Daily Archives: June 9, 2016

Den it-sikkerhedsansvarliges fire vigtige roller – to af dem bliver afgørende for dig

June 9, 2016 by admin · Leave a comment

ComputerViews: Det er noget af en mundfuld af være ansvarlig for en organisations it-sikkerhed i dag.

It-sikkerhed handler ikke længere om patch management og firewalls og indre forsvarsværker, mens

Opgaven kræver ret anseelige evner inden for i sig selv komplicerede områder som strategi, lovgivning, it-teknologi, risk management, frameworks, it-arkitektur (både når det gælder netværk og sikkerhed), kommunikation, forretnings-udvikling og compliance.

Og det hele udvikler sig meget kraftigt – ikke mindst bliver de cyberkriminelle hele tiden dygtigere og dygtigere til at penetrerere forsvarsværkerne og udvikle nye forretningsmodeller og teknologier.

Det ligger derfor i kortene, at ingen er helt sikker, og at alle organisationer før eller siden vil blive hacket.

Her ligger opgaven med at være klar med en velfungerende beredskabsplan også hos den sikkerheds-ansvarlige.

Oven over det hele sidder organisationens øverste ledelse og forventer, at der er styr på det hele: I dag er de fleste direktører klar over, at it-sikkerheden spiller en rolle.

Deres forventninger til it-chefen er derfor, at der er styr på den – ligesom der (selvfølgelig) skal være styr på den klassiske drift.

De fire hovedopgaver
Herhjemme ligger opgaven typisk hos it-chefen, men i større virksomheder – ikke mindst i USA – kan man ofte møde en såkaldt CISO, Chief Information Security Officer.

Det er en svingdørs-position, da flere (amerikanske) undersøgelser har vist, at en CISO i gennemsnit kun holder omkring 18 måneder i jobbet.

I en ny rapport peger analysehuset Deloitte på de fem hoved-udfordringer, som den it-sikkerhedsansvarlige i dag står over for i en mere og mere kompleks verden.

De er:

- Mangel på dygtige folk samt en ofte in-effektiv team-struktur.

- Mangelfuld kommunikation.

- Mangelfuld governance i forhold til strategi og processer.

- Manglende støtte eller tillid fra top-cheferne.

Læs også: ]Danmarks fem bedste CIO’er: Her er den største sikkerhedstrussel mod os lige nu.

- Mangel på penge.

De fire søjler
Ifølge Deloitte kan CISO’en – eller den it-sikkerhedsansvarlige – skabe overblik over det komplekse job ved at inddele det i fire roller, nemlig:

- Strategen.

- Rådgiveren.

- Vagten.

- Teknologi-manden.

Ifølge Deloitte bruger en typisk it-sikkerhedsansvarlig i dag langt det meste af sin tid – omkring 77 procent – på de tekniske aspekter, nemlig i rollerne som ‘vagt’ og ‘teknologi-mand.’

Meget kan imidlertid tyde på, at det er ved at vende.

Langt de fleste it-sikkerhedsansvarlige, som Computerworld taler med, peger på, at egne medarbejdere hører til blandt de allerstørste trusler mod organisationen, da det ofte er her, at hackere og andre har held med at smutte under radaren.

Samtidig er mange sikkerhedsansvarlige i dag fanget i en rolle, hvor deres dage bliver brugt på opgaver, der skal løses i huj og hast eller i at håndtere ‘klassiske’ opgaver.

Begge dele bygger på operationelle eller taktiske beslutninger, som jo er klassiske kompetencer for it-chefen, der skal passe driften.

Men it-sikkerhedschefen er i denne hastigt omskiftelige verden nødt til at tænke fremadrettet og strategisk og ud fra forretningens fremadrettede behov.

Det kan de allerdygtigste. Og de får hurtigt en fordel i forhold til konkurrenterne.

Kigger vi på Deloittes fire roller, er der derfor meget, der tyder, at de to roller, der ikke er teknologi-fokuserede – strategen og rådgiveren – kommer til at spille en vigtigere rolle i fremtiden.

