SlideShare ist ein Scribd-Unternehmen logo

Mobila enheter och informationssäkerhetsrisker för nybörjaren

Transcendent Group
Transcendent Group

Presentation från GRC 2015 den 20 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2015/

Technologie
1 von 35
Downloaden Sie, um offline zu lesen
Mobila enheter och informationssäkerhetsrisker för nybörjaren Marcus Larsson 20 maj, GRC 2015
Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. Transcendent Group har fyra år i rad utsetts till en av Sveriges bästa arbetsplatser. Om företaget ©TranscendentGroupSverigeAB2015
Agenda • Bakgrund och statistik • Varför syna mobil säkerhet? • Hur går man till väga? • Hemläxa: utmana din organisation ©TranscendentGroupSverigeAB2015
Om mig • Bakgrund som IT-revisor och GRC-konsult inom offentlig sektor, finansiella sektorn, retail, med flera. • Tjänsteområdesansvarig för informationssäkerhet och CISO på Transcendent Group. • Granskare och rådgivare kring informationssäkerhet och IT-säkerhet. • CISA, CISM, CISSP, CRISC, CEH, ITIL-certifierad. ©TranscendentGroupSverigeAB2015
Varför syna mobil säkerhet? ©TranscendentGroupSverigeAB2015
Riskbilden Användning av mobila enheter har varit, och fortsätter att vara en källa till säkerhetsincidenter. Centrala riskområden är: • Brist på lämpliga styrande principer, procedurer och kontroller i samband med hantering av mobila enheter. ©TranscendentGroupSverigeAB2015
0% 10% 20% 30% 40% 50% 60% 2013 2015 Antal personliga enheter som lagrar företagsdata Personliga enheter anslutna till företagsnät Bakgrundsinformation och statistik Ny studie genomförd i fem länder visar: • 56% av tillfrågade uppger att antalet personliga enheter som lagrar företagsdata ökat från 37% 2013 till 56% slutet av 2014. • 95% tampas idag med utmaningar av personligt ägda enheter som är anslutna till verksamhetens nätverk (BYOD). ©TranscendentGroupSverigeAB2015 Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
Bakgrundsinformation och statistik • Antalet mobila enheter anslutna till företagsnätverk växer. • Säkerhetsincidenter kopplade till mobila enheter ökar, och så även kostnaden att fixa problemen. • 82% av tillfrågade säkerhetsexperter tror att mobila säkerhetsincidenter kommer fortsätta öka. • 64% uppger att kostnaden för att avhjälpa mobila säkerhetsincidenter ökar. • 42% av tillfrågande i företagsledningen uppger att en mobil säkerhetsincident i regel kostar mer än $250.000 ©TranscendentGroupSverigeAB2015 60% 62% 64% 66% 68% 70% 72% 74% 76% 2012 2013 2014 Personliga enheter anslutna till företagsnät Personliga enheter anslutna till företagsnät Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
Hur går man till väga? ©TranscendentGroupSverigeAB2015
Att syna mobil säkerhet • ansats, riskanalys/ avgränsningar/syfte • policy och riktlinjer • riskanalyser • enhetshantering • tekniska kontroller • administrativa kontroller • säkerhetsmedvetande och utbildning ©TranscendentGroupSverigeAB2015
Riskbaserad ansats • Varför har frågan dykt upp? • Inträffade incidenter? • Nya lagkrav på informationssäkerhet? • Verksamhetsrisk – Finns ett starkt beroende av mobila enheter idag? • Diskutera med ledningen. ©TranscendentGroupSverigeAB2015 Riskbaserad ansats }
Policy & Riktlinjer • Lämpligt utformad policy: – Dataklassificering – Godkända enhetstyper och säkerhetskrav – Centrala processer för hantering av enheter • Riktlinjer för hantering och användande • Uppdaterade och relevanta rutiner och instruktioner • Översyn årligen och på förekommen anledning • Löpande riskanalyser • Ledningens engagemang ©TranscendentGroupSverigeAB2015 Policy Riktlinjer Rutiner och instruktioner Plan Do Check Act
Vad är viktigast? värdeskapande kostnadseffektiv riskmedveten regelefterlevande ©TranscendentGroupSverigeAB2013
