it risk management

Læs mere om Trusselskataloget

Arbejder du med IT-sikkerhed, risk eller compliance, og har du brug for et aktuelt billede af de aktuelle cybertrusler? Den udfordring løser LinkGRC med sin serviceydelse kaldet ”Trusselskataloget”. Eksperterne fra LinkGRC screener truslerne og opdaterer løbende et katalog med over 500 trusler, som bliver bearbejdet, koncentreret og prioriteret. Trusselskataloget rummer også forslag til, hvordan man som virksomhed kan arbejde med dem.

Læs det nye produktblad om Trusselskataloget her: www.linkgrc.com/trusselskataloget

cybersikkerhed

Cybersikkerhed 2018 – “Vi kan alle blive ramt”

“Vi kan alle blive ramt”

Risiko Radio bringer dig helt up-to-date på de IT-sikkerhedstrusler, som kan ramme din virksomhed i 2018.

Tomas og Michael er taget på besøg hos en af Danmarks førende IT-sikkerhedseksperter, Jan Kaastrup fra CSIS Security Group A/S https://www.csis.dk/

I denne episode af Risiko Radio giver Jan os et indblik i de cyber-risici, vi skal have paraderne op for.

Fraud Trends: Den store trend, som vi formentlig kommer til at se meget mere af i 2018 er CEO og Vendor Fraud, hvor gerningsmændene hacker sig ind e-mail kontoen hos en CEO eller en leverandør – og får en finans- eller bogholderimedarbejder til at overføre penge til andre konti. Samtidig opdaterer Jan os på, hvordan phishing-angreb mod både virksomheder og private er blevet mere og mere avancerede.

Ransomware: Ransomware er i bund og grund et stykke ondsindet software, som inficerer din computer og krypterer hele eller dele af data på computeren – og kræver løsesum, for at dekryptere filerne igen.

Statssponsorerede angreb: En ny tendens, som vi formentlig kommer til at se mere af i 2018 er statssponsorerede angreb, herunder angreb hvor stater som fx Nordkorea prøver at tjene penge på cyber-kriminalitet.

LÆS MERE om CSIS Security Group og hvordan de hjælper deres kunder med at stoppe cyber-angreb her: https://www.csis.dk/

FIND RISIKO RADIO HER:

iTunes – find Risiko Radio her: http://bit.ly/risikoradio
Stitcher – find Risiko Radio her: http://bit.ly/risikoradiostitcher

HUSK AT LINKE OP MED TOMAS OG MICHAEL PÅ LINKEDIN:
Tomas Hellum på Linkedin: https://www.linkedin.com/in/tomas-thobias-hellum-1b0a741/
Michael Sjøberg på Linkedin: https://www.linkedin.com/in/michaelsjoeberg/

cyber risk

Cyberkriminalitet er den nye normal

Kronik af Tomas Thobias Hellum i Børsen d. 27. november 2017

Hacking og andre former for cyberkriminalitet er “the new normal,” og vi er nødt til at vinke farvel til nulfejlskulturen

Topchefer bliver ikke fyret, fordi virksomheden oplever hacking, kompromitterer persondata eller har et it-relateret nedbrud.
Topchefer bliver fyret, hvis de ikke håndterer problemet hurtigt og ansvarligt. Cyberkriminalitet er “the new normal”, og vi skal vinke farvel til nulfejlskulturen.
Perlerækken af kriser relateret til it-sikkerhed både på den nationale og den globale scene taler et meget tydeligt sprog.
I starten af september rapporterede det store amerikanske kreditbureau Equifax, at hackere havde fået adgang til – og hold nu fast – personlige data om 143 millioner mennesker. Lækken involverede social security numre – hvilket svarer til danskernes cpr-numre, fødselsdatoer, kørekortnumre og for 209.000 personer også kreditkortnumre.
Hackingen blev opdaget 29. juli, og ledelsen var altså seks uger om at standse ulykken, informere offentligheden og involvere de ramte.
Aktiekursen faldt som en sten.
Krisehåndteringen fra selskabets side var ugennemtænkt og viste ingen ansvarlighed. Topchefen blev fyret i slutningen af september.
Globalt set har også et konsulenthus som Deloitte oplevet meget alvorlige sikkerhedsproblemer, hvor e-mails med kundedata har ligget åbne i månedsvis.
Herhjemme har vi for nylig både set Mærsk være under angreb og set danske ministerier under beskydning i et efterskælv af Muhammed-tegningerne.

