Embed Size (px)
Citation preview
Praktiskt cyber- säkerhetsarbete för tillväxtbolag och ägarledda medelstora företag
20 november 2019
PwCPraktiskt cybersäkerhetsarbete
Agenda
● Cybersäkerhet och cyberrisk
○ Bakgrund och utveckling
○ Det digitala hotlandskapet
○ Riskhantering
● Game of Threats
2
Cybersäkerhet och cyberrisk1
PwCPraktiskt cybersäkerhetsarbete
Cybersecurity? Cyberhot?Informationssäkerhet?Cyberrisker?
Vad är egentligen det där som alla pratar om?
4
PwCPraktiskt cybersäkerhetsarbete
Vad driver intresset för informations- och cybersäkerhet?
5
Regulatoriskt landskap
Marknadsförändringar Hotlandskap
Operativa och teknologiska utmaningar
PwCPraktiskt cybersäkerhetsarbete
Cybersäkerhet
6
● Strategi & riskaptit● Ledning, organisation
och arkitektur● Identifiera och bedöma
tillgångar och risker● Tredjepartsrisk● Uppföljning och
rapportering
● Informations- och it-säkerhet
● Nätverk & Infrastruktur● Dataskydd● Identity & Access
management● Threat Intelligence/
omvärldsbevakning● Utbildning och
medvetenhet
● Incidenthantering● Backup och återställning● Krishantering● Kontinuitetshantering för
verksamhet och IT● Kriskommunikation● Ständiga förbättringar
Mer än bara “säkerhet” och fokus på tekniska lösningar:
PwCPraktiskt cybersäkerhetsarbete
7
Omvärldsförhållanden
Kundkrav
Robusta cybersäkerhetsfunktioner
Standarder NIST Cybersecurity
FrameworkISO 27000
CIS 20 Critical Security Controls
Best practice
LagkravGDPR
NIS-direktivet Säkerhetsskyddslag
FI FFFS 2014:5MSB 2016:1
m.fl.
Cybersäkerhetshot (mänskliga, miljöbetingade)
Verksamhetskrav
Ökat kundförtroende och ökade marknadsandelarDigitalt förtroende
IntroduktionDigitalt förtroende
PwCPraktiskt cybersäkerhetsarbete
KonsekvenserHotlandskapet
Dataintrång
8
Hotlandskapet och dess påverkan
Finansiell risk
Operativ risk
Strategisk risk
Compliance risk
Insiderbrott
Läckta affärs-
hemligheter
Pådrivande reglering
Ineffektiv supply chain
Bristande produkt-design
Tvister
Top line:
● Förlust av intäkter
● Förlust av kundernas förtroende
● Erosion av marknadsvärde
● Strategisk nackdel
Bottom line:
● Kostnad för reparation och underhåll
● Kostnad hantering och återställning
● Produktivitetsförlust
● Rättegångskostnader
● Regulatoriska påföljder
Avbrott/Drift-
störningar
Stöld/ Bedrägeri
PwC Praktiskt cybersäkerhetsarbete
Det digitala hotlandskapet - aktörer
9
Insiders
Hacktivist Nationalstat
Organiserad brottslighet
Terrorism/ Sabotage
För informationen
För skadan För pengarna
För saken
PwCPraktiskt cybersäkerhetsarbete
3 av 4 organisationer kommer att drabbas av cyberincidenter under 2019, enligt WEF 2019 Global Risk Report
10”World's Biggest Data Breaches & Hacks - 2017-2019”, www.informationisbeautiful.net
PwCPraktiskt cybersäkerhetsarbete
11
PwCPraktiskt cybersäkerhetsarbete
● 49 % av bolagen i undersökningen har varit utsatta för en cyberattack
under 2018 och utvecklingen framåt väntas bli än dystrare.
● 65% räknar med att 2019 blir ett år med fler cyberattacker mot den egna
organisationen än 2018.
● 81 % anser att ny teknik som till exempel robotik och automatisering ökar
riskerna för cyberattacker.
Cyberhoten mot Sverige 2019
12
Trots att cyberhoten blir allt mer uppmärksammade så görs det inte tillräckligt för att öka säkerheten
https://www.pwc.se/sv/cyber-security/cyberhot-sverige.html
PwCPraktiskt cybersäkerhetsarbete
● 48 % såg en ökning av så kallade tredjepartsrisker under 2018.