Regelbundna riskanalyser • Risker kopplade till mobila enheter identifieras och hanteras löpande • Periodiskt återkommande rapportering till ledningen (minst årligen) • Riskregister och uppföljning av åtgärder • Ledningens förståelse och engagemang • Verksamhetsrisker och rätt nomenklatur • Finns relevanta KRI:er identifierade idag? ©TranscendentGroupSverigeAB2015
Administration och teknik, det där sköter väl… IT? ©TranscendentGroupSverigeAB2015
Inte riktigt så enkelt Operativsystem- och databasplattformar under flera system Processer sträcker sig över flera system, kostnadsställen Data finns i flera system och byter värde och kravbild längs medvägen Verksamhetsmål och kostnadsställen Informationen i centrum ©TranscendentGroupSverigeAB2015 }-------------------------------- vem äger risken? + vem ombesörjer? + intern politik ( ) ^2
Administrativa kontroller • Tillämpliga kontroller i alla processer • Ansvar, roller och rutiner • Vem äger systemen, processen och informationen? • Vem äger risken? • Avsteg från riktlinjer Behörighetshantering Systemutveckling Ändringshantering ©TranscendentGroupSverigeAB2015 Generella IT-kontroller}
Tekniska kontroller 1/3 Behörighetsstyrning • Dataklassifikation • Tillgång till särskilt känslig information • Autentisering (PIN, komplex, stark/svag) Skydd mot dataförlust • Spårning av enheter (om tillämpligt/lagligt/etiskt) • Fjärrövervakning och kontroll • Regler för överföring/delning av data • Synkronisering mot molnet • Inkoppling av flyttbar media som ex. USB-enheter • Data Loss Prevention (DLP) ©TranscendentGroupSverigeAB2015
Tekniska kontroller 2/3 Kryptering • Dataklassifikation • Krypterad lagring och överföring • Centralt hanterad • Avvikelser upptäcks, hanteras och incidentrapporteras Regler för överföring • Policy och dataklassificering sätter kraven • Vilken data får röra sig mellan olika zoner, och under vilka förutsättningar? Mellan olika applikationer, urklippshanteraren, nätverkszoner, lokala lagringsytor etc. • Centralt hanterade kontroller (förhindrande och upptäckande) • Tillämplig säkerhetsmekanik för informationens risk (VPN, IPSEC, SSL etc.) ©TranscendentGroupSverigeAB2015
Tekniska kontroller 3/3 Skydd mot skadlig mjukvara • Malwareskydd (antivirus, antispionmjukvara etc) • Begränsning av installation av appar (whitelist/blacklist) • Verksamhetsunik applikationskatalog ”egen appstore” • Container för känslig verksamhetsinformation • Avsteg upptäcks och hanteras Intrångsskydd • Begränsad åtkomst mot verksamhetens infrastruktur • Upptäckande kontroller ©TranscendentGroupSverigeAB2015
Nått man kan vara säker på är att hårddiskar kraschar, det regnar på midsommarafton och mobiler tappas bort… ©TranscendentGroupSverigeAB2015
Enhetshantering BOYD/CYOD? - Policy styr Riskanalys innan nya enhetstyper tillåts Kontrollmiljö - Begräsningar beroende på enhetstyp Enrollment/derollment av enheter Mobile Device Management-verktyg (MDM) ©TranscendentGroupSverigeAB2015
Säkerhetsmedvetande: hur stort är problemet? ©TranscendentGroupSverigeAB2015
Olika utmaningar och exempel Skifte i kontroll och kravställning (consumerization) • Vem äger enheten? • IT- ställde tidigare krav, nu gör användaren det. • Säkerhetsuppdateringar sker nu av användaren. • Var går gränsen mellan arbetsverktyg och privat leksak? • Lägre krav på säkerhet och högre krav på användarvänlighet. 20 års lärdomar kan ibland kastas vid väggrenen. ©TranscendentGroupSverigeAB2015
Ny teknik, samma dilemma användar- vänlighet säkerhet ©TranscendentGroupSverigeAB2015
Mer statistik ©TranscendentGroupSverigeAB2015 Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals” Nyligen utförd studie visar att: • 87% av tillfrågade säkerhetsansvariga säger att vårdslösa anställda idag utgör ett större hot än cyberkriminella. • 63% säger att anställda nyligen bidragit till högprofils säkerhetsincidenter. • 92% säger att medarbetares korrekta beteende kunde förhindrat nyligen inträffade allvarliga säkerhetsincidenter. Anställdas handlingar har den största negativa påverkan på mobil säkerhet
Fundera på följande, vad är sagt hos er? • Vad får fotograferas med enhetens inbyggda kamera? • Är fotografierna på styrelsens whiteboard krypterad på minneskortet? • Synkroniseras jobbmaterial och fotografier till molnet och sen vidare till exempelvis en ”time capsule” på landstället? • Är det OK att låna ut Ipaden till barnen på väg till landstället? • Är det OK att skicka runt Ipaden på en fest för att visa fiskebilder? • Får man som anställd ansluta enheten till trådlösa okända nätverk utomlands, exempelvis caféer och flygplatser? • Varför är 4 siffrors kod för inloggning ok på mobiler medan det inte är det på datorer? Vilka kompenserande kontroller finns i så fall? ©TranscendentGroupSverigeAB2015
Tone at the top ©TranscendentGroupSverigeAB2015
Säkerhetsmedvetande • En av de största riskerna för en organisations informationssäkerhet är oftast inte en svaghet i den tekniska kontrollmiljön. • Handlingar eller underlåtenhet av anställda och annan personal leder ofta till säkerhetsincidenter som: – utlämnande av känslig information. – utnyttjande av obefogad tillgång till känslig information utan att följa lämpliga förfaranden. – att inte rapportera observerade aktiviteter och händelser. ©TranscendentGroupSverigeAB2015
Säkerhetsmedvetande • Viktigt att organisationer har ett program för säkerhetsmedvetenhet för att säkerställa att: – De anställda är medvetna om vikten av att skydda känslig information och vad de ska göra för att hantera information på ett säkert sätt samt att minska risken för misskötsel gällande känslig information. • Medarbetarnas förståelse för de organisatoriska och personliga konsekvenserna av felhantering känslig information är idag av avgörande betydelse för en organisations framgång. • Frånsteg från regler upptäcks, åtgärdas incidentrapporteras. Disciplinära åtgärder bör vidtas vid grov oaktsamhet eller medvetna avsteg från regler. Återkommande problem områden hanteras strukturerat. ©TranscendentGroupSverigeAB2015
Säkerhetsmedvetande och utbildning Awareness-utbildning: • Alla anställda får grundläggande utbildning av hur att hantera mobila enheter och riskerna förknippade med dem. • Fördjupad utbildning sker av personal vars hantering av och tillgång till information ställer ytterligare krav på kontroll och riskmedvetande. • Utbildning vid anställning/mottagande av mobil enhet, årligen uppdatering samt vid förekommen anledning. • Kompetensprov och krav på kvalifikationer finns etablerade. • Utbildningen uppdateras löpande efter hotbild • Återkoppling från riskanalyser och inträffade incidenter reflekteras i utbildningens utformning och fokus. ©TranscendentGroupSverigeAB2015
Vart är trenden på väg? ©TranscendentGroupSverigeAB2015
Ytterligare mobilisering innebär ökad risk Användningen av mobila enheter som faktiskt arbetsverktyg fortsätter att öka. Arbete på distans sätter nya krav på framtida tjänster på mobila enheter. Arbetsmoment såsom tidrapportering, fakturering och attestering börjar nu utföras via mobila enheter. Således inte längre bara konfidentialitet som är viktigt utan även tillgänglighet och riktighet ©TranscendentGroupSverigeAB2015
Nu till er egen hemläxa 1. Har ni tillförlitlig riskhantering på er mobila enheter idag? 2. Utbildning och riskmedvetande, hur ser ert program för detta ut idag och imorgon? ©TranscendentGroupSverigeAB2013
www.transcendentgroup.com

