Hva skal til for at sikkerhetsrisiko blir en del av risikotankegangen til Ledelsen?

Like dokumenter
Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

Informasjonssikkerhet like vanskelig etter 25 år??

Informasjonssikkerhet like vanskelig etter 25 år??

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Hva kjennetegner god Risikostyring?

Konsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner

Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse

Agenda. Nordisk finansnæring kan møte cybertrusselen sammen. Morten Tandle, daglig leder Nordic Financial CERT

HÅNDTERING AV NETTANGREP I FINANS

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

INTERNREVISJONENS REISE MOT 2020

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Følger sikkerhet med i digitaliseringen?

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Erfaringer fra en Prosjektleder som fikk «overflow»

IKT-revisjon som del av internrevisjonen

Hvitvasking som operasjonell risiko Finans Norge, 10. Januar 2018

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Humor i sikkerhetsarbeidet - morsomt eller bare latterlig?

Betydningen av ledelse for digitalisering og innovasjon i helsesektoren

Strategi for Informasjonssikkerhet

Hvordan vurdere/revidere overordnet styring og kontroll

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.

FORRETNINGSsystemer & HR

Policy for Antihvitvask

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Informasjonssikkerhet En tilnærming

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Tilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Retningslinje for risikostyring for informasjonssikkerhet

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Never Waste a good crisis Compliance i en krisesituasjon

Ekstraordinær generalforsamling HAVFISK ASA

Hvor svart kan en svart vegg bli? -Følg med.

Hva er et styringssystem?

Hvordan beste praksis rammeverk praktiseres aller best

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

Cyberforsikring for alle penga?

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

VI BYGGER NORGE MED IT.

Vurdering av personvernkonsekvenser (DPIA) - Vi vet hvorfor og når, men hvordan?

Gjenopprettingsplan DNBs erfaringer. Roar Hoff Leder av Konsern-ICAAP og Gjenopprettingsplan Oslo, 7. desember 2017

Security events in Norway

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

E-postmarkedsføring ADVANCED

Cyber Risk Mapping Kartlegging av cyberrisiko

Etter selskapets ordinære generalforsamling den 24. mai 2017 består styret av følgende aksjonærvalgte styremedlemmer:

Vekst og digitalisering

GUIDE TIL Å KOMME I GANG MED INBOUND MARKETING. Gratis guide fra

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Kan cyber-risiko forsikres?

ISO-standarderfor informasjonssikkerhet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Ny personvernlovgivning er på vei

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Internkontroll og informasjonssikkerhet lover og standarder

Orders Ethernet connect

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

8 myter om datasikkerhet. du kan pensjonere i

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Analoge mennesker i en digital

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Hvilke konsekvenser har skala for risiko- og sikkerhetsarbeidet i offentlig sektor? BDO AS v/geir Arild Engh-Hellesvik

Erfarenheter av Bilpooler i Oslo

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

IT I PRAKSIS!!!!! IT i praksis 20XX

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

VELKOMMEN TIL WHAT S HOT #EVRYWHATSHOT

Slik stanser vi nettbanksvindel i Nordea

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

MTF Landsmøte 2011 MTU Vedlikehold vs Flyvedlikehold

INTERNKONTROLL V.3. Sikkerhetssymposiet Esten Hoel, SVP Quality & Security

Trusselbildet slik Finanstilsynet ser det

KIS - Ekspertseminar om BankID

Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv. Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02.

Digitalisering. Fra frykt til praksis. Research and Education Network seminar BI, Nydalen 15. februar Espen Andersen

Informasjonssikkerhet og ansatte

Copyright 2010, SAS Institute Inc. All rights reserved.

Kvalitet og HMS i praksis. Hva skal et system inneholde? 24. januar 2019

Anette Mellbye, VP Schibsted Change Office, på HR Norges HR Forum 2017

EDB Business Partner. Sikkerhetskontroller / -revisjoner

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

BEDRE VERKTØY OG SYSTEMER FOR KUNNSKAPSSTØTTE I EPJ. Førsteamanuensis Mariann Fossum

Sikkerhet på nettet. Men internett har også fallgruber: Hackers Identitetstyveri Bedragerier Mobbing Tyveri av datamaskinen Datamaskinhavari Virus osv

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Danner ny sikkerhetsspesialist NTT Security

IT-lederkonferansen (Hvorfor) er norske virksomheter digitale sinker? Invitasjon til diskusjon basert på en pågående undersøkelse

Fintech regulering. Liv Freihow IKT-Norge. Historien om det kompliserte ekteskapet mellom gründere og Finanstilsynet

Camilla Knudsen Tveiten, stud Phd SINTEF/NTNU

Hvordan avslører vi svindel?

