Szenarien mobiler Digitalisierung und die relevanten Sicherheits

Transcription

Szenarien mobiler Digitalisierung und die relevanten Sicherheits
Szenarien mobiler Digitalisierung
und die relevanten Sicherheitsbedrohungen
Matthias Bandemer
Partner – EY Advisory Services
12. Februar 2015
Unser global integriertes Team für Cyber-Sicherheit
hilft Organisationen bei der Prävention
EY Global
$27.4 Umsatz im Jahr 2014 | 150 Länder | 190,000 Mitarbeitende
Advisory
Assurance
Tax
Transaction
Americas
EMEIA
Asia Pacific
~ 300 Mitarbeiter
im Bereich
Cyber-Sicherheit
~ 400 Mitarbeiter
im Bereich
Cyber-Sicherheit
~ 150 Mitarbeiter
im Bereich
Cyber-Sicherheit
EY ist einer der globalen Marktführer im Bereich Cyber Security (ForresterWave).
Seite 2
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Unser Serviceangebot im Bereich Cyber-Sicherheit
und Datenschutz
Annuity Services
SOC* Services
ISMS Assessments &
IS Audits
Penetration Testing
Threat & Vulnerability
Management
Incident Response &
Remediation
Data Privacy
Privacy Audits
External Data
Protection Officer
Management Systems
Transformational Services
Cyber Security Management Systems
ISMS ISO 27001/2
(auch IT-Grundschutz)
Policy Framework
ISO 27001 Preparation
and Certification
IS Organisation
Process
Automation
Information Security Risk Management Processes
BIA / BCM
Risk Assessments
Risk Management
Tools
Data Privacy Management & Transformation
New Business
Enablement
„Security by Design“
Connected Car
eHealth
Smart Grids
E-Government
New Technology
Enablement
DPMS Maturity Assess.
DPMS Optimization
Mobile / Cloud
DPMS Implementation
DPMS
Certification
Big Data
External and internal collaboration and partnerships
* SOC: Security Operating Center
Seite 3
12.02.2015
Stand: Januar 2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Sie werden angegriffen! Wie gut sind Sie darauf
vorbereitet?
EY’s Global Information
Security Survey 2014:
►
Angriffe finden mit an Sicherheit
grenzender Wahrscheinlichkeit
(„near-certainty“) statt
►
Keine Frage, ob man sicher ist,
sondern wie man sicherstellt
kann, dass kritische Informationen
und Infrastrukturen ausreichend
geschützt sind
Seite 4
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
56% der befragten Organisationen können einen
gezielten Cyberangriff wahrscheinlich nicht erkennen
Seite 5
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Aktuelle Entwicklung im Bereich Mobile Computing
Aktuelle Situation
► iOS und Android sind dominant
► Geringer Marktanteil von BlackBerry OS
und Windows Phone
► Die Grenzen zwischen geschäftlicher und
privater Nutzung verschwimmen
Herausforderungen für Unternehmen
► Schutz geschäftlicher Daten ohne die
Produktivität einzuschränken
► “Bring your own device”
► Bedenken gegenüber BYOD:
(Quelle: Forrester, July 2012)
►
►
►
►
Seite 6
Mobile device security - 65%
Data breach - 59%
Mobile data security - 55%
Mobile application security - 50%
12.02.2015
60%
50%
48,3%
41,6%
40%
30%
20%
10%
3,5%
2,5%
2,1%
1,1%
0,8%
0%
iOS
Android
Java ME
Symbian
2013
Windows
Phone
BlackBerry
Other
2014
Global mobile and tablet operating system market share
in 2013 and 2014. Source: marketshare.hitslink.com
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Die Integration von mobilen Geräten führt zu
handfesten Bedrohungen für Unternehmen
Jailbreak or rooting
Devices
Privacy legislation
NFC/Bluetooth exploits
OS Vulnerabilities
Cloud Service
Industry regulations
Theft and Data Extraction
Social Engineering
Unencrypted data in transit
Malware
Apps
Third party data leakage
Data Leakage
Insecure service
configuration
Unencrypted Local Storage
External
Application Vulnerabilities
Internal
Unsecure MDM Configuration
Insecure Services
Application Vulnerabilities
Mobile Device Management
Seite 7
12.02.2015
Enterprise Mobile Applications
Private Cloud/Services
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Lack of user
awareness
Eines der größten Risiken stellt immer noch der
Verlust oder Diebstahl von mobilen Geräten dar
Mobile device loss
Lost device recovery rate
Finder voyeurism
Employee data access
70M
7%
89%
64%
lost or stolen
smartphones in the U.S.