Empfohlen

Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarTranscendent Group
 

Empfohlen

Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Riskhantering
RiskhanteringRiskhantering
RiskhanteringNils Thulin
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Riskanalysen
RiskanalysenRiskanalysen
RiskanalysenNils Thulin
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governanceTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSOTranscendent Group
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & LönsamhetRolf Häsänen
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 

Weitere ähnliche Inhalte

Was ist angesagt?

Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & LönsamhetRolf Häsänen
 

Was ist angesagt? (20)

Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Riskanalysen
RiskanalysenRiskanalysen
Riskanalysen
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governance
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
 

Andere mochten auch

Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Transcendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljöTranscendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Transcendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Transcendent Group
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Transcendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 

Andere mochten auch (20)

Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Value added security services
Value added security servicesValue added security services
Value added security services
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 

Ähnlich wie Mobila enheter och informationssäkerhetsrisker för nybörjaren

Frukostseminarium om revision av mobila enheter 2013-03-08
Frukostseminarium om revision av mobila enheter 2013-03-08Frukostseminarium om revision av mobila enheter 2013-03-08
Frukostseminarium om revision av mobila enheter 2013-03-08Transcendent Group
 
Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaAnna Näsmark
 
Logica dlp event presentation
Logica dlp event presentationLogica dlp event presentation
Logica dlp event presentationNils Thulin
 
Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009Anna Näsmark
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)Idenet
 
Sig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & MolnsäkerhetSig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & MolnsäkerhetPredrag Mitrovic
 
Powex it helpdesk & cloudonline rev c
Powex it helpdesk & cloudonline rev cPowex it helpdesk & cloudonline rev c
Powex it helpdesk & cloudonline rev cChristerLarsson22
 
Slides byos - bring you own software
Slides byos - bring you own softwareSlides byos - bring you own software
Slides byos - bring you own softwareSanna Tupala
 
Chefsintrodution VäRmdö Kommun
Chefsintrodution VäRmdö KommunChefsintrodution VäRmdö Kommun
Chefsintrodution VäRmdö KommunJörgen Sandström
 
Dags för nya vägval inom IT-drift & säkerhet.
Dags för nya vägval inom IT-drift & säkerhet.Dags för nya vägval inom IT-drift & säkerhet.
Dags för nya vägval inom IT-drift & säkerhet.Nils Degerholm
 
Vad är Liferay? 3 Case
Vad är Liferay? 3 CaseVad är Liferay? 3 Case
Vad är Liferay? 3 CaseEmil Öberg
 
Jan Zandrén
Jan ZandrénJan Zandrén
Jan ZandrénJan Zandr
 
Itsnillet Foretagspresentation
Itsnillet ForetagspresentationItsnillet Foretagspresentation
Itsnillet Foretagspresentationjohanandersson
 
checklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhetchecklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhetOskar Ehrnström
 
Maintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhållMaintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhållMaintpartner Group
 
Arbeta var du vill- eBook om modern mobilitet
Arbeta var du vill- eBook om modern mobilitetArbeta var du vill- eBook om modern mobilitet
Arbeta var du vill- eBook om modern mobilitetF-Secure Corporation
 