Ingar Skaug. Levende lederskap. En personlig oppdagelsesferd

Utgitt: Januar /2017. Kontroll med risiko gir gevinst

Transkript:

Hva skal til for at sikkerhetsrisiko blir en del av risikotankegangen til Ledelsen? John Arild A. Johansen, CISO & Personvernombud Gjensidige Bank NRSKonf#1, 28. september 2017

Grunnen til at jeg er her 54 år Utdannet Dataingeniør Har jobbet med sikkerhet i 25 år - Post- og teletilsynet (NKOM) - Wilhelmsen Lines - Wilh. Wilhelmsen ASA - Wallenius Wilhelmsen - Buypass AS - Helsedirektoratet - Direktoratet for e-helse - Gjensidige Bank - Driftsmedarbeider - Driftsmedarbeider - IT- og informasjonssikkerhetsansvarlig - Kontinuitet og kriseplanlegging - Sikkerhets- og kvalitetssjef / PVO - Informasjonssikkerhetssleder / PVO - Sikkerhetssjef - CISO / PVO Styreleder i Normen (www.normen.no) Styreleder i ISF (www.isf.no) Sertifisert CISA / CISM

Skal snakke litt om. Status i dag og muligheter Problemstillingen Tilnærming til området Konkrete tips & konklusjoner - alt fra et sikkerhetsperspektiv 3

Målbildet: 4

5

6

Egentlig dreier det seg kun om to ting: 1. Oppmerksomhet! 2. Levere!! 7

28.09.2017 8

28.09.2017 9

10

11

12

Compliance Tsunami 13

14

15

Problemstillingen 16

Problemstillingen 17

18

19

Vi IT- og sikkerhetsfolk har fremdeles et omdømmeproblem 20

21

Problemstillingen «Evig eies kun et dårlig rykte» Snakker ikke stammespråket Har ikke full oversikt over forretningsprosessene Er ikke gode nok til å finne møteplassene Er ikke gode nok til å finne kravene (Compliance) og hvor de passer inn. IT er vanskelig nok hva da med IT-sikkerhet?? CyberRisk??? 22

Et imageproblem 23

Noe bra har det jo vært 24

Så igjen nå eller aldri 26

Tips for å få oppmerksomhet & fokus Kom deg ut og SELG!! «Sikkerhet og risikohåndtering er en «enabler» i digitialiseringen» Bruk dagsaktuelle hendelser - det har ledelsen fått med seg Media og annen omtale gir gratis drahjelp bruk det Ikke regn med å bli inkludert, kom deg på banen selv Heng deg på eksisterende forum og møteplasser Ikke vær redd for å skille deg ut Når du har fått fokus og oppmerksomhet MÅ du levere! 27

Apropos Levere - hva gjør vi? Bank og forsikring er sterkt regulert og har mange formelle krav til risikostyring gjennom lovgivning, forskrifter, sektorkrav, selvpålagte sertifiseringer, mm. RCSA (Risk Control Self Assessment) Kvartalsvis Pålegger ledere på alle vesentlige virksomhetsområder å løpende vurdere gjennomføringen av internkontrollen gjennom et antall tester. Adresser iboende risiko og restrisiko ORR (Operational Risk Review) Månedlig Løpende ledelsesrapportering på utestående mangler, tiltak, svindel, hendelser, mm. Betyr IKKE at vårt område automatisk inkluderes til det fulle. 28

ORR Operational Risk Review

FinansCERT on Cyber threats: 30

FinansCERT on Cyber threats: Online banking (Increasing) TrickBot trojan Targeting banks worldwide RealTime Phising attacks Malware: WannaCry and Petya Lot of media attention New will come. Business as usual E-mail based fraud Phishing attempts Stealing credentials/account CEO-fraud Not very advanced 31

Group Security on Cyber threats: * *

33

35

RCSA Risk Control Self Assessment Teknologi / infosec: 36

RCSA Risk Control Self Assessment eksempel 37

Men husk «enkeltheten» 38

39

Generelt om risikohåndtering Fra CIA og PDCA håndtering av risiko Kan ha flere metoder avhengig av omfang 1. Prosa i notatform 2. Metode for begrenset område (nytt system, ny teknologi, ny funksjon, ) 3. Mer omfattende metode for løpende eller årlig risikovurdering av virksomheten 40

Konklusjoner & råd Helt klart fokus på området vårt Det er et aktuelt og spennende område Bruk dagsaktuelle hendelser - det har ledelsen fått med seg gir gratis drahjelp Ikke regn med å bli inkludert, kom deg på banen selv Gjør budskapet kort og konsist to the point Heng deg på eksisterende forum og møteplasser 41

Konklusjoner & råd Når du har fått plass MÅ du levere. Jevnlige, systematisk oppdateringer på både trusselbildet og risikonivå Belys små og store ting treffer folk både privat og på jobb Tenk gjerne «out of the box» - bruk humor, atypiske eksempler, osv. 42

Konklusjoner & råd Når du har fått plass MÅ du levere. Jevnlige, systematisk oppdateringer på både trusselbildet og risikonivå Belys små og store ting treffer folk både privat og på jobb Tenk gjerne «out of the box» - bruk humor, atypiske eksempler, osv. 43

Insecurity bores me Kontakt: john.johansen@gjensidige.no / tlf. 916 94321

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding