarbejdere
Angreb mod mobile
Enheder
Stigende brug af mobile
enheder, der hvis integreret
med it-systemer udgør risici
som alm. computere
Crimeware
Russiske e-handel sider, hvor
man kan købe sig til præcis
det angreb man ønsker
Post Snowden &
data privacy
Forventeligt øget krav fra
kunder og omverden om
sikring af data - herunder
kommende EU-Forordning
Datalækager
Insidere, bevidst / ubevidst,
ved sløset” omgang med
Data
Outsidere ved Hacking,
Phishing m.v.
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Udviklingen – fra hacker til cyber kriminel
Høj
Lav
2015
1993
Hacker for fun
Hacker meets
criminal
Hackers and organized
criminals work together
It´s all about the money…….
5
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Hvad vi ikke ved kan gøre mest ondt!!
Upps!!
Upps!!
Kilde: Mandiant / Fireeye threat report 2015
6
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Phishing – en nem måde at omgå sikkerheden på
7
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Cybersikkerhed / It-sikkerhed i Tryg
Confidentiality
= at data kun kan ses af autoriserede
Integrety
= at data ikke uautoriseret kan ændres
Availability
= at data er tilgængelige
•Markedsstandard for finansielle virksomheder
•Anvendes i Tryg som rammeværktøj
•Tilpasset Tryg som virksomhed
•Sikrer at alle væsentlige sikringsområder vurderes
Overordnet
It-sikkerheds politik bestyrelsesgodkendt
8
It-sikkerhedsregler Godkendt af Operationel
Risikokomité
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Procedurer for de
enkelte regler
Enkelt budskab på Intranet
9
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Hvordan synliggøres it-sikkerhed i Tryg
Mere transparent og simpelt
•It-sikkerhedsregler reduceret og tænkt sammen med leveregler.
•”Security alignment” i alle projekter
•Sikkerhed indbygget projektmodellen - i en tidlig fase
•Har betydet stigning i henvendelser

•Øget samarbejde med Jura og Indkøb
•Her fanger vi flere ”ikke projekter”
•Road shows i FO-områder om Cyber risk
Succesfaktorer
•Sikkerhed tænkt ind tidligst muligt
•Projekter følger projektmodellen.
•Ledelses opbakning / tillid til at opgaven kan løftes
10
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Hvordan udmøntes det så i dagligdagen?????
•Vi tænker Risiko og Konsekvens
•– sikkerheden er det mitigerende element
•Vi koncentrerer os om de større risici
•Vi kræver ikke sikkerhed for princippets skyld.
•Vi “læner os tilpas langt ud” (sikkerhed i balance)
•Vi tænker Costeffektivt
•Vi arbejder løsningsorienteret – med et nej følger et alternativ….
11
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Tag med hjem højdepunkter – det grundlæggende 
Forankring af sikkerhed
•
Succes kræver at topledelse og bestyrelse går forrest….
Lav en risikoprofil
•
Hvem er vi? hvad er interessant for andre? hvordan er vi eksponeret?
Tænk Cybersikkerhed ind som et parameter i strategien
•
Security by design, Privacy by design
IT-Sikkerhedspolitikken
•
udarbejdes på basis af risikoprofil og risikovurdering – ikke omvendt.
•
Tilpas sikkerhedsregler til virksomhedens behov – så du sikrer, at du gør
det du skal og ikke gør noget du ikke behøver.
•
Udarbejd leveregler for medarbejdere (medarbejdernes kendskab til din itsikkerhedspolitik)
Sørg for at det ikke bare er en politik
•
12
Den skal implementeres og der skal være nødvendig kontrol opfølgning
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Tag med hjem højdepunkter – det mere detaljerede 
Risikovurderinger, risikovurderinger, risikovurderinger
•
Sørg for at risikovurdering – også på cybersikkerheds området er en fast
bestanddel af digitaliserings arbejdet.
•
Erkendelse (ikke accept) af, at hvis nogen vil ind, så kommer de ind.
Satsning på opdagelse i tidlig fase
•
Logning intensiveres (SIEM løsning) Security Incident & Event Management,
så det bliver muligt at opdage indtrængen i en tidlig fase og dermed komme
hurtigere i kontrol.
Incident Response Management
•
Hurtig og professionel reaktion på incidents er afgørende – vær beredt – I
får brug for det.
Øget fokus på de mest kritiske risici
•
13
Evt. De 5 største it-risici / trusler – de mitigerende tiltag har tit en
fællesnævner.
- Vi kan ikke løse alt – men vi er godt på vej 
28. oktober 2015
Og så lidt reklame 
Outsourcing er uundgåeligt i familie med digitalisering
Sikkerhed ved IT-outsourcing
14
28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
23.
Alt håb er (ikke) ude
HUSK blot at 100% sikkerhed findes ikke – så lad de nævnte risici
være en del af beslutningsgrundlaget når du skal digitalisere.
Tak for opmærksomheden
15
28. oktober 2015
- Balancering af IT-sikkerhed og digital transformation