Ähnlich wie Mobila enheter och informationssäkerhetsrisker för nybörjaren (20)

Frukostseminarium om revision av mobila enheter 2013-03-08
Frukostseminarium om revision av mobila enheter 2013-03-08Frukostseminarium om revision av mobila enheter 2013-03-08
Frukostseminarium om revision av mobila enheter 2013-03-08
 
Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 Agenda
 
Gassås-broschyr
Gassås-broschyrGassås-broschyr
Gassås-broschyr
 
Gassås Folder 2014
Gassås Folder 2014Gassås Folder 2014
Gassås Folder 2014
 
Logica dlp event presentation
Logica dlp event presentationLogica dlp event presentation
Logica dlp event presentation
 
SäKerhet I Molnen
SäKerhet I MolnenSäKerhet I Molnen
SäKerhet I Molnen
 
Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009Agenda Security Stockholm 15okt2009
Agenda Security Stockholm 15okt2009
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
 
Sig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & MolnsäkerhetSig security fokusdag 2011 CIO & Molnsäkerhet
Sig security fokusdag 2011 CIO & Molnsäkerhet
 
Powex it helpdesk & cloudonline rev c
Powex it helpdesk & cloudonline rev cPowex it helpdesk & cloudonline rev c
Powex it helpdesk & cloudonline rev c
 
Slides byos - bring you own software
Slides byos - bring you own softwareSlides byos - bring you own software
Slides byos - bring you own software
 
Chefsintrodution VäRmdö Kommun
Chefsintrodution VäRmdö KommunChefsintrodution VäRmdö Kommun
Chefsintrodution VäRmdö Kommun
 
Nygammalt om molnlöftet
Nygammalt om molnlöftetNygammalt om molnlöftet
Nygammalt om molnlöftet
 
Dags för nya vägval inom IT-drift & säkerhet.
Dags för nya vägval inom IT-drift & säkerhet.Dags för nya vägval inom IT-drift & säkerhet.
Dags för nya vägval inom IT-drift & säkerhet.
 
Vad är Liferay? 3 Case
Vad är Liferay? 3 CaseVad är Liferay? 3 Case
Vad är Liferay? 3 Case
 
Jan Zandrén
Jan ZandrénJan Zandrén
Jan Zandrén
 
Itsnillet Foretagspresentation
Itsnillet ForetagspresentationItsnillet Foretagspresentation
Itsnillet Foretagspresentation
 
checklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhetchecklista för att skapa en effektiv cybersäkerhetsenhet
checklista för att skapa en effektiv cybersäkerhetsenhet
 
Maintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhållMaintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhåll
 
Arbeta var du vill- eBook om modern mobilitet
Arbeta var du vill- eBook om modern mobilitetArbeta var du vill- eBook om modern mobilitet
Arbeta var du vill- eBook om modern mobilitet
 

Mehr von Transcendent Group

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activityTranscendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetTranscendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 

Mehr von Transcendent Group (7)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 