Analysehuset beskriver ‘strategen’ som den person, der sørger for, at it-sikkerhedsindsatsen er i overenstemmelse med forretningens strategi, ligesom ‘strategen’ står for innovation og for de langsigtede forandrings- og investerings-planer på området.

‘Rådgiveren’ beskriver Deloitte som den person, der i tæt samarbejde med forretningen uddanner og rådgiver medarbejdere og andre samt hele tiden påvirker it-sikkerhedsmæssige beslutninger med kvalificeret viden om konsekvenser og implikationer.

´EU på vej
Om knap to år – 25. maj 2018 – træder EU’s nye persondataforordning i kraft, og den stiller blot yderligere krav til de it-sikkerhedsansvarlige.

Med forordningen kommer der nye krav om:

- Større gennemsigtighed.

- (Langt) bedre dokumentation.

- Langt større mulighed brugerne for selv at komme i kontrol.

- Større krav til samtykke fra brugerne.

Forordningen blev vedtaget i EU 14. april i år, og de kommende to år – som er den såkaldte sunrise-periode – skal organisationer, myndigheder og virksomheder overalt i Europa anvende til at få kørt kanonerne i stilling.

Du kan læse mere om forordningen her: Bliv klar til EU’s nye persondataforordning: Disse konkrete ting bør du sætte i gang allerede nu.

Arbejder du som it-mand mest i rollen som strateg, rådgiver, vagt eller teknologimand?

Og er det en fornuftig balance? Giv dit besyv med i debatfeltet herunder.

Posted in computer.

Kæmpe teknologi-spring: Ny trådløs super-teknologi vil erstatte dine kabler

June 9, 2016 by admin · Leave a comment

USB-Type C og Thunderbolt 3.0 vil blive de sidste fysiske porte til at opnå stor betydning, mener ABI Research.

Det kan godt være, mange af de nye bærbare computere, tablets og smartphones nu og i de kommende år fremfører de fantastiske fordele ved Thunderbolt 3.0 og USB Type-C.

Det er da også det hotteste af det hotte inden for standarder for stik/kabler til vores digitale devices.

I øjeblikket altså.

Både USB Type-C og Thunderbolt 3.0 står – trods de mange kvaliteter – faktisk til at blive de sidste levn fra en tid, hvor kabler var vejen frem.

Det skriver analysefirmaet ABI Research.

“USB-Type C og Thunderbolt 3.0 vil blive de sidste fysiske porte til at opnå stor betydning og mainstream gennemslagskraft før overgangen til trådløse alternativer,” lyder vurderingen fra analytiker Andrew Zignani.

“I den periode vil et antal enheder fungere uden kablede forbindelser, og mens det vil forblive en spirende del af markedet i nogen tid, er potentialet der, og det øges.”

Læs også: Fremtidens port: Du bør ikke købe ny computer uden denne lille, men meget vigtige, port

Det er omkring et år siden, at Intel lancerede Thunderbolt 3.0, der giver mulighed for 40 Gbps-dataoverførsler og anvender USB Type-C til selve tilslutningen.

I øjeblikket finder standarden vej til de nye pc-topmodeller fra en række producenter, ligesom smartphone- og tablet-producenterne også vil lege med.

ABI Research vurderer, at næsten halvdelen af alle smartphones og 93 procent af alle bærbare computere i 2020 vil anvende USB Type-C.

Der er dog ingen tvivl om, hvilken vej it-vinden blæser:

“Markedet vil se færre tilslutnings-typer og porte per enhed, efterhånden som industrien støt transformeres i retning af trådløse løsninger og kabel-frie enheder.”

Annonce:

Her er den trådløse fremtid
De trådløse standarder er allerede begyndt at vise tænder på markedet.

Blandt andet fremhæver ABI Research, at WiGig (802.11ad) findes i nogle bærbare computere fra Dell, Acer og Asus og eksempelvis kan ses som en en fremtidens trådløse ‘docking-station.’

