Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC
Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over 25 års erfaring i IT bransjen Enkel fyr fra landet med familie, høns i hagen, bikkje og løpesko mobil 92823207 rune.myhre.jonassen@evry.com 2
Dagens tekst Ved digitalisering av prosesser i virksomheter åpnes det et nytt trusselbilde som virksomhetene må håndtere. Vi ser i dette foredraget på hvilke interne og eksterne trusler og sårbarheter man må være klar over og prøver å gi en innsikt i sikkerhetstiltakene. 3
Men først Velkommen til Språkteigen! Sikkerhet Trygghet Visshet 4
5
Fire gjensidig avhengig disipliner Risk Management Koordinerte aktiviteter for å rettlede og kontrollere en organisasjon med hensyn til risiko. Information Security Network Security Cyber Security Aktiviteter for å trygge og sikre konfidensialiteten, integriteten og tilgjengeligheten til en virksomhets informasjonsverdier, analoge såvel som digitale. Aktiviteter med formål å beskytte en virksomhets nettverk, datamaskiner og data fra uautorisert tilgang, angrep eller skade gjennom implementering av operasjonelle prosesser or teknologier. Aktiviteter med formål å sørge for at data som sendes gjennom virksomhetens nettverk er komplett, uendret og ikke tilgjengeligjort for uautoriserte ressurser. 6
Fleksibilitetens alter Økt mobilitet Økt effektivitet Økt risiko All endring fra det kjente, innarbeidede, kontrollerte og regulerte innebærer en potensielt økt angrepsflate samt introduksjon av nye sårbarheter. 7
SPOILER! Sikkerhet følger ikke med i digitaliseringen om du ikke sørger for det selv! 8
GDPR Innebærer en betydelig styrking av borgeres rettigheter som følge av skjerpede krav til virksomheter som innhenter og behandler personopplysninger. Security by Default Security by Design 9
SPOILER! Sikkerhet følger ikke med i digitaliseringen om du ikke sørger for det selv! (nesten helt sant ) 10
TO DO list: (på ingen måte uttømmende) 1. Definer hvilke informasjonsverdier som er kritiske for virksomheten Asset Profiling, Business Impact Analysis etc. 2. Hva truer disse verdiene, hvordan kan de utnyttes og hvordan skal du sikre dem Regulær og iterativ risikostyring 3. Definer mål og strategi med informasjonssikkerhetsarbeidet og mål effekten av det 4. Sørg for tilstrekkelig informasjon om tilstanden til dine systemer så du proaktivt kan forhindre kompromittering av verdier. Og om uhellet er ute, reaktivt er i stand til å forstå hva som har skjedd. Etabler et styringssystem for informasjonssikkerhet (typisk ISO27001) Modenhetsmålinger PEN tester, Phishing tester Prosesser og verktøy for tilgangskontroll, hendelseshåndtering m.m. Identity and Access Management (IAM) Security Information and Event Management (SIEM) 11
Trusler og sårbarheter Mangelfull forankring og engasjement i ledelsen Relevante trusler og sårbarheter avdekkes gjennom risikostyringen Brorparten av disse truslene baserer seg på utnyttelse av 1 felles sårbarhet oss mennesker Trusler og Trender 2017-18, NorSIS 12
«Culture eats strategy for breakfast» -Peter Drucker 13
Security Delivery Model Phase 0 DG0 DG1 DG2 DG3 DG4 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Business idea /Opportunity Service Strategy Analysis & Design Development Establish Delivery Chain Service in Production Recommendation for implementation Risk & Vulnerability assessment Architecture/design GAP analysis Strategy and steering Initial challenges and scope 14
Oppsummert Verdioversikt Risikovurdering Styring, ledelse og forvaltning Kontroll og måling 15
16
Rune.Myhre.Jonassen@evry.com Mobil: 92823207