each year
of lost/stolen devices
are recovered
of lost/stolen devices
are attempted accessed
by the finder
of businesses
embracing mobile see
faster access to
business-critical
information
Kensington/Ponemon
Institute
Kensington/Ponemon
Institute
Symantec
DELL
More data/access + more devices + more theft/loss = Increased risk
Seite 8
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Die Mehrheit der Unternehmen plant die Sicherheit
im Bereich Mobile Computing zu verbessern
Mobile technologies
46%
Securing emerging technologies (e.g., cloud computing, virtualization,
mobile computing)
43%
Business continuity/disaster recovery resilience
41%
Data leakage/data loss prevention
41%
Identity and access management
39%
Cloud computing
39%
Security awareness and training
29%
Security incident and event management (SIEM) and Security
Operations Center (SOC)
34%
Threat and vulnerability management (e.g., security analytics, threat
intelligence)
34%
Security testing (e.g., attack and penetration)
33%
Incident response capabilities
33%
Source: EY GISS 2014- http://www.ey.com/GL/en/Services/Advisory/EY-global-information-security-survey-2014
Seite 9
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Bestandteile einer Security Strategie für mobile
Endgeräte
Protect access if lost
►
►
►
►
►
►
►
►
►
►
►
►
►
►
Protect data if lost
Screen lock
Password complexity
Encryption
Patch management
Two-factor authentication and use of Virtual Private Network
(“VPN”) capabilities
Security awareness
Backup
Risk assessments
Threat modeling
Emerging threat monitoring
Patch management
Network monitoring and log management
Application monitoring
Security assessments and attack and penetration
Limit exposure to new vulnerabilities
Seite 10
12.02.2015
Incident response
► Secure wipe policies on devices
Policies and procedures
Security awareness
► Encryption
► Limit the types of data and applications available to
mobile devices
►
►
►
Mobile
Device
Security
Strategie
Risk assessments
► Threat modeling
► Incident response
Policies and procedures
► Vulnerability management
► Security awareness for IT operations
►
►
Effectively handle incidents and threats
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
How do you get ahead of cybercrime?
Focus on the three As.
Seite 11
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Zusammenarbeit zwischen Organisationen, um
Bedrohungen frühzeitig zu antizipieren
Climate
Collaboration
Company
one
Seite 13
12.02.2015
Company
two
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
Bei Fragen sprechen Sie uns einfach an –
Wir unterstützen Sie gerne mit unseren Lösungen
Matthias Bandemer
Partner
Advisory Services
Ernst & Young GmbH
Wirtschaftsprüfungsgesellschaft
Arnulfstraße 59
80636 München
Office: +49 (89) 14331 11976
Mobile: +49 (160) 939 11976
[email protected]
Seite 14
12.02.2015
Szenarien mobiler Digitalisierung und die relevanten Sicherheitsbedrohungen
EY | Assurance | Tax | Transactions | Advisory
Die globale EY-Organisation im Überblick
Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung,
Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer
Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das
Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens
gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams,
exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel
ist es, Dinge voranzubringen und entscheidend besser zu machen — für unsere
Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben.
Dafür steht unser weltweiter Anspruch „Building a better working world“.
Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von
Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist
rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und
Unterlassen der jeweils anderen Mitglieds-unternehmen. Ernst & Young Global
Limited
ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und
erbringt keine Leistungen
für Mandanten.
Weitere Informationen finden Sie unter www.ey.com.
In Deutschland ist EY an 22 Standorten präsent. „EY“ und „wir“ beziehen sich
auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited.
© 2015 Ernst & Young GmbH
Wirtschaftsprüfungsgesellschaft
All Rights Reserved.
www.de.ey.com