‘WiGig Certified’-produkter kan trådløst levere høje gigabit-dataoverførsler med lav latency ved at udnytte 60 GHz-frekvensbåndet – herunder får du mulighed for at afvikle ultra-high definition- og 4K-video.

ABI Research forventer, at WiGig i access points, computere og forskellige former for tilbehør for alvor begynder at slå igennem i andet halvår af 2016, og at vi efterfælgende vil begynde at se WiGig i alt fra skærme til smartphones.

En glidende overgang
Der bliver dog – som det oftest er tilfældet med nye teknologier – tale om en glidende overgang.

Eksempelvis vil de kabel-frie produkter i første omgang ikke nødvendigvis inkludere virksomheds-bærbare, der skal kunne sluttes til legacy-udstyr.

“Vi forventer, at der vil være WiGig-enablede enheder, der anvender fysiske kabler som USB Type-C til opladning eller til hjælp med legacy-udstyr, når man ikke er hjemme, eller når trådløse forbindelser ikke er tilgængelige,” skriver ABI Research.

“Det vil tage noget tid, før WiGig-enablede skræme, projektorer, fjernsyn og tilbehør kommer på markedet, så mange enheder vil fortsat have brug for fysiske forbindelser via USB Type-C og Thunderbolt 3.0 i den overskuelige fremtid.”

Læs også: Fremtidens port: Du bør ikke købe ny computer uden denne lille, men meget vigtige, port

Posted in computer.

Kan ikke opdages: Usynlig bagdør kan åbne dit system på få sekunder

June 9, 2016 by admin · Leave a comment

Verdens enorme forbrug af stadig mindre computerchip har skubbet produktionen af de små mirakler væk fra virksomhederne, der udvikler dem, og ud til billige tredjeparter.

Den udvikling åbner døren på vid gab for et angreb, som du ikke har en jordisk chance for at opdage, før det er alt for sent.

Det forklarer en gruppe forskere, som selv har udviklet metoden. Bare for at vise, at metoden er der ude.

Forskerne fra University of Michigan har indbygget et ondsindet kredsløb i en helt almindelig chip.

Kredsløbet kan gemme sig for de test-programmer, som normalt skal afsløre fejl i chips, før de forlader fabrikken, og venter blot på det tidspunkt, hvor det kan åbne dit system for dets bagmænd.

Det skriver vores amerikanske søstermedie, Computerworld.com.

Sådan virker den
Hvis du ikke selv vil læse den 20 sider lange præsentation af forskernes tidsindstillede bombe under din sikkerhed, er den heldigvis opsummeret af Googles Yonathan Zunger.

Det hele begynder med tilføjelsen af en enkelt logisk port til en ellers uskyldig chip.

En kondensator i porten samler så strøm fra de elektromagnetiske felter, der opstår, når en ledning tæt på porten skifter fra slukket til tændt.

Når kondensatoren har samlet en vis mængde strøm, aktiverer den porten, som så skifter en switch i chippen fra deaktiveret til aktiveret.

Hvis switchen eksempelvis bestemmer, om du er i bruger- eller supervisor-mode, har bagmændene pludselig uhyggelig åben adgang til dit system, skriver Yonathan Zunger på sin blog.

Hemmeligheden er at placere fælden ved en ledning, som sjældent skifter tilstand.

For på den måde aktiveres fælden ikke af testprogrammer, men først når systemets ejer besøger en hjemmeside, som indeholder skjult kode, bygget til at aktivere ledningen igen og igen.

Med forskernes egne ord, ser angrebet sådan her ud:

“Når udløser-kredsløbet er aktiveret, aktiverer andre kredsløb skjulte maskiner eller overskriver digitale værdier direkte for at forårsage fejl eller assistere angreb på system-niveau.”

Den model har vist sig så effektiv, at forskerne har sneget den uopdaget forbi en række systemer, som netop skal opdage uønskede processer i hardware.

Selv for den virkeligt sikkerhedsbevidste og hardwarekloge bruger, er det tæt på umuligt at opdage fælden. For hele herligheden fylder 12,8 kubikmikrometer.