Mobila enheter och informationssäkerhetsrisker för nybörjaren

  • 1. Mobila enheter och informationssäkerhetsrisker för nybörjaren Marcus Larsson 20 maj, GRC 2015
  • 2. Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. Transcendent Group har fyra år i rad utsetts till en av Sveriges bästa arbetsplatser. Om företaget ©TranscendentGroupSverigeAB2015
  • 3. Agenda • Bakgrund och statistik • Varför syna mobil säkerhet? • Hur går man till väga? • Hemläxa: utmana din organisation ©TranscendentGroupSverigeAB2015
  • 4. Om mig • Bakgrund som IT-revisor och GRC-konsult inom offentlig sektor, finansiella sektorn, retail, med flera. • Tjänsteområdesansvarig för informationssäkerhet och CISO på Transcendent Group. • Granskare och rådgivare kring informationssäkerhet och IT-säkerhet. • CISA, CISM, CISSP, CRISC, CEH, ITIL-certifierad. ©TranscendentGroupSverigeAB2015
  • 5. Varför syna mobil säkerhet? ©TranscendentGroupSverigeAB2015
  • 6. Riskbilden Användning av mobila enheter har varit, och fortsätter att vara en källa till säkerhetsincidenter. Centrala riskområden är: • Brist på lämpliga styrande principer, procedurer och kontroller i samband med hantering av mobila enheter. ©TranscendentGroupSverigeAB2015
  • 7. 0% 10% 20% 30% 40% 50% 60% 2013 2015 Antal personliga enheter som lagrar företagsdata Personliga enheter anslutna till företagsnät Bakgrundsinformation och statistik Ny studie genomförd i fem länder visar: • 56% av tillfrågade uppger att antalet personliga enheter som lagrar företagsdata ökat från 37% 2013 till 56% slutet av 2014. • 95% tampas idag med utmaningar av personligt ägda enheter som är anslutna till verksamhetens nätverk (BYOD). ©TranscendentGroupSverigeAB2015 Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
  • 8. Bakgrundsinformation och statistik • Antalet mobila enheter anslutna till företagsnätverk växer. • Säkerhetsincidenter kopplade till mobila enheter ökar, och så även kostnaden att fixa problemen. • 82% av tillfrågade säkerhetsexperter tror att mobila säkerhetsincidenter kommer fortsätta öka. • 64% uppger att kostnaden för att avhjälpa mobila säkerhetsincidenter ökar. • 42% av tillfrågande i företagsledningen uppger att en mobil säkerhetsincident i regel kostar mer än $250.000 ©TranscendentGroupSverigeAB2015 60% 62% 64% 66% 68% 70% 72% 74% 76% 2012 2013 2014 Personliga enheter anslutna till företagsnät Personliga enheter anslutna till företagsnät Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals”
  • 9. Hur går man till väga? ©TranscendentGroupSverigeAB2015
  • 10. Att syna mobil säkerhet • ansats, riskanalys/ avgränsningar/syfte • policy och riktlinjer • riskanalyser • enhetshantering • tekniska kontroller • administrativa kontroller • säkerhetsmedvetande och utbildning ©TranscendentGroupSverigeAB2015
  • 11. Riskbaserad ansats • Varför har frågan dykt upp? • Inträffade incidenter? • Nya lagkrav på informationssäkerhet? • Verksamhetsrisk – Finns ett starkt beroende av mobila enheter idag? • Diskutera med ledningen. ©TranscendentGroupSverigeAB2015 Riskbaserad ansats }
  • 12. Policy & Riktlinjer • Lämpligt utformad policy: – Dataklassificering – Godkända enhetstyper och säkerhetskrav – Centrala processer för hantering av enheter • Riktlinjer för hantering och användande • Uppdaterade och relevanta rutiner och instruktioner • Översyn årligen och på förekommen anledning • Löpande riskanalyser • Ledningens engagemang ©TranscendentGroupSverigeAB2015 Policy Riktlinjer Rutiner och instruktioner Plan Do Check Act
  • 13. Vad är viktigast? värdeskapande kostnadseffektiv riskmedveten regelefterlevande ©TranscendentGroupSverigeAB2013
