Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen?
|
|
- Kjetil Dahlen
- 8 år siden
- Visninger:
Transkript
1 Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Risikoidentifikasjon - IT Bjørn Jonassen Finansnettverket NIRF
2 Agenda 1. Litt om meg 2. IT-Risiko bakgrunn 3. Risikoidentifikasjon 4. Brukervennlig og oppdatert risiko 5. Internrevisors forhold til risiko 2
3 Bjørn Jonassen 2003 Deloitte - Tjenesteansvarlig - teknologirisiko og informasjonssikkerhet - Noen fokusområder - Sikkerhetsstyring og ISO Risikostyring - Internrevisjon - Personvern - Cyber-sikkerhet 2001 EY - Manager - informasjonssikkerhet 1998 Storebrand & IBM - Systemarkitekt og outsourcing av IT til IBM - Program manager IT-security (IBM med ansvar for Storebrand, ICA, Skandia og If) 1995 NCR / AT&T - systemkonsulent - 3. linje support (2 år i Nederland) 3
4 Risiko = Sannsynlighet x Konsekvens Eller en antakelse på basis av strukturert erfaring eller fakta av hvilken mulighet det er for at en uønsket situasjon vil kunne oppstå. Internkontroll Sikkerhetstiltak Planlagt internkontroll Planlagte sikkerhetstiltak Konsekvens Konsekvens Konsekvens Sannsynlighet Sannsynlighet Sannsynlighet Iboende risiko Dagens risiko /restrisiko Fremtidig risiko 4
5 Risikovurdering Overordnet tilnærming til vurdering av IT-risiko (periodisk) 1. Ledelsen setter krav til akseptabelt risikonivå 2. Metode og kriterier for vurdering bør være etablert 3. Ha oversikt over prosesser og avhengigheter 4. Ha oversikt over IKT-miljø, tjenesteleverandører, kontrollmiljø, mv som benyttes 5. Foreta kritikalitetsvurdering av prosesser, IT-systemer, IKT-miljø, og tjenesteleverandører (gjerne basert på K, I, T). Kritikalitetsvurderingen bør forankres i ledelsen / av relevante interessenter. Kritikalitetsvurderingen benyttes til å prioritere miljø som skal risikovurderes mer detaljert 6. Definer ramme og uønskede scenarier som skal vurderes - på basis av innspill fra ledelsen/interessenter 7. Identifiser iboende risiko: Innhent data for å gi svar på sannsynlighet for og konsekvens ved de uønskede scenariene eller hendelser. 8. Identifiser restrisiko ved å koble iboende risiko med kontrollmiljø og andre risikoreduserende forhold 9. Vurder restrisiko opp mot akseptabelt risikonivå 10. Etabler evt. tiltak for å komme innenfor akseptabelt risikonivå 11. Følg opp etablering av tiltak og risikodekning 12. Gjennomfør regelmessige oppdateringer 13. Oppdater risiko ved endringer, ved hendelser, når trusselsituasjonen endres, eller organisasjonen får ny kjennskap til risikodrivere Aggreger risiko og gjør relevant informasjon tilgjengelig
6 Bakgrunn - risiko Snurr film 6
7 Hvem identifiserer risiko Ledelsen Risk & compliance Juridisk Sikkerhet IT Øvrige ansatte Partnere Leverandører mv
8 Risky business Sosiale medier Bring your own Attestasjoner Mobilbank Tilgjengelighet Tjenestenekt - DDOS Interne misligheter Ansvar Offshoring Norge, India, Ukraina, USA Identitetstyveri Leverandørstyring Informasjonslekkasjer Personvern AML Regulatoriske krav Nye sårbarheter Nettskyen / Clouds APP er Skimming Virusutbrudd Hendelser Endringer som går galt Kredittkortinfo PCI DSS Outsourcing Konfidensialitet Integritet Utro tjenere Mobile plattformer Kompetanse Kortsvindel Phishing Organisert kriminalitet Leverandøravhengighet Standardisering Utviklingshastighet Internettkriminalitet Cybersikkerhet Industrispionasje Nøkkelkontroller Fullmakter Java / BankID Insidehandel Elektronis lommebo Avtaler og ansvar RSA Effektiv Nye trusler 8 Styring og kontroll Beredskap Kapasitet Risiko og Tilsyn sårbarhet ILLUSTRASJON
9 Risky business Sosiale medier Bring your own Attestasjoner Mobilbank Tilgjengelighet Tjenestenekt - DDOS Interne misligheter Ansvar Offshoring Norge, India, Ukraina, USA Identitetstyveri Leverandørstyring Informasjonslekkasjer Personvern AML Regulatoriske krav Nye sårbarheter Nettskyen / Clouds APP er Virusutbrudd Hendelser Endringer som går galt Kredittkortinfo PCI DSS Fullstendighet? Skimming Outsourcing Konfidensialitet Mobile plattformer Integritet Utro tjenere Kompetanse Kortsvindel Phishing Organisert kriminalitet Leverandøravhengighet Standardisering Utviklingshastighet Internettkriminalitet Cybersikkerhet Industrispionasje Nøkkelkontroller Fullmakter Java / BankID Insidehandel Elektronis lommebo Avtaler og ansvar RSA Effektiv Nye trusler 9 Styring og kontroll Beredskap Kapasitet Risiko og Tilsyn sårbarhet ILLUSTRASJON