Det er mere end almindeligt svært at finde bagdøren. Illustration: University of Michigan

Allerede en reel trussel
Forskerne har udviklet bagdøren for at bevise, at andre, tænk regeringer og statslige instanser med forkortelser på tre bogstaver, måske allerede har gjort det samme.�

For det er svært at få branchen til at bruge penge på et problem, som ingen er sikre på eksisterer.

“Jeg håber, at denne afhandling kan starte en dialog mellem udviklere og produktionsleddet,” har en af forskerne udtalt til Wired

Læs også:
Ransomware, sikkerhed i biler og DDoS-angreb: Her er de værste sikkerhedsplager lige nu

Posted in computer.

Danmarks fem bedste CIO’er: Her er den største sikkerhedstrussel mod os lige nu

June 9, 2016 by admin · Leave a comment

Læs også: Danmarks fem bedste it-chefer: Vi er især på udkig efter it-folk med disse kompetencer.

Computerworld og IDC kårer torsdag aften Årets CIO 2016.

De fem nominerede kandidater er alle eksperter på deres felt og tilsammen udgør de det skarpeste hold af it-chefer i Danmark lige nu.

Du kan læse mere om, hvad de egentlig kan, her: Mød Danmarks fem bedste CIO’er: Her er deres vigtigste it-opgaver lige nu (og sådan løser de dem)

Aldrig tidligere har god it-sikkerhed været vigtigere, end den er i dag, hvor organisationerne er dybt afhængige af it samtidig med, at de cyberkriminelle miljøer bliver mere og mere professionaliserede.

Hertil kommer, at kontrollen over selv de forretnings-kritiske systemer hele tiden bliver udfordret: Medarbejderne forlanger adgang til det hele fra alle deres devices uanset hvor de er, og hvornår på dagen, det er.

I dette billede er én ting sikkert: Alle organisationer bliver hacket en dag, da det er umuligt at beskytte sig mod alt hele tiden.

Det vigtige for CIO’en er derfor at vide, hvor han eller hun skal sætte ind og prioritere it-sikkerheden – samt hvor det er mindre afgørende.

Det har Danmarks fem bedste CIO’er styr på.

Se her, hvor de ser de største it-sikkerhedsmæssige trusler på deres egne organisationer.

Thomas Grane, Matas
“Vi har Danmarks største kundeklub med 1,6 millioner medlemmer. Det er et aktiv, som vi skal beskytte med alle tænkelige midler. På den tekniske side har vi installeret systemer, der er i stand til at imødegå ukendte trusler.

Al den traditionelle sikkerhed værner os mod det kendte, som den plejer at gøre. Men skal man gå op mod folk der bevidst prøver at hacke sig ind, er du nødt til at bruge nogle værktøjer, som kan se den slags trusler.”

Det kombinerer vi med systematiske penetrationstest af alle eksterne punkter – blandt andet med white-hat hacking mod selve platformen for Club Matas en gang om året.

Vi ser et stigende antal trusler, hvor der bliver gået efter de aktiver, vi ligger inde med. Det er i vores tilfælde de data, vi har i vores kundeklub.”

Vi har phishing-angreb og andre forsøg på indtrængning.

2.800 ansatte ude i vores butikker, der har adgang til data i vores kundeklub er en udfordring, som betyder, at vi kører awareness-kampagner om it-sikkerhed.”

Morten Gade Christensen, Energinet.dk
“Den største udfordring er ubetinget den menneskelige faktor, for du kan ikke købe dig til sikkerhed.

For mig handler det om at sikre, at medarbejderne er velorienterede og uddannede inden for det her, og at de ser tingene i en helhedsbetragtning.

Det nytter simpelthen ikke, at du beskytter små områder, hvis sammenhængen i din værdikæde ikke er sikret.

For mig er det ekstremt interessant, at der er 130 selskaber i Danmark, der arbejder med energi.

Hvordan kan vi sikre, at tingene hænger sammen? Og hvor er det svageste led? Det er det, jeg arbejder med.”

