Præsentation fra PCTY 2012 v. Jørgen Sørensen fra Deloitte

1. Bring Your Own Device
- de juridiske og ledelsesmæssige aspekter
i et sikkerhedsperspektiv
Jørgen Sørensen
22 may 2012
© 2012 Deloitte.

2. Jørgen Sørensen
Partner i Deloitte – Enterprise Risk Services
Mail: josoerensen@deloitte.dk / mobil +45 2331 8995
24 års praktisk erfaring med it-revision og sikkerhedsrådgivning
Er certificerede CISA, CISM CISSP, CGEIT, CRISK
Er fungerende Informationssikkerhedschef i 2 store danske organisationer:
• 3F - Faglig Fælles Forbund
• Københavns Lufthavne
Er ansvarlig for Deloittes Cyber Security Services i Danmark og medlem af
Deloitte global Cyber Security Team
Arbejder bl.a. med reorganisering og transformering af sikkerhedsfunktioner
samt sikkerhedsrådgivning for en lang række stor private og offentlige
virksomheder.
© 2012 Deloitte.

3. Bring Your Own Device – BYOD
- But don’t Bring Your Organisation Down
• Hvorfor BYOD nu ?
• BYOD i et sikkerhedsperspektiv
• 3 udfordringer
• Løsningen ?
Bring Your Own Device er den voksende trend, hvor
medarbejderne bruger deres eget foretrukne it-udstyr i
stedet for det virksomheden stiller til rådighed.
3 © 2012 Deloitte.

4. Bring Your Own Device
- En fordel for brugerne og virksomheden
Højere Besparelser
fleksibilitet i Hurtig Transport på udstyr
arbejdet udvikling -abel
Den mest
Højere bruger- effektive
tilfredshed teknologi
Høj- benyttes
funktionel
Generation-z også kaldet ”digital natives” er nu
ankommet på arbejdsmarkedet.
4 © 2012 Deloitte.

5. BYOD i et sikkerhedsperspektiv
5 Presentation title © 2012 Deloitte.

6. Cyberkriminelle
- Aktørerne
Raffinement
Stats-
sponsoreret
cyber warfare
Organiseret
Malware
kriminalitet
Hacker-
Leverandører Konkurrenter
kollektiver
Forsmået Business Enlig/hobby
Cyberterror
kunde partner hacker
Forsmået
Tilfældig
Insider ’Script kiddy’ ex- Hacktivism
opdagelse
medarbejder
Beslutsomhed © 2012 Deloitte.

7. Sikkerhedsdilemmaet
Adgang til data
Høj
Kontrol med
sikkerheden
Lav
Central IT Decentralisering Web- Device- Cloud
enabling enabling BYOD
7 Teknologisk udvikling © 2012 Deloitte.

8. Konkret eksempel – Brug af i-cloud
BYOD gør det svært Ansvaret for data
at kontrollere er stadig hos
medarbejderens virksomheden,
brug af Cloud- men kontrollen er
services nu begrænset.
Øget risiko for, at Awareness må
virksomhedens data dække ind, hvor
ender ubeskyttet i kontrollen ikke
skyen. er tilstrækkelig.
8 © 2012 Deloitte.

9. 3 udfordringer
9 Presentation title © 2012 Deloitte.

10. BYOD - nye udfordringer ?
Tekno-
Teknologiske
Styrings-
Juridiske
logiske
udfordringer mæssige
udfordringer
udfordringer udfordringer
Styringsmæssige
udfordringer
10 © 2012 Deloitte.

11. Juridiske udfordringer Tekno-
Teknologiske
logiske
udfordringer
udfordringe
r
Styrings-
Juridiske udfordringer
mæssige
udfordringer
Styringsmæssige
- hvem ejer data? udfordringer
Ejerskab af selve Er det muligt at skelne
enheden er ikke mellem virksomhedens
ensbetydende med data og medarbejderens
ejerskab af data! data?
Under det gamle
paradigme var
Så længe der tillades
et mix af data vil der hovedparten af data
være udfordringer! arbejdsrelaterede –
I en BYOD kontekst
kan det nemt svinge
til den anden side.
11 © 2012 Deloitte.

12. Eksempler på juridiske udfordringer Tekno-
Teknologiske
logiske
udfordringer
udfordringe
r
Styrings-
Juridiske udfordringer
mæssige
udfordringer
Styringsmæssige
- skift i ejerskab/rettigheder udfordringer
Må Må
Hvem styre virksomheden virksomheden
Større risiko for
licens- slette data ved skaffe sig
informationstab
rettigheder? mistanke om adgang til data?
misbrug?
Tab af
Må kontrol
Må enheden
virksomheden
inddrages ved Større risiko for
løbende føre
mistanke om brud på love og
kontrol med
misbrug? regler
brugen af
enheden?
12 © 2012 Deloitte.