10 Kilder til risikoidentifikasjon Hendelser CERT, overvåking, mv, Målinger/trender Sikkerhetstester Revisjoner Risikogjennomganger Arbeidsmøter Magefølelse Erfaring Standarder Kurs/konferanse Regulering og endringer Mediaoppslag Publikasjoner Varsel fra bransje, myndigheter, sikkerhetsleverandør, andre 10
11 Finanstilsynets risiko- og sårbarhetsanalyse = Nyttig input 11
12 Rammeverk for å bedre fullstendighet A.5 Security Policy A6 A5.1 Information Security Policy Organization Of Information Security A7 A6.1 Internal Organization A7.1 Asset Responsibility For Assets A8 Human Resources Security A9 Physical & Environmental Security A10 A8.1 Prior To Employment A9.1 Secure Areas A10.1 Communications & Operations Operational Procedures & Responsibilities A6.2 External Parties A7.2 Information Classification A8.2 During Employment A9.2 Equipment Security A10.2 Third Party Service Delivery A8.3 Termination Or Change Of Employment A10.3 System Planning & Acceptance A11 Access Control A12 A11.1 A11.2 Business Requirement for Access Control User Access A12.1 A12.2 Information Systems Acquisition, Dev. & Maintenance Security Requirements of Information Systems Correct Processing in Applications A13 A13.1 A13.2 Information Security Incident Reporting Information Security Events & Weaknesses of Information Sec. incidents & Improvements A14 A14.1 A14.2 A11.3 User Responsibilities A12.3 Cryptographic Controls A14.3 Business Continuity Information Security Aspects Of Business Continuity Understanding the Organization Determining Business Continuity A15 A15.1 A15.2 A15.3 Compliance Compliance w ith Legal Requirements Compliance w ith Security Policies & Standards, & Technical Compliance Information Systems Audit Considerations A10.4 Protection Against Malicious & Mobile Code A10.5 Back-Up A10.6 Netw ork Security A10.7 Media Handling A11.4 Netw ork Access Control A12.4 Security of system files A14.4 BCM Program A10.8 Exchange of Inf ormation Operating System A11.5 Access Control Controls Legend A12.5 Security in development & support processes A14.5 Exercising, Maintaining and Review ing BCM Arrangements A10.9 Electronic Commerce Services A11.6 Application & Information Not Aligned Access Control Partially Aligned A12.6 Technical vulnerability management Aligned A10.10 Monitoring A11.7 Mobile Computing & Telew orking
13 Dette bildet kan ikke vises for øyeblikket. Rammeverk for å bedre fullstendighet Cloud Computing Governance, Risk and Compliance Delivery Strategy and Architecture Infrastructure Security Identity and Access Data Business Resiliency and Availability IT Operations Vendor Business Operations Governance Strategy Vulnerability Identity Data Acquisition Technology Resilience Asset Vendor Selection Human Resources Risk Architecture Network Security Access Data Usage Cloud Provider Continuity Change Contracting Legal Compliance System Security Unauthorized access or inappropriate use of sensitive data Data Storage Supply Chain Continuity Project Monitoring Finance Changing compliance landscape due to evolving regulations and standards Application Security Unauthorized access to data storage through underlying cloud technology Data Transfer Inability to align business process changes with standardized cloud service options Operations Resource Provisioning Tax 13 Low Risk Medium Risk High Risk Encryption Noncompliance with data privacy laws due to crossjurisdictional data transfer Data Disposal Technology resilience to be reassessed to take advantage of inherent cloud resilience Dependency on cloud provider requires clear understanding of continuity and vendor strategy Potential lack of sufficient number of viable cloud providers Incident Physical Environment Vendor Lock-in Failure to control cloud cost due to ease of proliferation of cloud usage High cost of migrating cloudresident technology and data due to proprietary architecture 2011 Deloitte AS
