Hva skal til for at sikkerhetsrisiko blir en del av risikotankegangen til Ledelsen? John Arild A. Johansen, CISO & Personvernombud Gjensidige Bank NRSKonf#1, 28. september 2017
Grunnen til at jeg er her 54 år Utdannet Dataingeniør Har jobbet med sikkerhet i 25 år - Post- og teletilsynet (NKOM) - Wilhelmsen Lines - Wilh. Wilhelmsen ASA - Wallenius Wilhelmsen - Buypass AS - Helsedirektoratet - Direktoratet for e-helse - Gjensidige Bank - Driftsmedarbeider - Driftsmedarbeider - IT- og informasjonssikkerhetsansvarlig - Kontinuitet og kriseplanlegging - Sikkerhets- og kvalitetssjef / PVO - Informasjonssikkerhetssleder / PVO - Sikkerhetssjef - CISO / PVO Styreleder i Normen (www.normen.no) Styreleder i ISF (www.isf.no) Sertifisert CISA / CISM
Skal snakke litt om. Status i dag og muligheter Problemstillingen Tilnærming til området Konkrete tips & konklusjoner - alt fra et sikkerhetsperspektiv 3
Målbildet: 4
5
6
Egentlig dreier det seg kun om to ting: 1. Oppmerksomhet! 2. Levere!! 7
28.09.2017 8
28.09.2017 9
10
11
12
Compliance Tsunami 13
14
15
Problemstillingen 16
Problemstillingen 17
18
19
Vi IT- og sikkerhetsfolk har fremdeles et omdømmeproblem 20
21
Problemstillingen «Evig eies kun et dårlig rykte» Snakker ikke stammespråket Har ikke full oversikt over forretningsprosessene Er ikke gode nok til å finne møteplassene Er ikke gode nok til å finne kravene (Compliance) og hvor de passer inn. IT er vanskelig nok hva da med IT-sikkerhet?? CyberRisk??? 22
Et imageproblem 23
Noe bra har det jo vært 24
Så igjen nå eller aldri 26
Tips for å få oppmerksomhet & fokus Kom deg ut og SELG!! «Sikkerhet og risikohåndtering er en «enabler» i digitialiseringen» Bruk dagsaktuelle hendelser - det har ledelsen fått med seg Media og annen omtale gir gratis drahjelp bruk det Ikke regn med å bli inkludert, kom deg på banen selv Heng deg på eksisterende forum og møteplasser Ikke vær redd for å skille deg ut Når du har fått fokus og oppmerksomhet MÅ du levere! 27
Apropos Levere - hva gjør vi? Bank og forsikring er sterkt regulert og har mange formelle krav til risikostyring gjennom lovgivning, forskrifter, sektorkrav, selvpålagte sertifiseringer, mm. RCSA (Risk Control Self Assessment) Kvartalsvis Pålegger ledere på alle vesentlige virksomhetsområder å løpende vurdere gjennomføringen av internkontrollen gjennom et antall tester. Adresser iboende risiko og restrisiko ORR (Operational Risk Review) Månedlig Løpende ledelsesrapportering på utestående mangler, tiltak, svindel, hendelser, mm. Betyr IKKE at vårt område automatisk inkluderes til det fulle. 28
ORR Operational Risk Review
FinansCERT on Cyber threats: 30
FinansCERT on Cyber threats: Online banking (Increasing) TrickBot trojan Targeting banks worldwide RealTime Phising attacks Malware: WannaCry and Petya Lot of media attention New will come. Business as usual E-mail based fraud Phishing attempts Stealing credentials/account CEO-fraud Not very advanced 31
Group Security on Cyber threats: * *
33
35
RCSA Risk Control Self Assessment Teknologi / infosec: 36
RCSA Risk Control Self Assessment eksempel 37
Men husk «enkeltheten» 38
39
Generelt om risikohåndtering Fra CIA og PDCA håndtering av risiko Kan ha flere metoder avhengig av omfang 1. Prosa i notatform 2. Metode for begrenset område (nytt system, ny teknologi, ny funksjon, ) 3. Mer omfattende metode for løpende eller årlig risikovurdering av virksomheten 40
Konklusjoner & råd Helt klart fokus på området vårt Det er et aktuelt og spennende område Bruk dagsaktuelle hendelser - det har ledelsen fått med seg gir gratis drahjelp Ikke regn med å bli inkludert, kom deg på banen selv Gjør budskapet kort og konsist to the point Heng deg på eksisterende forum og møteplasser 41
Konklusjoner & råd Når du har fått plass MÅ du levere. Jevnlige, systematisk oppdateringer på både trusselbildet og risikonivå Belys små og store ting treffer folk både privat og på jobb Tenk gjerne «out of the box» - bruk humor, atypiske eksempler, osv. 42
Konklusjoner & råd Når du har fått plass MÅ du levere. Jevnlige, systematisk oppdateringer på både trusselbildet og risikonivå Belys små og store ting treffer folk både privat og på jobb Tenk gjerne «out of the box» - bruk humor, atypiske eksempler, osv. 43
Insecurity bores me Kontakt: john.johansen@gjensidige.no / tlf. 916 94321