Finansagenda 2015 - Balancering af IT-sikkerhed og digital transformation 28. oktober 2015 Tom Engly, Koncernsikkerhedschef, Tryg 1 28. oktober 2015 Tom Engly Koncernsikkerhedschef i Tryg cyberpanser(@)gmail.com Phone: +45 23212811 Tom Engly Agenda • • • • 2 Cyber risk – Trusselsbilledet Hvad og hvem er vi oppe imod? Sikkerhedsniveauet – hvordan gør vi i Tryg? Anbefalinger og “tag med hjem” 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Cyber risk – trusselsbilledet. Ransomware Drive by attacks Cyber terrorism Advanced persistent threats Malware Denial of Service Virus Hacktivism Trojans Spear Phishing 3 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Trusselsbilledet - Største Cyber sikkerhedsudfordringer 2015 4 Ransomware Kryptering af data, der kun kan ”løslades” ved at indbetale et beløb til de kriminelle Drive-By angreb og Patch Management Inficerede websider, hvorved Egne sårbare systemer rammes Spearphishing Rafinerede angreb mod topledelser og bestyrelser primært som e-mails eller tilsendt materiale (USB stick, DVD) Ddos og digitale demonstrationer Massiv trafik mod websider, hvorved de blokeres. Stigende udfordring i takt med stigende digitalisering BOYD – Bring your own Device Eget udstyr giver store sikkerhedsudfordringer, men ses som et øget krav fra medarbejdere Angreb mod mobile Enheder Stigende brug af mobile enheder, der hvis integreret med it-systemer udgør risici som alm. computere Crimeware Russiske e-handel sider, hvor man kan købe sig til præcis det angreb man ønsker Post Snowden & data privacy Forventeligt øget krav fra kunder og omverden om sikring af data - herunder kommende EU-Forordning Datalækager Insidere, bevidst / ubevidst, ved sløset” omgang med Data Outsidere ved Hacking, Phishing m.v. 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Udviklingen – fra hacker til cyber kriminel Høj Lav 2015 1993 Hacker for fun Hacker meets criminal Hackers and organized criminals work together It´s all about the money……. 5 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Hvad vi ikke ved kan gøre mest ondt!! Upps!! Upps!! Kilde: Mandiant / Fireeye threat report 2015 6 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Phishing – en nem måde at omgå sikkerheden på 7 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Cybersikkerhed / It-sikkerhed i Tryg Confidentiality = at data kun kan ses af autoriserede Integrety = at data ikke uautoriseret kan ændres Availability = at data er tilgængelige •Markedsstandard for finansielle virksomheder •Anvendes i Tryg som rammeværktøj •Tilpasset Tryg som virksomhed •Sikrer at alle væsentlige sikringsområder vurderes Overordnet It-sikkerheds politik bestyrelsesgodkendt 8 It-sikkerhedsregler Godkendt af Operationel Risikokomité 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Procedurer for de enkelte regler Enkelt budskab på Intranet 9 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Hvordan synliggøres it-sikkerhed i Tryg Mere transparent og simpelt •It-sikkerhedsregler reduceret og tænkt sammen med leveregler. •”Security alignment” i alle projekter •Sikkerhed indbygget projektmodellen - i en tidlig fase •Har betydet stigning i henvendelser •Øget samarbejde med Jura og Indkøb •Her fanger vi flere ”ikke projekter” •Road shows i FO-områder om Cyber risk Succesfaktorer •Sikkerhed tænkt ind tidligst muligt •Projekter følger projektmodellen. •Ledelses opbakning / tillid til at opgaven kan løftes 10 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Hvordan udmøntes det så i dagligdagen????? •Vi tænker Risiko og Konsekvens •– sikkerheden er det mitigerende element •Vi koncentrerer os om de større risici •Vi kræver ikke sikkerhed for princippets skyld. •Vi “læner os tilpas langt ud” (sikkerhed i balance) •Vi tænker Costeffektivt •Vi arbejder løsningsorienteret – med et nej følger et alternativ…. 11 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Tag med hjem højdepunkter – det grundlæggende Forankring af sikkerhed • Succes kræver at topledelse og bestyrelse går forrest…. Lav en risikoprofil • Hvem er vi? hvad er interessant for andre? hvordan er vi eksponeret? Tænk Cybersikkerhed ind som et parameter i strategien • Security by design, Privacy by design IT-Sikkerhedspolitikken • udarbejdes på basis af risikoprofil og risikovurdering – ikke omvendt. • Tilpas sikkerhedsregler til virksomhedens behov – så du sikrer, at du gør det du skal og ikke gør noget du ikke behøver. • Udarbejd leveregler for medarbejdere (medarbejdernes kendskab til din itsikkerhedspolitik) Sørg for at det ikke bare er en politik • 12 Den skal implementeres og der skal være nødvendig kontrol opfølgning 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Tag med hjem højdepunkter – det mere detaljerede Risikovurderinger, risikovurderinger, risikovurderinger • Sørg for at risikovurdering – også på cybersikkerheds området er en fast bestanddel af digitaliserings arbejdet. • Erkendelse (ikke accept) af, at hvis nogen vil ind, så kommer de ind. Satsning på opdagelse i tidlig fase • Logning intensiveres (SIEM løsning) Security Incident & Event Management, så det bliver muligt at opdage indtrængen i en tidlig fase og dermed komme hurtigere i kontrol. Incident Response Management • Hurtig og professionel reaktion på incidents er afgørende – vær beredt – I får brug for det. Øget fokus på de mest kritiske risici • 13 Evt. De 5 største it-risici / trusler – de mitigerende tiltag har tit en fællesnævner. - Vi kan ikke løse alt – men vi er godt på vej 28. oktober 2015 Og så lidt reklame Outsourcing er uundgåeligt i familie med digitalisering Sikkerhed ved IT-outsourcing 14 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation 23. Alt håb er (ikke) ude HUSK blot at 100% sikkerhed findes ikke – så lad de nævnte risici være en del af beslutningsgrundlaget når du skal digitalisere. Tak for opmærksomheden 15 28. oktober 2015 - Balancering af IT-sikkerhed og digital transformation
© Copyright 2024