14 Brukervennlig risiko Risiko er styringsinformasjon Hvert nivå i organisasjonen har forskjellig behov Risiko aggregeres når den kommer «nedenfra» Risiko assosieres når den kommer «ovenfra» For at risiko skal kunne brukes som styringsmekanisme må den kunne sammenlignes og forstås Scope og grensesnitt Avhengigheter Kriterier for vurdering av sannsynlighet Kriterier for vurdering av konsekvens Kriterier for risikoaksept 14
15 Tiltak Tiltak for å styre risiko til et akseptabelt nivå Automatiserte preventive og oppdagende kontroller i applikasjonslogikk og input kontroller i tilgangssystemer på nettverk og infrastruktur-nivå Manuelle preventive og oppdagende kontroller i form av regelmessig utførelse av kontrollhandlinger i form av policies / retningslinjer / avtaler / opplæring Hvis det er risiko for målrettede handlinger er det kritisk at det etableres tekniske løsninger og kontroller for å adressere «alle mulige» angrepskanaler. Tiltak må fungere for at risikoen kan reduseres dette kan bekreftes automatisk 15
16 Oppdatert risiko ikke «en greie vi gjorde i fjor» Risiko SSLA Måling Hendelse SSLA Måling SSLA Måling Hendelse SSLA Måling SSLA Måling Tid 16 Revisjons rapport Risiko vurdering
17 Internrevisors forhold til risiko Internrevisor bør kjenne til hvordan risikostyringen er Internrevisor bør kjenne til virksomhetens risiko Internrevisor bør ha et aktivt forhold til risiko Internrevisor bør benytte interne og eksterne kilder til risiko 17
18 Oppsummering Identifisere Strukturere Vurdere Forstå Bruke Gjør forståelig Oppdatere 18
19 19
ISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerVurdering av risiko og sikkerhet i skytjenester. Håvard Reknes
Vurdering av risiko og sikkerhet i skytjenester Håvard Reknes hmr@difi.no +47 469 28 494 LinkedIn Password Hack 2012 Hva skjedde? ENISA - Top security risks CSA - En praktisk veiledning for vurdering av
DetaljerC L O U D S E C U R I T Y A L L I A N C E
C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no
DetaljerFremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no C L O U D S E C U R I T Y A L L I A
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerNIRF Finansnettverk. Trond Erik Bergersen 24.1.2013
NIRF Finansnettverk Trond Erik Bergersen 24.1.2013 Trond Erik Bergersen Hvem er det? IT revisor hva er det? 2 Rollefordeling Hovedstyret Sentralbankledelsen Hovedstyrets revisjonsutvalg Linjeorganisasjon
DetaljerDet 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016
Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser 6. April 2016 2 Agenda 1. Informasjonssikkerhet 2. Klassifisering 3. Risikoanalyse og kontinuitetsplanlegging i endringsprosesser 4. Personvern
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerRS402 Revisjon i foretak som benytter serviceorganisasjon
Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerAsset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012
Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong
DetaljerGjermund Vidhammer Avdelingsleder Governance, risk & compliance
VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste
DetaljerLovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014
Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Difi, Oslo 17.03.2014 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen Dette er
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerErfaringer fra en Prosjektleder som fikk «overflow»
Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation
DetaljerVeileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013
Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013 1 Innhold 1. Hva er et styringssystem for informasjonssikkerhet?... 3 2. Bakgrunn for revisjon av standarden... 4 3.