13. Privacy udfordringer Tekno-
Teknologiske
logiske
udfordringer
udfordringe
r
Styrings-
Juridiske udfordringer
mæssige
udfordringer
Styringsmæssige
- kan virksomheden aftale sig ud af problemstillingen? udfordringer
Må virksomheden slette
data ved mistanke om
misbrug?
Må virksomheden
løbende føre kontrol
med brugen af
enheden?
– men det kræver
Ja klart samtykke og
Må enheden inddrages aftale
ved mistanke om
misbrug?
Må virksomheden
skaffe sig adgang til
data?
13 © 2012 Deloitte.

14. Teknologiske udfordringer Tekno-
Teknologiske
logiske
udfordringer
udfordringe
Styrings-
Juridiske udfordringer
mæssige
udfordringer
- flere forskellige enheder og operative systemer r
Styringsmæssige
udfordringer
Hvordan låses/
Hvilken Hvilke anti-virus wipes enheden Større risiko for
adgangskontrol? installation? ved misbrug? informationstab
Tab af
kontrol
Hvilke 3. parts
Større risiko for
applikationer
Datasikkerhed? brud på love og
Text installeres?
regler
14 © 2012 Deloitte.

15. Eksempler på styringsmæssige udfordringer Tekno-
Teknologiske
logiske
udfordringer
udfordringe
r
Styrings-
Juridiske udfordringer
mæssige
udfordringer
Styringsmæssige
- som resultat af de nye udfordringer udfordringer
Hvordan skal
Retningslinjer for
nye trusler
brug af
identificeres?
enheder?
Behov for nye
styrings-
Hvordan mekanismer
Hvordan kontrolleres
håndteres tekniske
bortskaffelse af løsninger i
enheder? praksis?
15 © 2012 Deloitte.

16. Sikkerhedsadministrationens modenhed
Implementeret Best Practice indenfor tekniske sikkerhedsforanstaltninger og awareness i virksomheden .
Entydig forståelse og gode incitamenter for overholdelse af sikkerhedskravene i virksomheden.
5 Effektiv sikring af virksomhedens data, uanset hvor de behandles ved anvendelse af teknologi.
Ledelsesmæssig forståelse for betydningen af risikobasered og effektiv sikkerhed
Anvendelse af ISMS.
Risikovurderingen er et ledelsesværktøj
4 Formel sikkerhedsudvalg
Uddannelse og træning af medarbejderne i sikkerhed
Informationssikkerhedspolitik og retningslinjer
Risikovurdering af Informationsaktiv
3 Fuldtids sikkerhedsfunktion
Ledelsen har sikkerhedsforståelse
It-sikkerhedspolitik
2 Deltids sikkerhedsansvarlig
Sikkerhedsforanstaltninger
implementeres ad hoc
1 efterhånden som
sikkerhedsbehov opstår
Mennesker Processer Teknik
© 2012 Deloitte.

17. Effektivt styringssystem Tekno-
Teknologiske
logiske
udfordringer
udfordringe
r
Styrings-
Juridiske udfordringer
mæssige
udfordringer
Styringsmæssige
udfordringer
Governance Tekniske løsninger
• Politikker • Access Management.
• Guidelines - for håndtering af • Kryptering
data og mobile enheder • Data Loss Prevention
• God databehandlingsskik • Logning/ IDS/IPS
Transformation af
styringsmekanismerne
for sikkerhed
Awareness Procedurer
• Træning • Principbaseret regulering
• Holdningsundersøgelse • Principper for sikring af
• Awareness programmer egen enhed
17 © 2012 Deloitte.

18. Løsning
18 Presentation title © 2012 Deloitte.

19. Løsning
- BYOD er bare en udfordring
• BYOD kræver juridiske overvejelser og nye regler og krav
• BYOD kræver en mere principbaseret tilgang til reguleringen af
informationssikkerheden og mere awareness
• Sikring af data ved BYOD kræver anvendelse af sikkerhedsteknologi
• BYOD (og de nye sikkerhedsudfordringer) giver sikkerhedsfunktionen
mulighed for at skabe fokus på de effektive styringsmekanismerne:
• Ledelsesinvolverede risikostyring
• ISMS
• Awareness programmer
• Reel data sikkerhed
• Tekniske sikkerhedsløsninger
Behovet for en effektiv sikkerhedsfunktion er og vil være stigende i takt med
øget regulering, trusler og forretningsmuligheder
– så udnyt det
19 © 2012 Deloitte.

20. Spørgsmål ?
20 © 2012 Deloitte.

21. Deloitte Touche Tohmatsu Limited
Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begræn-set ansvar, og dets netværk af medlemsfirmaer. Hvert
medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i
Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.
© 2012 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited
© 2012 Deloitte.