  • 14. Regelbundna riskanalyser • Risker kopplade till mobila enheter identifieras och hanteras löpande • Periodiskt återkommande rapportering till ledningen (minst årligen) • Riskregister och uppföljning av åtgärder • Ledningens förståelse och engagemang • Verksamhetsrisker och rätt nomenklatur • Finns relevanta KRI:er identifierade idag? ©TranscendentGroupSverigeAB2015
  • 15. Administration och teknik, det där sköter väl… IT? ©TranscendentGroupSverigeAB2015
  • 16. Inte riktigt så enkelt Operativsystem- och databasplattformar under flera system Processer sträcker sig över flera system, kostnadsställen Data finns i flera system och byter värde och kravbild längs medvägen Verksamhetsmål och kostnadsställen Informationen i centrum ©TranscendentGroupSverigeAB2015 }-------------------------------- vem äger risken? + vem ombesörjer? + intern politik ( ) ^2
  • 17. Administrativa kontroller • Tillämpliga kontroller i alla processer • Ansvar, roller och rutiner • Vem äger systemen, processen och informationen? • Vem äger risken? • Avsteg från riktlinjer Behörighetshantering Systemutveckling Ändringshantering ©TranscendentGroupSverigeAB2015 Generella IT-kontroller}
  • 18. Tekniska kontroller 1/3 Behörighetsstyrning • Dataklassifikation • Tillgång till särskilt känslig information • Autentisering (PIN, komplex, stark/svag) Skydd mot dataförlust • Spårning av enheter (om tillämpligt/lagligt/etiskt) • Fjärrövervakning och kontroll • Regler för överföring/delning av data • Synkronisering mot molnet • Inkoppling av flyttbar media som ex. USB-enheter • Data Loss Prevention (DLP) ©TranscendentGroupSverigeAB2015
  • 19. Tekniska kontroller 2/3 Kryptering • Dataklassifikation • Krypterad lagring och överföring • Centralt hanterad • Avvikelser upptäcks, hanteras och incidentrapporteras Regler för överföring • Policy och dataklassificering sätter kraven • Vilken data får röra sig mellan olika zoner, och under vilka förutsättningar? Mellan olika applikationer, urklippshanteraren, nätverkszoner, lokala lagringsytor etc. • Centralt hanterade kontroller (förhindrande och upptäckande) • Tillämplig säkerhetsmekanik för informationens risk (VPN, IPSEC, SSL etc.) ©TranscendentGroupSverigeAB2015
  • 20. Tekniska kontroller 3/3 Skydd mot skadlig mjukvara • Malwareskydd (antivirus, antispionmjukvara etc) • Begränsning av installation av appar (whitelist/blacklist) • Verksamhetsunik applikationskatalog ”egen appstore” • Container för känslig verksamhetsinformation • Avsteg upptäcks och hanteras Intrångsskydd • Begränsad åtkomst mot verksamhetens infrastruktur • Upptäckande kontroller ©TranscendentGroupSverigeAB2015
  • 21. Nått man kan vara säker på är att hårddiskar kraschar, det regnar på midsommarafton och mobiler tappas bort… ©TranscendentGroupSverigeAB2015
  • 22. Enhetshantering BOYD/CYOD? - Policy styr Riskanalys innan nya enhetstyper tillåts Kontrollmiljö - Begräsningar beroende på enhetstyp Enrollment/derollment av enheter Mobile Device Management-verktyg (MDM) ©TranscendentGroupSverigeAB2015
  • 23. Säkerhetsmedvetande: hur stort är problemet? ©TranscendentGroupSverigeAB2015
  • 24. Olika utmaningar och exempel Skifte i kontroll och kravställning (consumerization) • Vem äger enheten? • IT- ställde tidigare krav, nu gör användaren det. • Säkerhetsuppdateringar sker nu av användaren. • Var går gränsen mellan arbetsverktyg och privat leksak? • Lägre krav på säkerhet och högre krav på användarvänlighet. 20 års lärdomar kan ibland kastas vid väggrenen. ©TranscendentGroupSverigeAB2015
  • 25. Ny teknik, samma dilemma användar- vänlighet säkerhet ©TranscendentGroupSverigeAB2015