DetaljerREVISJON AV COMPLIANCE-PROGRAMMER
REVISJON AV COMPLIANCEPROGRAMMER NIRF Årskonferanse 2017 Mads Blomfeldt BDO compliance og gransking 1 AGENDA Hva er et complianceprogram? Aktuelle standarder og beskrivelser av «beste praksis» Forventninger
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerLovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC
Lovlig bruk av Cloud Computing Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC 13.02.2013 Vårt utgangspunkt Det er Datatilsynets utgangspunkt at det er mulig å oppnå godt personvern også i nettskyen
DetaljerISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri
ISO/DIS 45001, INNHOLD OG STRUKTUR Berit Sørset, komiteleder, Norsk Industri ISO/DIS 45001:2016 Occupational health and safety managment systems Requirements with guidance for use Overordnet mål: forebygge
DetaljerDE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015
DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015 Oddmund Wærp Teknologisk Institutt email owa@ti.no Tlf. 934 60 292 TEKNOLOGISK INSTITUTT - HVEM VI ER Landsdekkende kompetansebedrift med hovedkontor
DetaljerKIS - Ekspertseminar om BankID
www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale
DetaljerIKT løsninger for fremtiden? Smartgridkonferansen 10-11. september 2014
IKT løsninger for fremtiden? Smartgridkonferansen 10-11. september 2014 NTE et trøndersk energikonsern Om lag 650 ansatte 3,5 milliarder kroner i omsetning Virksomhet i hele Nord-Trøndelag og Trondheim
DetaljerNIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby
NIRF Hvitvaskingsregelverket og internrevisorer Advokat Roar Østby Oslo 4. mars 2014 Agenda Endringer i regelverket ( 4. direktiv) «Kjenn-din-kunde» (lovens krav) 2 Noen tall Antall MT-rapporter til EFE
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerHVILKE ENDRINGER KAN BRANSJEN FORVENTE SEG FREMOVER SETT FRA ET BRUKERPERSPEKTIV CHRISTIAN HEIBERG, EXECUTIVE DIRECTOR CBRE AS NORSK EIENDOM
HVILKE ENDRINGER KAN BRANSJEN FORVENTE SEG FREMOVER SETT FRA ET BRUKERPERSPEKTIV CHRISTIAN HEIBERG, EXECUTIVE DIRECTOR CBRE AS NORSK EIENDOM 26.04.18 ALT FORANDRES FROM SURVIVAL OF THE FITTEST TO SURVIVAL
DetaljerISO 9001:2015 Endringer i ledelsesstandarder
ISO 9001:2015 Endringer i ledelsesstandarder 210 kollegaer Oslo (HK) Bergen / Ågotnes Stavanger Haugesund Trondheim Göteborg VÅRE VERDIER HENSIKT MED STANDARD REVISJONER
DetaljerDen europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,
Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.
DetaljerTrondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018
Trondheim, 2019-01-28 SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018 AGENDA Standard Norge Privat, uavhengig, medlemsorganisasjon, non-profit Etablert 2003, røtter til 1923 Standarder på de fleste
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerHvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk
Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk Logica 2012. All rights reserved No. 3 Logica 2012. All rights reserved No. 4 Logica 2012. All rights reserved
DetaljerStandarder for Asset management ISO 55000/55001/55002
Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby
DetaljerMED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017
INNOVASJON OG MULIGHETER MED PUBLIC CLOUD Altinn Servicelederseminar - 21. September 2017 Geir Morten Allum geir.morten.allum@basefarm.com Product Development Basefarm AGENDA ALTINN SERVICELEDERSEMINAR
DetaljerDumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester
Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester Inge Os, Sales Consulting Director, Oracle Norway 31/10-2018 Oracle 18.4 SaaS PaaS ERP HR
