Szenarien mobiler Digitalisierung und die relevanten Sicherheits
Transcription
Szenarien mobiler Digitalisierung und die relevanten Sicherheits
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Matthias Bandemer Partner – EY Advisory Services 12. Februar 2015 Unser global integriertes Team für Cyber-Sicherheit hilft Organisationen bei der Prävention EY Global $27.4 Umsatz im Jahr 2014 | 150 Länder | 190,000 Mitarbeitende Advisory Assurance Tax Transaction Americas EMEIA Asia Pacific ~ 300 Mitarbeiter im Bereich Cyber-Sicherheit ~ 400 Mitarbeiter im Bereich Cyber-Sicherheit ~ 150 Mitarbeiter im Bereich Cyber-Sicherheit EY ist einer der globalen Marktführer im Bereich Cyber Security (ForresterWave). Seite 2 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Unser Serviceangebot im Bereich Cyber-Sicherheit und Datenschutz Annuity Services SOC* Services ISMS Assessments & IS Audits Penetration Testing Threat & Vulnerability Management Incident Response & Remediation Data Privacy Privacy Audits External Data Protection Officer Management Systems Transformational Services Cyber Security Management Systems ISMS ISO 27001/2 (auch IT-Grundschutz) Policy Framework ISO 27001 Preparation and Certification IS Organisation Process Automation Information Security Risk Management Processes BIA / BCM Risk Assessments Risk Management Tools Data Privacy Management & Transformation New Business Enablement „Security by Design“ Connected Car eHealth Smart Grids E-Government New Technology Enablement DPMS Maturity Assess. DPMS Optimization Mobile / Cloud DPMS Implementation DPMS Certification Big Data External and internal collaboration and partnerships * SOC: Security Operating Center Seite 3 12.02.2015 Stand: Januar 2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Sie werden angegriffen! Wie gut sind Sie darauf vorbereitet? EY’s Global Information Security Survey 2014: ► Angriffe finden mit an Sicherheit grenzender Wahrscheinlichkeit („near-certainty“) statt ► Keine Frage, ob man sicher ist, sondern wie man sicherstellt kann, dass kritische Informationen und Infrastrukturen ausreichend geschützt sind Seite 4 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen 56% der befragten Organisationen können einen gezielten Cyberangriff wahrscheinlich nicht erkennen Seite 5 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Aktuelle Entwicklung im Bereich Mobile Computing Aktuelle Situation ► iOS und Android sind dominant ► Geringer Marktanteil von BlackBerry OS und Windows Phone ► Die Grenzen zwischen geschäftlicher und privater Nutzung verschwimmen Herausforderungen für Unternehmen ► Schutz geschäftlicher Daten ohne die Produktivität einzuschränken ► “Bring your own device” ► Bedenken gegenüber BYOD: (Quelle: Forrester, July 2012) ► ► ► ► Seite 6 Mobile device security - 65% Data breach - 59% Mobile data security - 55% Mobile application security - 50% 12.02.2015 60% 50% 48,3% 41,6% 40% 30% 20% 10% 3,5% 2,5% 2,1% 1,1% 0,8% 0% iOS Android Java ME Symbian 2013 Windows Phone BlackBerry Other 2014 Global mobile and tablet operating system market share in 2013 and 2014. Source: marketshare.hitslink.com Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Die Integration von mobilen Geräten führt zu handfesten Bedrohungen für Unternehmen Jailbreak or rooting Devices Privacy legislation NFC/Bluetooth exploits OS Vulnerabilities Cloud Service Industry regulations Theft and Data Extraction Social Engineering Unencrypted data in transit Malware Apps Third party data leakage Data Leakage Insecure service configuration Unencrypted Local Storage External Application Vulnerabilities Internal Unsecure MDM Configuration Insecure Services Application Vulnerabilities Mobile Device Management Seite 7 12.02.2015 Enterprise Mobile Applications Private Cloud/Services Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Lack of user awareness Eines der größten Risiken stellt immer noch der Verlust oder Diebstahl von mobilen Geräten dar Mobile device loss Lost device recovery rate Finder voyeurism Employee data access 70M 7% 89% 64% lost or stolen smartphones in the U.S. each year of lost/stolen devices are recovered of lost/stolen devices are attempted accessed by the finder of businesses embracing mobile see faster access to business-critical information Kensington/Ponemon Institute Kensington/Ponemon Institute Symantec DELL More data/access + more devices + more theft/loss = Increased risk Seite 8 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Die Mehrheit der Unternehmen plant die Sicherheit im Bereich Mobile Computing zu verbessern Mobile technologies 46% Securing emerging technologies (e.g., cloud computing, virtualization, mobile computing) 43% Business continuity/disaster recovery resilience 41% Data leakage/data loss prevention 41% Identity and access management 39% Cloud computing 39% Security awareness and training 29% Security incident and event management (SIEM) and Security Operations Center (SOC) 34% Threat and vulnerability management (e.g., security analytics, threat intelligence) 34% Security testing (e.g., attack and penetration) 33% Incident response capabilities 33% Source: EY GISS 2014- http://www.ey.com/GL/en/Services/Advisory/EY-global-information-security-survey-2014 Seite 9 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Bestandteile einer Security Strategie für mobile Endgeräte Protect access if lost ► ► ► ► ► ► ► ► ► ► ► ► ► ► Protect data if lost Screen lock Password complexity Encryption Patch management Two-factor authentication and use of Virtual Private Network (“VPN”) capabilities Security awareness Backup Risk assessments Threat modeling Emerging threat monitoring Patch management Network monitoring and log management Application monitoring Security assessments and attack and penetration Limit exposure to new vulnerabilities Seite 10 12.02.2015 Incident response ► Secure wipe policies on devices Policies and procedures Security awareness ► Encryption ► Limit the types of data and applications available to mobile devices ► ► ► Mobile Device Security Strategie Risk assessments ► Threat modeling ► Incident response Policies and procedures ► Vulnerability management ► Security awareness for IT operations ► ► Effectively handle incidents and threats Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen How do you get ahead of cybercrime? Focus on the three As. Seite 11 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Zusammenarbeit zwischen Organisationen, um Bedrohungen frühzeitig zu antizipieren Climate Collaboration Company one Seite 13 12.02.2015 Company two Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen Bei Fragen sprechen Sie uns einfach an – Wir unterstützen Sie gerne mit unseren Lösungen Matthias Bandemer Partner Advisory Services Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft Arnulfstraße 59 80636 München Office: +49 (89) 14331 11976 Mobile: +49 (160) 939 11976 [email protected] Seite 14 12.02.2015 Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen EY | Assurance | Tax | Transactions | Advisory Die globale EY-Organisation im Überblick Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen — für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“. Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitglieds-unternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.ey.com. In Deutschland ist EY an 22 Standorten präsent. „EY“ und „wir“ beziehen sich auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited. © 2015 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft All Rights Reserved. www.de.ey.com