  • 26. Mer statistik ©TranscendentGroupSverigeAB2015 Källa: Checkpoint Survey Oct 2014 – ”The impact of mobile devices on information security: a survey of it and security professionals” Nyligen utförd studie visar att: • 87% av tillfrågade säkerhetsansvariga säger att vårdslösa anställda idag utgör ett större hot än cyberkriminella. • 63% säger att anställda nyligen bidragit till högprofils säkerhetsincidenter. • 92% säger att medarbetares korrekta beteende kunde förhindrat nyligen inträffade allvarliga säkerhetsincidenter. Anställdas handlingar har den största negativa påverkan på mobil säkerhet
  • 27. Fundera på följande, vad är sagt hos er? • Vad får fotograferas med enhetens inbyggda kamera? • Är fotografierna på styrelsens whiteboard krypterad på minneskortet? • Synkroniseras jobbmaterial och fotografier till molnet och sen vidare till exempelvis en ”time capsule” på landstället? • Är det OK att låna ut Ipaden till barnen på väg till landstället? • Är det OK att skicka runt Ipaden på en fest för att visa fiskebilder? • Får man som anställd ansluta enheten till trådlösa okända nätverk utomlands, exempelvis caféer och flygplatser? • Varför är 4 siffrors kod för inloggning ok på mobiler medan det inte är det på datorer? Vilka kompenserande kontroller finns i så fall? ©TranscendentGroupSverigeAB2015
  • 28. Tone at the top ©TranscendentGroupSverigeAB2015
  • 29. Säkerhetsmedvetande • En av de största riskerna för en organisations informationssäkerhet är oftast inte en svaghet i den tekniska kontrollmiljön. • Handlingar eller underlåtenhet av anställda och annan personal leder ofta till säkerhetsincidenter som: – utlämnande av känslig information. – utnyttjande av obefogad tillgång till känslig information utan att följa lämpliga förfaranden. – att inte rapportera observerade aktiviteter och händelser. ©TranscendentGroupSverigeAB2015
  • 30. Säkerhetsmedvetande • Viktigt att organisationer har ett program för säkerhetsmedvetenhet för att säkerställa att: – De anställda är medvetna om vikten av att skydda känslig information och vad de ska göra för att hantera information på ett säkert sätt samt att minska risken för misskötsel gällande känslig information. • Medarbetarnas förståelse för de organisatoriska och personliga konsekvenserna av felhantering känslig information är idag av avgörande betydelse för en organisations framgång. • Frånsteg från regler upptäcks, åtgärdas incidentrapporteras. Disciplinära åtgärder bör vidtas vid grov oaktsamhet eller medvetna avsteg från regler. Återkommande problem områden hanteras strukturerat. ©TranscendentGroupSverigeAB2015
  • 31. Säkerhetsmedvetande och utbildning Awareness-utbildning: • Alla anställda får grundläggande utbildning av hur att hantera mobila enheter och riskerna förknippade med dem. • Fördjupad utbildning sker av personal vars hantering av och tillgång till information ställer ytterligare krav på kontroll och riskmedvetande. • Utbildning vid anställning/mottagande av mobil enhet, årligen uppdatering samt vid förekommen anledning. • Kompetensprov och krav på kvalifikationer finns etablerade. • Utbildningen uppdateras löpande efter hotbild • Återkoppling från riskanalyser och inträffade incidenter reflekteras i utbildningens utformning och fokus. ©TranscendentGroupSverigeAB2015
  • 32. Vart är trenden på väg? ©TranscendentGroupSverigeAB2015
  • 33. Ytterligare mobilisering innebär ökad risk Användningen av mobila enheter som faktiskt arbetsverktyg fortsätter att öka. Arbete på distans sätter nya krav på framtida tjänster på mobila enheter. Arbetsmoment såsom tidrapportering, fakturering och attestering börjar nu utföras via mobila enheter. Således inte längre bara konfidentialitet som är viktigt utan även tillgänglighet och riktighet ©TranscendentGroupSverigeAB2015
  • 34. Nu till er egen hemläxa 1. Har ni tillförlitlig riskhantering på er mobila enheter idag? 2. Utbildning och riskmedvetande, hur ser ert program för detta ut idag och imorgon? ©TranscendentGroupSverigeAB2013