DetaljerGuri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ
Guri Kjørven, 2015-12-02 ISO/CD2 45001:2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ Historie ISO 45001 2000 2007 2016 1. utgave OHSAS 18001:1999 Ny BS standard Oversatt til norsk Helse er tatt med Mer forenlig
DetaljerRisikostyring og informasjonssikkerhet i en åpen verden www.steria.com
Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: 992 82 936 LinkedIn: http://www.linkedin.com/pub/ivar-aasgaard/0/255/639
DetaljerJarle Langeland. Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerKontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,
Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work
DetaljerInvitation to Tender FSP FLO-IKT /2013/001 MILS OS
Invitation to Tender FSP FLO-IKT /2013/001 MILS OS April 15th 2013 Forfatter Prosjektittel 19.04.2013 19.04.2013 1 Introduction AGENDA Important aspects regarding the competition and Invitation to tender
DetaljerHva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1
Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering
DetaljerFremtiden er (enda mer) mobil
www.steria.no è Fremtiden er (enda mer) mobil Steria Technology trends 2011 è Top 10 strategic technology trends for 2011: Cloud computing is real hot according to Gartner, but CIO s in Norway and Scandinavia
DetaljerFremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder
Standard Norge, Oslo 2018-06-05 Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder Eldar Lillevik Director Cyber Security
DetaljerIT Service Management
IT Service Management En introduksjon Innhold Hva er Service Management og IT Service Management? Hva er ITIL? ITIL som tilnærming til Service Management. Forsiktig introduksjon av ITIL Hva er Service
DetaljerIT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)
IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance) Ragnvald Sannes (ragnvald.sannes@bi.no) Institutt for ledelse og organisasjon, Handelshøyskolen BI Hva er IT Governance
DetaljerIntegrering av IT i virksomhetens helhetlige risikostyring
Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs
DetaljerEnter The Cloud. Er du sikker i Nettskyen? Title Month Year. Marianne Rinde Virtualization & Cloud Computing, EMEA. Marianne.Rinde@EMC.
Er du sikker i Nettskyen? Marianne Rinde Virtualization & Cloud Computing, EMEA Marianne.Rinde@EMC.COM 1 Enter The Cloud. 2 1 Sikkerhet i Nettskyen: Hemmer eller tilrettelegger? CIOs are concerned related
DetaljerItled 4021 IT Governance Fra IT-strategi til digital forretningsstrategi og plattformer
Itled 4021 IT Governance Fra IT-strategi til digital forretningsstrategi og plattformer September 2018 Bendik Bygstad Læringsmål Kunne definere IT-strategi, og forholdet til forretningsstrategi? Kunne
DetaljerHva kjennetegner god Risikostyring?
Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over
DetaljerHvordan komme i kontakt med de store
Hvordan komme i kontakt med de store Willy Holdahl, direktør Personal og Organisasjonsutvikling Kongstanken, 15 oktober 2010 The information contained in this document is Volvo Aero Connecticut Proprietary
DetaljerHvordan bedømmer Gartner de lange linjene?
Hvordan bedømmer Gartner de lange linjene? q Digitalisering skaper STORE informasjonsmengder som foreldes raskt og er nærmest verdiløse uten rask og presis analyse q Tradisjonell BI er ikke godt nok, den
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerInnebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?
Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet
DetaljerSeminar om betalingssystemer og IKT i finanssektoren, 03.05.2012
Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet
DetaljerTjenester i skyen hva må vi tenke på?
Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet
DetaljerO v e r o r d n e t m a k r o p e r s p e k t i v p å d i g i t a l e m u l i g h e t e r
O v e r o r d n e t m a k r o p e r s p e k t i v p å d i g i t a l e m u l i g h e t e r S t r a t e g i s k s t y r i n g a v v i r k s o m h e t e r Brit Tone Bergman 19/09/2018 2 En v e r d e n i e
DetaljerHvordan vurdere/revidere overordnet styring og kontroll
www.pwc.no Hvordan vurdere/revidere overordnet styring og kontroll Jonas Gaudernack DFØ - Desember 2014 Dekomponering av problemstillingen -> grunnleggende spørsmål 1. Hvorfor vurdere styring og kontroll
DetaljerRisikofokus - også på de områdene du er ekspert
Risikofokus - også på de områdene du er ekspert - hvordan kan dette se ut i praksis? - Ingen er for gammel til å begå nye dumheter Nytt i ISO 9001:2015 Vokabular Kontekst Dokumentasjonskrav Lederskap Stategi-politikk-mål
DetaljerProsess til folket! AICIT work in progress. Copyright 2012 Accenture All Rights Reserved
Prosess til folket! AICIT work in progress AICIT Oslo er et innovasjonssenter innen Business Process Management (BPM) og Mobil Accenture Innovation Center for IBM Technologies Samarbeid mellom Accenture,
DetaljerKJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning
DetaljerSykehuspartner HF En partner for helsetjenester i utvikling. Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming
Sykehuspartner HF En partner for helsetjenester i utvikling Hvordan bygge et sykehus ved å bruke TOGAF rammeverk. En praktisk tilnærming 1 Agenda Bakgrunn TOGAF : organisering & leverabler Gjennomgang
DetaljerDet handler om å vite Christopher Kiønig KAM (ISO27001 LI)
Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte
DetaljerIT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no
IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens
DetaljerProcedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety
KHMS dokumentasjon Kapittel 1 QHSE documentation Chapter 1 Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety Denne håndboken er / This manual is:
Detaljer"Alle" snakker om BI men er det blitt allemannseie? Lars- Roar Masdal Daglig leder
"Alle" snakker om BI men er det blitt allemannseie? Lars- Roar Masdal Daglig leder 25.08.2011 risiko > agenda > verdi ravnorge.no 2009 Informa(on will be the oil of the 21st century. Gartner 2010 With
DetaljerITLED4021: IT og Ledelse Høst Styring av IT Sikkerhet. Audun Jøsang Universitetet i Oslo
ITLED4021: IT og Ledelse Høst 2018 Styring av IT Sikkerhet Audun Jøsang Universitetet i Oslo Relevant governance types Corporate Governance GRC IT Governance IT Security Governance Risk Manage ment Compliance
DetaljerGrunnlag: 11 år med erfaring og tilbakemeldinger
Antenor Management System v5 Grunnlag: 11 år med erfaring og tilbakemeldinger Antenor Management System v5 AMS v5 første versjon lanseres 13. november 100% uavhengig plattform 100% dedikert til Quality
DetaljerE-navigasjon 12-13 Juni 2014
E-navigasjon 12-13 Juni 2014 SIKKER NAVIGERING Classification: Internal 2014-06-11 E-NAVIGASJON Introduksjon, Tor Arne Tønnessen Statoil hvem er vi E-navigasjon, hvorfor er det viktig for Statoil ECDIS,
DetaljerFM strategi: Bruk av standarder for sourcing, effektivisering og dialog
April 2015 FM strategi: Bruk av standarder for sourcing, effektivisering og dialog MERETE HOLMEN MURVOLD En standard er en frivillig akseptert måte å gjøre det på og en harmonisering av beste praksis Foto:
DetaljerKrav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal
Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal Seniorrådgiver Knut Lindelien, Standard Norge Bakgrunn Stort informasjonsbehov mye informasjon
DetaljerHacking av MU - hva kan Normen bidra med?
Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1 Litt bakgrunn og oppdatering Personvern og informasjonssikkerhet to siste år https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerNy personvernlovgivning er på vei
Ny personvernlovgivning er på vei Er du forberedt? 27. september 2017 There are lines you cannot cross. There are rules to the game. But within the lines and following the rules, you are only limited by
DetaljerSPISSKOMPETANSE GIR BEDRE INTERNREVISJON
30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.
DetaljerCITY OF OCEANSIDE JUNE 30, 2018 SINGLE AUDIT REPORT
CITY OF OCEANSIDE JUNE 30, 2018 SINGLE AUDIT REPORT CITY OF OCEANSIDE, CALIFORNIA JUNE 30, 2018 TABLE OF CONTENTS Independent Auditors Report on Internal Control Over Financial Reporting and on Compliance
DetaljerISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland
ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301
DetaljerKort om IPnett. Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no
Kort om IPnett - Hvem er vi? - Trapeze vs. Juniper - Uninett avtalen Henrik Jørgensen Solution Architect Tel +4767201028 Mob +4791165898 henrik.jorgensen@ipnett.no IPnett AS Vollsveien 2b Pb 118 1325 LYSAKER
DetaljerINTERNKONTROLL V.3. Sikkerhetssymposiet Esten Hoel, SVP Quality & Security
INTERNKONTROLL V.3 Sikkerhetssymposiet 2018 18-10-2018 Esten Hoel, SVP Quality & Security SNAKKEPLAN 1 Outsourcing vs Risikostyring 5 2 Kontroll av tjenesteleverandør, da og nå 3 SOC-attestasjoner = win-win
DetaljerRISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01
RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra
DetaljerFM kompetanseutvikling i Statoil
FM kompetanseutvikling i Statoil Erick Beltran Business developer Statoil FM FM konferansen Oslo, 13 Oktober 2011 Classification: Internal (Restricted Distribution) 2010-06-06 Erick Beltran Ingenierio
DetaljerJONN ARNE VE SENIOR FORRETNINGSRÅDGIVER
www.ifsworld.com JONN ARNE VE SENIOR FORRETNINGSRÅDGIVER Jonn Arne Ve SENIOR BUSINESS CONSULTANT Service & Assets IFS Scandinavia Skysstasjonen 11, P.O Box 3, N-1371 Asker, NORWAY Tel +47 66 90 73 95.