● 76 % tycker inte att samhället gör tillräckligt för att ta
cybersäkerhetsutmaningarna på allvar.
● Cybersäkerhet är fortfarande en undanskymd fråga i många bolag.
● 28 % av informationssäkerhetscheferna (CISO) rapporterar direkt till vd
eller styrelse och av dessa är det endast fyra procent som rapporterar till styrelsen.
● 77 % anser att det behövs fler specifika utbildningar med inriktning
cybersäkerhet på universitet och högskolor.
Cyberhoten mot Sverige 2019
13
Trots att cyberhoten blir allt mer uppmärksammade så görs det inte tillräckligt för att öka säkerheten
https://www.pwc.se/sv/cyber-security/cyberhot-sverige.html
PwCPraktiskt cybersäkerhetsarbete
Cyberlandskapet och små- och medelstora företag
14
Hotbilden• Ökande hot mot små- och medelstora företag - 66%
attackerats senaste året
• Sofistikerade tillvägagångssätt - Phishing, komprometterande eller stulna enheter och stöld av inloggningsuppgifter vanliga attacker
• Förlust av data vanlig konsekvens
Aktuell status hos skandinaviska SME:er • Nya och kommande tekniker anammas (exempelvis
mobila enheter, IoT)
• 64% utsatts för cyberattack senaste året
• Användning av mobila enheter påverkar säkerheten negativt
PwCPraktiskt cybersäkerhetsarbete
Påverkan
Frågor att överväga i bedömningen av cyberrisk
15
Varför skulle det hända oss?
Om det händer, kommer det vara framgångsrikt?
Om det är framgångsrikt,
vad blir konsekvenserna?
Hur mycket och i vad ska vi investera i säkerhet?
Hot Sårbarhet Cyberrisk
PwCPraktiskt cybersäkerhetsarbete
16
1. Vilka är våra främsta cyberrisker och hur mycket exponering motsvarar de?
2. Var fördelar vi pengar och resurser?
3. Hur effektivt reducerar våra investeringar risk?Investerar vi för lite eller för mycket?
Tre frågor kring cyberrisk som ledningen bör ställa sig
PwCPraktiskt cybersäkerhetsarbete
Cyberriskhantering
17
1. Analysera risklandskapet2. Kontinuerlig
riskbedömning och rapportering
3. Implementera, underhålla och rapportera om
kontroller
4. Definiera och övervaka acceptabel mängd risk
AffärspåverkanKronjuveler
Hotprofil IT, Säkerhet & Resiliens kontrollramverk
Identifiera Mäta Övervaka och rapportera
Definiera och övervaka
risktolerans
Kontinuerliga förbättringar
1. Vad är våra största cyberrisker och hur mycket exponering representerar de?
2. Vart fördelar vi resurser och pengar?
3. Hur effektiva är våra investeringar i riskreduktion? Investerar vi för lite eller för mycket?
Game of Threats - ett kreativt sätt att tänka kring cyberrisker2
PwC
Amateurs hack systems, professionals hack peopleBruce Schneier
19
Praktiskt cybersäkerhetsarbetePwC 20
av tillfrågade hackers uppgav förra året att deras metoder innehöll någon form av social engineering.84%
personuppgiftsincidenter som inkom till Datainspektion under 2018 berodde på “den mänskliga faktorn”.
90% av intrång inleds med en phishingattack.
6 av 10Källor
1. Nuix: The Black Report 20182. Microsoft: Security Intelligence Report — Volume 243. Datainspektionen
PwCPraktiskt cybersäkerhetsarbete
Medvetandehöjande aktiviteter
Anställda
21
Ledning
Specialanvändare
Aktiviteter
- Phishingkampanjer- E-learnings- Quizzes- Simuleringar- Kommunikationskampanjer- Övningsverksamhet
Målgrupper
PwCPraktiskt cybersäkerhetsarbete
Vad?
Varför?
Hur?
22
Kontaktuppgifter3
PwCPraktiskt cybersäkerhetsarbete
Linus OwmanRisk AssuranceTelefon: +46709-29 20 44Email: [email protected]
Kontakt
24
Jessica GarpvallCyber SecurityTelefon: +46729-972733Email: [email protected]
Praktiskt cybersäkerhetsarbetePwC
Framgångsfaktorer
25
02 Behovsbedömning
Riskdrivet & ändamålsenligt
01
04 Uppföljning och mätning
03Riskhantering
Analys
