Hvordan høy brukerbevissthet kan redde en virksomhet 23.10.2015 Watchcom Security Group AS 1
Om meg Preben Nyløkken 9+ år i Watchcom 12+ år med informasjonssikkerhet Fokus: sikkerhetstesting, opplæring med mer. 23.10.2015 Watchcom Security Group AS 2
Oppsummering av sist foredrag Angrep skjer Spesielt spear-phishing Enkleste vei inn 23.10.2015 Watchcom Security Group AS 3
Bokser løser ikke det reelle problemet! De ansatte vil likevel åpne det skadelige vedlegget! 23.10.2015 Watchcom Security Group AS 4
Brukerbevissthet Hva gjør dere i dag? 23.10.2015 Watchcom Security Group AS 5
Verdien av kunnskap - Kjørte brukerbevissthetsforedrag - Kort tid etter ble selskapet utsatt for angrep - 6 måneder + - Sparte trolig selskapet for milliontap 23.10.2015 Watchcom Security Group AS 6
Kunnskap og sikkerhetskultur Så du mailen om at vi alle skal gå opp i lønn? Du må logge inn for å se hvor mye du fikk! Pass på, nå er det en svindelmail du IKKE må klikke på, som lover at vi alle skal gå opp i lønn 23.10.2015 Watchcom Security Group AS 7
Virkemidler Brukerbevissthet virker! (men det må gjøres riktig) Tiltak: Foredrag om sikkerhet E-læring (moduler) Informasjonsplakater / skjermer Stunts, f.eks sikkerhetsmåneden Phishing-test RedTeam-test 23.10.2015 Watchcom Security Group AS 8
Bevissthet LAV MIDDELS HØY Foredrag, plakater, eposter med mer Tiltak Kort periode Brukerbevissthetsforedrag Plakater / epost fra CEO ++ Jan Feb Mar Apr Mai Jun Jul 23.10.2015 Watchcom Security Group AS 9
Bevissthet LAV MIDDELS HØY Brukerbevissthetsprogram (e-læring) Tiltak Lengre effekt Brukerbevissthetsprogram Jan Feb Mar Apr Mai Jun Jul 23.10.2015 Watchcom Security Group AS 10
Effektiv løsning Kickoff foredrag Tiltak des jan feb E-læring (5 min moduler) Plakater nov mar Phishingtest m/ presentasjon okt apr Full RedTeam / sikkerhetstest med presentasjon sep mai aug jul jun 23.10.2015 Watchcom Security Group AS 11
Før programmet - Lett å bryte seg inn (spear phishing) - De tror de kan avsløre falske eposter - Testing viser det motsatte - Ikke sikre passord - Hvorfor passordbytte - Policy? - Ingen/få hendelser - Ingen øver på informasjonssikkerhet - Ingen måling rundt informasjonssikkerhet - Informasjon flyter - Spear-phishing = Stor sannsynlighet for vellykket angrep ( = kost) 23.10.2015 Watchcom Security Group AS 12
Etter programmet - Phishing-epost blir avslørt - Beredskap settes igang - Sikrere passord (vanskelig å hacke) - Forstår hvorfor de må bytte passord - De leser policy - Økt registrerte hendelser - Mer målbar data (hvor utsatt ++) - Kontroll på hvor informasjon er = Redusert sannsynlighet for vellykket angrep ( = redusert kost) 23.10.2015 Watchcom Security Group AS 13
Det virker kun hvis Tiltak - Toppledelsen er involvert - Mellomledere blir «motivatorer» - De ansatte blir motivert! - Konkurranser - Fokus på de privat også - De ansatte må får tilstrekkelig tid Også viktig å: - Læring opp mot læringsutbytter (LUBBER) - Bruke forskjellige virkemidler (tekst, video, foredrag) - Gjøre programmet målbart (før/etter-data) 23.10.2015 Watchcom Security Group AS 14
Start med - C-level (+ mellomledere) - Hvor trykker skoen mest? - Bruk definerte læringsmål Hvilke kunnskap SKAL de ha? Hvordan oppnår de den kunnskapen Hvordan måle at de har oppnådd kunnskapen - Mål og kpi - antall store sikkerhetshendelser (ned) - antall registrerte sikkerhetsavvik (opp/ned) - test om ansatte kjenner policy 23.10.2015 Watchcom Security Group AS 15
Standard Brukerbevissthet påkrevd i de fleste standarder - ISO - PCI-DSS - SOX - HIPPA - EU Data Protection Directive 23.10.2015 Watchcom Security Group AS 16
Innhold i et brukerbevissthetsprogram Følgede emner bør dekkes: Trusselbildet Social Engineering (phishing med mer) Passord Mobile enheter Informasjon Utenfor kontoret / reise Nettvett Bedriftens retningslinjer bør inkorporeres i de forskjellige emnene 23.10.2015 Watchcom Security Group AS 17
Fun fact #1! - RedTeam-øvelser viser at toppledere, styret og mellomledere svært ofte lar seg lure av enkle phishing-eposter. - Gir ofte testgruppen tilgang til hele organisasjonens IT-systemer. Som betyr tilgang til: * (kurs)sensitiv informasjon * styredokumenter * regnskap * oppkjøpsplaner * med mer... 23.10.2015 Watchcom Security Group AS 18
Fun fact #2! - Et stort flertall av ansatte vet ikke at hackere lett kan endre fra-adressen på en phishing-epost, til f.eks toppsjef@bedrift.no 23.10.2015 Watchcom Security Group AS 19
Fun fact #3! - Ansatte er ofte opplært til å ta musen over en lenke, for å se om den er falsk. Dette er ikke like lett på mobilen! 23.10.2015 Watchcom Security Group AS 20
Oppsummering Bokser løser ikke alt Ikke bare «kjøp et kurs» Ikke start med brukerbevissthetsopplæring, uten forankring Definer læringsmål, lag fagstoff basert på dette Flere virkemidler ( plakater, foredrag, e-læring med mer) Er du usikker? Spør, vi hjelper deg... 23.10.2015 Watchcom Security Group AS 21
Spørsmål? preben@watchcom.no 23.10.2015 Watchcom Security Group AS 22