Pernille Geneser, Bestseller
“Vi har et enterprise risk council, og vi har også et it security council. De har lidt forskellige agendaer. Men i vores enterprise risk council kigger vi eksempelvis meget på vores Haderslev-lager.

Vi har én stor distributions-hub. Hvis det går ned – enten i it-systemet eller ved en brand – lægger det Bestseller ned i seks uger, har vi vurderet. Så det er nok det, jeg har størst fokus på, for det går ikke.

Så vi er i gang med at bygge en ny distributions-hub op i Holland, der også kører med andre ERP-systemer, så vi ikke er så afhængige.

Det er noget af det, jeg er optaget af – og nok end af cybercrime, selv om det selvfølgelig også er noget, vi kigger på og kører test på – eksempelvis i forhold til phishing.

Men det er mere den fysiske risiko og de it-systemer, der understøtter vores supply chain, jeg har brug for at få styr på lige nu.”

Per Palmkvist, JP/Politikens Hus
Vi har valgt at sætte sikkerheden i rammer.

Man kan ikke gøre det hele, og derfor har vi vurderet, at prioriteringen er mere og mere vigtig.

Vi ser på processer og strukturer fremfor enkeltstående løsninger.

I fremtiden tror jeg heller ikke, at sikkerhed forbliver en del af it-afdelingen.

Den kommer til at ligge som direktionens ansvarsområde.

EU-forordningen vil eksempelvis føre til store bøder og en anmeldepligt på 72 timer, hvilket rykker ansvaret til et andet niveau.”

Lone Bundgaard, Coloplast
“Vores største udfordring er uden tvivl håndteringen af personfølsomme data, som man eksempelvis finder i vores loyalitetsprogram.

Da vi nu har dialog direkte med folk, der bruger vores produkter og får tilsendt vareprøver via vores websites, skal vi kunne garantere, at vi behandler dem og deres data ordentligt.

På tværs af organisationen i Coloplast har vi derfor udnævnt en data protection officer, og vi har oprettet en styregruppe med forankring i topledelsen, hvor vi har udarbejdet et roadmap frem til 2018 med alle vores målsætninger på persondata-området.”

Posted in computer.

Danmarks fem bedste CIO’er: Her er den største sikkerhedstrussel mod os lige nu

June 9, 2016 by admin · Leave a comment

Læs også: Danmarks fem bedste it-chefer: Vi er især på udkig efter it-folk med disse kompetencer.

Computerworld og IDC kårer torsdag aften Årets CIO 2016.

De fem nominerede kandidater er alle eksperter på deres felt og tilsammen udgør de det skarpeste hold af it-chefer i Danmark lige nu.

Du kan læse mere om, hvad de egentlig kan, her: Mød Danmarks fem bedste CIO’er: Her er deres vigtigste it-opgaver lige nu (og sådan løser de dem)

I dette billede er én ting sikkert: Alle organisationer bliver hacket en dag, da det er umuligt at beskytte sig mod alt hele tiden.

Det vigtige for CIO’en er derfor at vide, hvor han eller hun skal sætte ind og prioritere it-sikkerheden – samt hvor det er mindre afgørende.

Det har Danmarks fem bedste CIO’er styr på.

Se her, hvor de ser de største it-sikkerhedsmæssige trusler på deres egne organisationer.

Det kombinerer vi med systematiske penetrationstest af alle eksterne punkter – blandt andet med white-hat hacking mod selve platformen for Club Matas en gang om året.

Vi ser et stigende antal trusler, hvor der bliver gået efter de aktiver, vi ligger inde med. Det er i vores tilfælde de data, vi har i vores kundeklub.”

Vi har phishing-angreb og andre forsøg på indtrængning.

2.800 ansatte ude i vores butikker, der har adgang til data i vores kundeklub er en udfordring, som betyder, at vi kører awareness-kampagner om it-sikkerhed.”

Mads Gade Christensen, Energinet.dk
“Den største udfordring er ubetinget den menneskelige faktor, for du kan ikke købe dig til sikkerhed.