Hva skal til for at sikkerhetsrisiko blir en del av risikotankegangen til Ledelsen?

Transkript

1 Hva skal til for at sikkerhetsrisiko blir en del av risikotankegangen til Ledelsen? John Arild A. Johansen, CISO & Personvernombud Gjensidige Bank NRSKonf#1, 28. september 2017

2 Grunnen til at jeg er her 54 år Utdannet Dataingeniør Har jobbet med sikkerhet i 25 år - Post- og teletilsynet (NKOM) - Wilhelmsen Lines - Wilh. Wilhelmsen ASA - Wallenius Wilhelmsen - Buypass AS - Helsedirektoratet - Direktoratet for e-helse - Gjensidige Bank - Driftsmedarbeider - Driftsmedarbeider - IT- og informasjonssikkerhetsansvarlig - Kontinuitet og kriseplanlegging - Sikkerhets- og kvalitetssjef / PVO - Informasjonssikkerhetssleder / PVO - Sikkerhetssjef - CISO / PVO Styreleder i Normen ( Styreleder i ISF ( Sertifisert CISA / CISM

3 Skal snakke litt om. Status i dag og muligheter Problemstillingen Tilnærming til området Konkrete tips & konklusjoner - alt fra et sikkerhetsperspektiv 3

4 Målbildet: 4

5 5

6 6

7 Egentlig dreier det seg kun om to ting: 1. Oppmerksomhet! 2. Levere!! 7

8

9

10 10

11 11

12 12

13 Compliance Tsunami 13

14 14

15 15

16 Problemstillingen 16

17 Problemstillingen 17

18 18

19 19

20 Vi IT- og sikkerhetsfolk har fremdeles et omdømmeproblem 20

21 21

22 Problemstillingen «Evig eies kun et dårlig rykte» Snakker ikke stammespråket Har ikke full oversikt over forretningsprosessene Er ikke gode nok til å finne møteplassene Er ikke gode nok til å finne kravene (Compliance) og hvor de passer inn. IT er vanskelig nok hva da med IT-sikkerhet?? CyberRisk??? 22

23 Et imageproblem 23

24 Noe bra har det jo vært 24

25

26 Så igjen nå eller aldri 26

27 Tips for å få oppmerksomhet & fokus Kom deg ut og SELG!! «Sikkerhet og risikohåndtering er en «enabler» i digitialiseringen» Bruk dagsaktuelle hendelser - det har ledelsen fått med seg Media og annen omtale gir gratis drahjelp bruk det Ikke regn med å bli inkludert, kom deg på banen selv Heng deg på eksisterende forum og møteplasser Ikke vær redd for å skille deg ut Når du har fått fokus og oppmerksomhet MÅ du levere! 27

28 Apropos Levere - hva gjør vi? Bank og forsikring er sterkt regulert og har mange formelle krav til risikostyring gjennom lovgivning, forskrifter, sektorkrav, selvpålagte sertifiseringer, mm. RCSA (Risk Control Self Assessment) Kvartalsvis Pålegger ledere på alle vesentlige virksomhetsområder å løpende vurdere gjennomføringen av internkontrollen gjennom et antall tester. Adresser iboende risiko og restrisiko ORR (Operational Risk Review) Månedlig Løpende ledelsesrapportering på utestående mangler, tiltak, svindel, hendelser, mm. Betyr IKKE at vårt område automatisk inkluderes til det fulle. 28

29 ORR Operational Risk Review

30 FinansCERT on Cyber threats: 30

31 FinansCERT on Cyber threats: Online banking (Increasing) TrickBot trojan Targeting banks worldwide RealTime Phising attacks Malware: WannaCry and Petya Lot of media attention New will come. Business as usual based fraud Phishing attempts Stealing credentials/account CEO-fraud Not very advanced 31

32 Group Security on Cyber threats: * *

33 33

34

35 35

36 RCSA Risk Control Self Assessment Teknologi / infosec: 36

37 RCSA Risk Control Self Assessment eksempel 37

38 Men husk «enkeltheten» 38

39 39

40 Generelt om risikohåndtering Fra CIA og PDCA håndtering av risiko Kan ha flere metoder avhengig av omfang 1. Prosa i notatform 2. Metode for begrenset område (nytt system, ny teknologi, ny funksjon, ) 3. Mer omfattende metode for løpende eller årlig risikovurdering av virksomheten 40

41 Konklusjoner & råd Helt klart fokus på området vårt Det er et aktuelt og spennende område Bruk dagsaktuelle hendelser - det har ledelsen fått med seg gir gratis drahjelp Ikke regn med å bli inkludert, kom deg på banen selv Gjør budskapet kort og konsist to the point Heng deg på eksisterende forum og møteplasser 41

42 Konklusjoner & råd Når du har fått plass MÅ du levere. Jevnlige, systematisk oppdateringer på både trusselbildet og risikonivå Belys små og store ting treffer folk både privat og på jobb Tenk gjerne «out of the box» - bruk humor, atypiske eksempler, osv. 42

43 Konklusjoner & råd Når du har fått plass MÅ du levere. Jevnlige, systematisk oppdateringer på både trusselbildet og risikonivå Belys små og store ting treffer folk både privat og på jobb Tenk gjerne «out of the box» - bruk humor, atypiske eksempler, osv. 43

44 Insecurity bores me Kontakt: / tlf