Tænk på naturkatastrofen
Selv de største, mest velrenommerede og mest kompetente virksomheder kan altså ikke gardere sig 100 pct.
Det er et faktum og et globalt vilkår. Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyber-kriminalitet. Alle kan blive ofre for at jordskælv. Alle kan også blive udsat for ondartet hacking. Det skal en ledelse ikke fyres for.
I vores egen nationale sammenhæng er det min påstand, at langt de fleste virksomheder dukker hovedet og tier stille, når de er under angreb. Og de fortsætter denne stilleleg også efter angrebet.
Teleselskabet 3 og Mærsk er til gengæld præmieeksempler på det modsatte, og her taler ingen om, at der skal rulle hoveder.
I takt med at cyberkriminaliteten vokser, og trusselsbilledet inden for it-sikkerhed vokser i frekvens, kvantitet og udspekulerethed, vil den åbne linje være den eneste farbare vej.
Om få år bliver man fyret for lukkethed, fordi man så ikke bidrager til samfundets arbejde med at dæmme op for digital kriminalitet.

Åbenhed er nøglen
Hvad kan man så gøre?
Ja, vi kan starte med at erkende og beskrive it-risikoen i årsrapporten. Baseret på en nøgtern vurdering af hvor risikoen er størst. Åbenheden udadtil skal bygge på åbenhed indadtil, så man lærer af egne – og meget gerne andres – fejl og hændelser.
Ligesom i al anden risikostyring må ledere vurdere den forretningsmæssige effekt af cyberkriminalitet og it-sikkerhed, og kortlægningen af den økonomiske effekt indgår i designet af forebyggelsen og kriseberedskabet.
På det her område er nulfejlskultur den faktiske hovedfjende.
Hvis virksomheden tror på nul fejl, tager den ikke problemet alvorligt nok, og den skruer ikke sin risikostyring sammen på en optimal måde. Strudsetaktikken hører fortiden til.
Vi skal opbygge en kultur, hvor risikostyringen er indbygget i beslutningernes dna. Det er ikke nok, at et berømt konsulentfirma giver os et flot stempel, og det er heller ikke nok at parkere opgaven hos en lille stabsfunktion.
God praksis er i stedet at implementere fokuseret risikostyring startende med overvågning af de it-relaterede risici, der kan påvirke vores strategiske mål, lovgivningsmæssige krav eller omdømme og indføre foranstaltninger og nøglekontroller for disse områder.
Risikotænkningen skal være med helt ude i hverdagen, så vi opnår en løbende læring om de faktiske hændelser. Det kræver en kultur, hvor man lytter – og ikke straffer – når nogen fortæller om problemer og uregelmæssigheder og nye potentielle trusler.

 

Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

 

Konkurrenter samarbejder
I finanssektoren ser man nu et samarbejdsorgan som FSOR, hvis formål er at dele erfaringer med cybersikkerhed. Det er perspektivrigt. På tværs af skel mellem konkurrenter skal vi arbejde sammen, fordi truslen er så stor.
De kriminelle organisationer er pr. definition foran i dette globale våbenkapløb, og vi er stærkere sammen.
Ligesom vi arbejder sammen om at beskytte fysisk infrastruktur mod naturkatastrofer, skal vi arbejde sammen om den digitale infrastruktur.
Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

Af Tomas Hellum, direktør, LinkGRC og rådgiver
databeskyttelse

IT- og dokumentsikkerhed (hvad gør vi egentlig selv?)

Risiko Radio episode 8

Truslen fra cyberkriminalitet er voksende – og de kriminelle udnytter i stigende grad medarbejderne som det svage led i sikkerhedskæden.

Vi tager i denne episode af Risiko Radio fat på de udfordringer, som mange organisationer har med IT- og dokumentsikkerheden i dag.

Og det er jo let nok at lyde kløgtig og som om, man selv har styr på det hele – så hvad gør vi egentlig selv? Og hvordan kan man være pragmatisk men effektiv omkring sin egen sikkerhed, sine passwords, apps og alt det andet?


Er du glad for Risiko Radio? Giv os 5 stjerner i iTunes og giv os en anbefaling med på vejen – vi bliver så glade for det! I podcast app’en skal du først søge på ‘Risiko Radio’, vælge Risiko Radio podcasten og trykke på ‘anmeldelser’ – så kan du give stjerne og/eller skrive en kort anmeldelse. Det hjælper os i dén grad med at komme ud til flere, så tusind tak på forhånd (især fordi det, som det vist fremgår ovenfor, er ret bøvlet at finde frem til dér, hvor man kan skrive anmeldelsen).