1. No category

Brønderslev
Oktober 2015
Nis Peder Bonde
Adm. Direktør,
Konsulentchef &
Partner
Pauli Laursen
General Manager &
Partner
Informationssikkerhed 1. del:
Sårbarheder, trusler og quick
wins
Eksternt informationsflow
Omkostninger ved den ubetalte
”sikkerhedsgæld”
Om it-kriminelle
 Amatører
– For sjov,
kedsomhed,
bevise noget
– Egen vinding
– Politiske og
religiøse
motiver
 Professionelle
– Økonomisk
(organiseret)
kriminalitet
– Industrispionage
– National
sikkerhed
Konsekvenser af en sikkerhedshændelse
 Relationen til interessenterne
belastes
 Forretningskritiske processer
kan gå i stå og medføre
økonomiske tab
 Manglende indfrielse af
målsætninger
 EU-forordningen kan medføre
substantielle bøder
The only
alternative to risk
management is
crisis management
--- and crisis
management is
much more
expensive, time
consuming and
embarrassing.
JAMES LAM,
Enterprise Risk
Management, Wiley Finance
© 2003
Om DDoS (Distributed Denial of Service)
Håndtering af DDoS truslen
 Risikovurdering
 Præventive kontroller
 Identificere performancemæssige ”hotspots”
 Alle delsystemer gøres ”lette” eller isoleres
 Internettet: Når man har en hammer…
 Detektive kontroller
 Monitorering og varsling
 Korrektive/reaktive kontroller




Beredskabsplaner
Mitigation-kanaler
Belastning nedskaleres, kapacitet opskaleres
Moving target (gemmeleg)
Ransomware truslen
Håndtering af ransomware truslen
 Præventivt:
– Hindre inficering
– Hindre kontakt til angriberens server
– Begrænse skaden mest muligt
 Detektivt:
– Opdag anomalier (log-analyse, SIEM)
 Korrektivt:
– Reetablering fra backup
Firewall – er den en løsning på alle
problemer?
Firewall’en: Hullet som en schweizerost?






