Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02. Februar 2011
Innledning 2
KPMG Norge Geir Arild Engh-Hellesvik er leder for informasjonssikkerhetstjenesten i KPMG Advisory. KPMG er et ledende kompetansehus som tilbyr tjenester innen revisjon, skatt og avgift, samt rådgivning. I Norge er vi over 900 medarbeidere som skaper verdi av kunnskap i 25 byer over hele landet. KPMG Advisory består i Norge av ca 120 personer og tilbyr rådgivning innen områdene Performance & Technology Risk & Compliance Transactions & Restructuring Globalt har vi 140 000 medarbeidere i 146 land. 3
Agenda Hva er mobile enheter? Hva er fordelene? Hva er sikkerhetsrisikoen? Hvordan håndterer vi risikoen uten å ødelegge fordelene? Spørsmål i pausene utover dagen. 4
Hva er mobile enheter? Smartfoner Laptops, netbooks, tablets USB dingser : lagringsmedier Wi-Fi Bluetooth HSDPA/UMTS/EDGE/GPRS modem Digitale kameraer RFID enheter, PDAer, IrDA enheter...og mye mer 5
Hva vil vi ha utav disse? 6
Hva er fordelene? Økt produktivitet Bedre kundeservice / kommunikasjon Raskere respons og problemløsning Høyere effektivitet i forretningsprosesser Sikkerhet for ansatte blir bedre (HMS) Hjemmekontor FLEKSIBILITET 7
SIKKERHETSRISIKO 8
Noen hovedrisikoer Informasjonsflyt på usikrede medier / kanaler Trådløs roaming ofte på og usikret Fysisk små enheter er lett å miste Informasjon lagret på enheten er ukryptert Ofte ingen/svak autentisering nødvendig for bruk Enheten kontrolleres ikke av virksomheten Enheten tillater installasjon av vilkårlige applikasjoner 9
TILTAK 10
Strategier for å redusere sikkerhetsrisiko Kartlegg brukernes behov og forvetninger Definer tillatte enheter (kontrollert av virksomheten) Definer tillatte tjenester på enhetene Utarbeide en acceptable use policy for enhetene Definer hvordan data skal lagres og kommuniseres sikkert til/fra enhetene Definer krav til autentisering og kryptering basert på risiko knyttet til hva brukeren får tilgang til på enheten Inkluder virksomhetens enheter i vedlikeholdsprosesser (asset management) 11
Presenter s contact details Geir Arild Engh-Hellesvik Leder IPBR KPMG +47 406 39 464 geir.arild.engh-hellesvk@kpmg.no www.kpmg.no The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. 12