Velkommen Har du husket at sætte en gratis P- billet i forruden ? - de fås i receptionen There is no Quickfix

C-cure – IT sikkerhed siden 1993 IT Sikkerhed, rådgivning, rapporter, løsninger, implementering og support. Danske og internationale leverandører Stort internationalt netværk af sikkerhedsspecialister. Leverandør til staten, kommuner, nationale og internationale organisationer, små og store virksomheder. Udvalgsmedlem af Sikkerhedsudvalget under Dansk Industri/ ITEK

Dagens agenda 08:30 Velkommen 08:45 Politiets NC3, Kim Aarenstrup 09:25 Kort pause 09:30 Bitdefender, Bo Skeel 10:05 Heimdal, Valentin Gersby Stilling 10:35 Pause med vand og frugt 10:50 SMS Passcode, Kim Lindberg 11:25 Kort pause 11:30 Arellia, Joseph Carson 12:00 Security Awareness, Mette Nikander 12:20 Afrunding og frokostsandwiches

Persondataloven I dag Persondataloven Baseret på persondatadirektivet Forskelle i implementering fra land til land Fremtiden Samme forordning i hele EU Samme regler Divergerende fortolkning

Overordnede principper beholdes Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlige for behandlingen Personhenførbare data må ikke kunne komme trediepart til kendskab, heller ikke hosting- eller cloud providere. Større fokus på: Gennemsigtighed Dokumentation Datasubjektets egen kontrol Regelmæssige PIA’s DPO roller Lovgivning

Security Awareness

Frustration? I en udeltagende organisation vil man møde: inkompetente brugere, ligeglade ignoranter, og arrogance - det er og bliver den største trussel mod virksomheden!

Knowledge is power

Oplagte brugerfejl Ligeglade eller utilfredse medarbejdere Uhensigtsmæssig brugeradfærd i sociale fora,- hvilke informationer deles? Manglende kendskab til loven Manglende kendskab til virksomhedens sikkerhedspolitikker Adgang til konfidentielle data for uautoriserede brugere Se efter- og dæm op for: Brug af eksternt udstyr i virksomheden,- privat telefon, PC eller f.eks. Privat eller fundet USB

Bruger/enhed kontrol og rettigheder

Ved du at du har styr på sikkerheden, eller tror du at du ved det? Du kan være i compliance ved et tilfælde, men hvis du ikke ved om du er det, er du ikke i kontrol! Sikkerheds tiltag der er identificeret, som manglende er ikke et problem. Det er et problem hvis du ved det og ikke gør noget ved det! Eller hvis du ikke ved det, fordi du ikke aner hvad der foregår. Compliance =Kontrol?

Kender I til dataflow og holdes det op mod trusselsbilledet? Ved I hvad der sker på Jeres netværk? Kan jeres forretningsforbindelser være trygge i kommunikationen med Jer og brugen af Jeres løsninger? Har I overblik? (Udsættes I for APT angreb, hacking, spearphishing, ransomware eller f.eks. misbrug af jeres datakraft til kriminelle formål?) Er I direkte eller indirekte underlagt compliance bestemmelser? Hvis en af Jeres kunder eller eksterne konsulenter har et sikkerhedsproblem, kan det muligvis sprede sig ind i Jeres egen infrastruktur, eller til jeres kunder. Er der tænkt et forsvar og en handlingsplan ind i den sammenhæng? Hvordan vil I kommunikere det videre, hvis det bliver nødvendigt? Er I i kontrol?

Hvordan informeres der om trusselsbilledet internt? Har I signaleret tydelige retningslinjer til medarbejdere og samarbejdspartnere omkring Jeres IT Politik? Er der repressalier hvis IT politikkerne ikke overholdes? Er der nødvendige værktøjer og procedurer på plads for at beskytte virksomheden, værdierne og medarbejderenes identitet og integritet? Hvis I udsættes for kriminalitet har I så værktøjer til at logge og dokumentere det? Hvilke tiltag har I truffet?

5 væsentlige forudsætninger for succesfuld Security Awareness : 1.Ledelsen skal gå forrest 2.Kreativitet og evnen til at lytte til brugerne og eksperimentere. 3.Skab en stærk fælleskabsfølelse og feed-back kultur 4.Giv incitamenter til at ændre status Quo 5.Bevar kontinuitet og evnen til at repetere og skalere Metode

Integrer således i høj grad ledelse, medarbejdere og andre interessenter i awareness programmet. Vær 100 % dedikeret til at skabe engagementet. Udpeg og dyrk dine mest passionerede innovatører /ambassadører og giv dem værktøjer i forløbet til at løfte opgaven. Metode

Think big - Act small Brug Rapid Prototyping- gå efter nøjagtig, troværdige og let forståelige budskaber. Metode

Motivation

Værktøj - eksempler: Informative nemme datablade Små underholdende film Mini indlæg til fredagsbar Større foredrag, måske med en international taler ”Hvad vil du gøre for en chokolade”- kampagne, til påmindelse om sikkerhedspolitikkerne, eller en regel der skal læses og kvitteres for. Plakater i afdelingerne og ”gadget kampagner” med f.eks. kuglepenne, musemåtter, kopper, USB nøgler, lommeregnere, isskrabere, tasker, nøglehusker etc.

Vær tålmodig og pædagogisk! Test på delmål, så I altid sigter og rammer optimalt!

Motivation ISO27000 giver et framework at arbejde ud fra, og et sted at starte – proces men også logisk tankegang Mindre kan gøre det, og det vigtigste er at komme i gang!

Find inspiration på

Kæden er ikke stærkere end det svareste led… C-cure underviser både udbydere, virksomheder og medarbejdere i awareness. På Security Awareness Portal kan almindelige borgere gratis få gode råd, ordforklaringer og teste deres viden om IT Sikkerhed. (fra årige) Virksomheder kan bestille awareness kampagner, kampagnesites og tests designet efter individuelle behov. Awareness