Virus og malware slipper igennem
– F.eks. kamufleret som godkendte filtyper
– Medarbejderes besøg på helt legitime web-sider
kan medføre, at virksomheden bliver hacket.
Medarbejdernes private (og usikre) bærbare enheder
slipper igennem.
Ondsindede eller uforsigtige medarbejdere slipper
igennem
Hackere, som er maskeret som medarbejdere slipper
igennem
Ofte er firewallen anvendt og konfigureret forkert.
De færreste organisationer opnår fuldt udbytte af deres
firewall(s) og har således dårligere sikkerhed end
nødvendigt.
Antivirusprogrammer – er det løsningen?
 To hovedtyper:
– Mønstergenkendelse
– Heuristisk baserede
 Udfordringerne
–
–
–
–
–
Der er for mange vira
Ingen beskyttelse mod 0-dags sårbarheder
Er det en virus, hvis der kun er 1-10 mål?
Infektion af BIOS for at lamme AV
Angreb via legale programmer
SecuriPax’ tekniske anbefalinger (”quick wins”)
 Reducer brugen af administrator-rettigheder.
 Reducer eksponeringen mod Internettet.
– Etablér et isoleret firmanetværk til de
mest følsomme systemer.
– ”Virtuel Internetcafé” (Citrix/Terminal Service)
så brugernes pc’er normalt ikke har direkte
adgang til Internettet.
– MPLS til hjemmearbejdspladser, mobile
brugere og samarbejdspartnere.
 Giv firewall’en en virkelig seriøs overhaling.
 Vær skeptisk over for ”cloud-prædikanterne”.
Informationssikkerhed 2. del:
Systematisk tilgang til
informationssikkerhed
It, sikkerhed og forretningen
Kreditorer
Logistik
Forretning
Teknisk service
Salg
Ordreflow
Kundeservice
Produktion Beredskab Indkøb
Told
APV
Sagsbehandling
Marketing Certificeringer
Finans
HR
Lager
Bogholderi
Kvalitetsledelse
Moms
Debitorer
Ledelse
E-mail
CRM
WMS
Systemer PDM
ERP
CMS
Windows
BI
Printservere
ESDH
POS
Linux
SQL
NAS
SCCM VMware
Citrix
SAN
Filserver
Netværk
LAN
VPN
WAN
WiFi
QoS
BGP NTP DNS
Fysisk
El
Vand Køl
Brand Indbrud
Teknik
Strategi
Behov for en bred sikring af it-sikkerheden
Teknik
SikkerhedsSikring af
politikker
net, OS og Rådgivning
og dok.
om sikring
appl.
af systemer
Implementering
Risikovurdering
og driftsstøtte
Strategi
Facilitering
sikkerhedsprocesser:
- ISO 27001
- PCI
- Beredskab
Sikkerhedsstyregruppe
Integreret i
beslutningsprocessen
Ad hoc
Kaotisk
Afhængig af
enkeltpersoner
med specielle
evner og
indsigt
Heroisk
stammemiljø
Specialister og
græsrødder
Ubalancerede,
diskrete tiltag
Typisk finans,
compliance og
it drift
Specialistsiloer
Retning sættes
af ledelsen
Politikker og
procedurer
Risk avoidance
Reaktivt
Top-down
Performancerelaterede mål
Intelligent Risk
Management
Hurtig
eskalering
Bæredygtighed
Bottom-up
Alles job
v
Proaktivt
Systematisk
Risk
Management
Hvem er risikoejer?
 Ved sikkerhedshændelser, der påvirker
relationen til interessenter, er det den
øverste ledelse der stilles til ansvar.
 Ved sikkerhedshændelser, der i signifikant
grad påvirker virksomhedens muligheder
for at indfri mål, er det den øverste
ledelses der stilles til ansvar.
Hvordan håndterer topledelsen risikoen?
 Outsourcing til
samarbejdspartner
 Delegering til itafdelingen, eller itsikkerhedsafdelingen
SecuriPax’ strategiske anbefalinger
 Topledelsen må og skal sætte sig på virksomhedens
sikkerhedsmæssige dagsorden.
 Ansvaret for beskyttelsen af virksomhedens værdier
må aldrig ligge hos en tekniker i it-afdelingen.
(”delegation” vs. ”abdication”).
 Sikkerhedsarbejdet skal altid være risikobaseret for
at sikre mest mulig sikkerhed for pengene.
– Indledende risikovurdering: Hvor omfattende er
virksomhedens ubetalte ”sikkerhedsgæld”?
 Balanceret fokus på både teknik og strategi.
 Målsætning om ISO 27001 compliance/certificering
uden at det bliver en kulturel tvangsmodning.
CFCS: ”Cyberforsvar der virker”
1. Forankring i topledelsen
2. Organisationen skal
have adgang til de rette
tekniske kompetence
3. Implementer ”top fire”
tekniske sikringstiltag:
–
–
–
–
Positivliste med godkendte
programmer (whitelisting)
Opdatér programmer
(patch management)
Opdatér operativ-systemet
(patch management)
Begræns brugerkonti med
administrator-rettigheder
4. Gennemfør løbende
awareness
5. Opbyg reaktiv kapacitet
6. Løbende
sikkerhedstekniske
undersøgelser
7. Indfør yderligere
sikringstiltag
Informationssikkerhed på en struktureret og
afprøvet måde
 Få overblik over sikkerhedsniveau,
sikkerhedshændelser og mulige
sikkerhedsforanstaltninger
 Reducer risikoen for sikkerhedshændelser og
beskyt de forretningskritiske aktiver
 Udgå at skulle opfinde den dybe tallerken igen
 Opnå interessenternes tillid til at information bliver
opbevaret og håndteret på sikker og forsvarlig vis
 Opnå bedre mulighed for at vinde offentlige udbud
ISO27001:Hvad handler standarden om?





Risikobaseret stillingtagen til sikkerhed
Ledelsesforankring
Dokumentation af ledelsens involvering
Informationssikkerhed som en proces
Indbygget kvalitetssikring
Informationssikkerhed som en proces
Risikovurdering – redskab til at
identificere og mitigere risiko
Øvelse i risikovurdering
1.
2.
3.
Modtagelse af en spam-mail (så man spilder sin tid).
En altødelæggende meteor rammer jorden og udsletter
alt liv (så man dør).
En angriber opnår adgang til kommunens interne netværk
og kan derved overtage kontrollen med centrale
databaser, hvorved han kan…
–
–
4.
ændre regnskabstal (så det bliver svært at aflægge retvisende
årsregnskab).
ændre kontonumre i kreditorbogholderiet (så han selv eller en
udenlandsk terrororganisation uretmæssigt modtager betalinger).
Der sker et større læk af CPR numre for kommunens
borgere.
PaxRisk Ransomware
 Inspektion og kortlæggelse af itinfrastruktur
 Identifikation af sårbarheder
 Risikovurdering
 Alternative sikkerhedstiltag
 Beslutningsgrundlag præsenteret for
virksomhedens ledelse
 Pris kr. 39.500
SecuriPax tilbyder: ISO27001 primer




Afholdelse af workshop
Interview med nøglepersoner
Udarbejdelse af businesscase
Handlingsplan præsenteret for
virksomhedens ledelse
 Pris kr. 29.500