DetaljerSecurity events in Norway
Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerBruk av ucmdb til SLM og Change Management EDB Business Partner Industri 2009-02-04
Bruk av ucmdb til SLM og Change Management EDB Business Partner Industri 2009-02-04 EDB Business Partner organisasjon Bank & Finance Public sector Telecom Industry 1000 FTE s 1600 MNOK revenue Application
DetaljerEn monopolvirksomhets sikkerhetsferd mot den offentlige skyen
En monopolvirksomhets sikkerhetsferd mot den offentlige skyen Om Lånekassen Etablert i 1947 Utlånsportefølje 173,8 milliarder Kunder 1 087 500 Tildelt studiestøtte 28,7 milliarder Innlogginger Dine Sider
DetaljerSamfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?
Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet? Lars Erik Jensen, prosjektleder, Standard Norge Bilde: NordForsk 2 Hvordan kan vi best påvirke internasjonale standarder
DetaljerESRA Norge Risikokommunikasjon og barrierestyring. Statoils step change in managing technical integrity the story so far
ESRA Norge Risikokommunikasjon og barrierestyring Statoils step change in managing technical integrity the story so far Morten Sørum, Senior Advisor, Statoil Classification: Internal 2012-06-04 Innhold
DetaljerTrust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting
Trust in the Personal Data Economy Nina Chung Mathiesen Digital Consulting Why does trust matter? 97% of Europeans would be happy for their personal data to be used to inform, make recommendations or add
DetaljerForstå prosessen! ved Anette Edvardsen. Senior Business Consultant Qualisoft AS
Tor Tengs-Pedersen Forstå prosessen! ved Anette Edvardsen Senior Business Consultant Qualisoft AS Agenda 1. Introduksjon til metode for BPM og prosessforbedring 2. Gjennomgang av teknikker / verktøy inkl.
DetaljerKan cyber-risiko forsikres?
Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn Informasjonssikkerhet
DetaljerEnterprise Mobility + Security (EM+S)
Enterprise Mobility + Security (EM+S) Nytt og Hot i Enterprise Mobility + Security Jan Vidar Elven Arkitekt MVP Enterprise Mobility Microsoft Threat Protection Microsoft Ignite, Orlando 2018 Sikkerhet
DetaljerAkkrediteringsdag Ledelsessystem for arbeidsmiljø - erfaringer Morten Berntsen - Revisjonsleder
Akkrediteringsdag 2018 Ledelsessystem for arbeidsmiljø - erfaringer Morten Berntsen - Revisjonsleder Eierstruktur Kiwa er en ledende aktør i TIC-bransjen i Europa. Selskapet er en del av ACTA* Holding,
DetaljerHva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu
Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu marius.sandbu@evry.com De største leverandørene i markedet Markedet og trender for offentlig skyløsninger AWS vokser
DetaljerIKT-revisjon som del av internrevisjonen
IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi
DetaljerTJENESTEAVTALER FOR OFFENTLIG DOKUMENTASJONSFORVALTNING
TJENESTEAVTALER FOR OFFENTLIG DOKUMENTASJONSFORVALTNING MED PERSPEKTIVER FRA NORGES BANK OG NA S TJENESTEAVTALETURNÉ 2018 André Neergaard Andre.neergaard@norges-bank.no Agenda Hva er en tjenesteavtale
Detaljer