Godt klima for nyttig sikkerhetsrapportering

Like dokumenter
You brought what?!?!?

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016

Helseforetakenes senter for pasientreiser ANS 1/2016

Ofte stilte spørsmål.

Veiledning om ledelsens gjennomgåelse. Innhold. Utgitt første gang: Oppdatert:

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Notat om risikostyring: Prosessen & foreløpige resultat. Fagdag Sikring 15/ Bjørnar Heide, Ptil. Relevant for sikring???

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Nytt intranett ny innsikt. Pia Fischer Konsernbanksjef Kundeopplevelse SpareBank 1 SR-Bank Mobil

Anker STI konsern Kontrollsystemer November 2014 Per Carlenius, Konsernsjef

Fjord1 sitt arbeid med sikkerhet

SIKRING i et helhetsperspektiv

Informasjon og kommunikasjonsstrategi Sør-Trøndelag fylkeskommune

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

Statsansatteundersøkelsen. Temahefte: Opplevelsen av digital tilstand

OLF Arbeidsgruppe for fallende gjenstander Bakgrunn og formål med Prosjektet

Nøytralitet, Årsrapport Lyse Elnett AS

Handlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16

Bane NOR TILSYNSRAPPORT NR

Evalueringsrapporten. Rapporten kunden mottar Sluttproduktet Forteller hva som er gjort

Styret Helsetjenestens driftsorganisasjon for nødnett HF 31.August BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Resultatrapport for Norges Rytterforbund

M Ø T E R E F E R A T TEK F&T MST HN

PRODUKSJONSANALYSEN OG ORGANISERING AV FORBEDRINGSARBEID I HUNNEBECK - LAGER Glenn A. Hole

Møtereferat. Havforskningsinstituttet. Flekkefjord Slipp & Maskinfabrikk

Organisering av kvalitetsutvalg og pasientsikkerhetsutvalg

SuperOffice ASA Kvartalsrapport Q3/07

Universitetet i Oslo Enhet for lederstøtte

Elevenes psykososiale skolemiljø. -En handlingsplan for å forebygge, avdekke og håndtere mobbing ved Neskollen skole

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

KOLLEKTIVTRAFIKKFORENINGENS STRATEGI OG HANDLINGSPLAN

Styret ved Vestre Viken HF 015/

Søknad om sertifisering

Oppsummering Møte i Partnerskapet for Næringsutvikling i Østfold. Dato: 7. mars Sted: Vingparken konferansesenter, Moss

1 Kompetanser i fremtidens skole

JERNBANEVERKET TILSYNSRAPPORT NR FRA LEDELSESMØTE

Analyser av antatte konsekvenser, kostnader og nyttegevinster av HMS-krav og tiltak i petroleumsvirksomheten

Rapport Gjemnes kommune 2018:

NY I STYRET #SIOKURS #MINFORENING

KOMMUNIKASJONSSTRATEGI

Risk and Decision Systems for Critical Infrastructure (DECRIS

Noen aktuelle tema for personvernombud i finans

Egenevalueringsskjema

Brukerundersøkelse Helse Nord IKT. November 2016

Referat fra 9. møte i UHRs økonomiutvalg

1. Sluttrapport fra PwC på oppdrag fra KD 2. Tiltaksplan for oppfølging

Medarbeiderdrevet innovasjon jakten på beste praksis

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Kapittel 8: Denne delen i KM-handboken tar for seg meglerens rolle i forbindelse med gjennomføringen av selve KM-prosjektet.

Skriftlig veiledning til Samtalen

Dokumentnavn: Policy og mål

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Telehuset Kjøreregler facebook januar Kjøreregler Facebook. Januar 2012

Bakgrunn. Møller Ryen A/S. Noe måtte gjøres. Bakgrunn for OU. Firmaet ble etablert i 1966 Norges største Volkswagen - Audi forhandler

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Leverandøren en god venn i sikkerhetsnøden?

Skriftlig veiledning til Samtalen. Finansnæringens autorisasjonsordninger

INSTRUKS FOR STYRETS REVISJONSUTVALG

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

Internkontroll. SUHS-konferansen 2016

SIKRING i et helhetsperspektiv

Egenevaluering av internkontrollen

Periodisk emnerapport for LATAM2506 og LATAM4506 Våren 2015 Tor Opsvik

HelseCIM - Enhetlig verktøy for krisehåndtering i helsesektoren - erfaringer fra UNN

Nøytralitet - Årsrapport 2015

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Kontrollutvalget Oslo, 14. november 2017

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Følgende møtte: Terje Jansen, Anette Aasen, Erik Evensen, Gro Fadum, Kay Prytz, Tom Brinck-Mortensen.

Sikkerhetsforum 2018

Etter gjennomgang og diskusjon av høringsdokumentet ble det formulert et høringssvar (se vedlegg).

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

VEDLEGG D ADMINISTRATIVE BESTEMMELSER

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Daglig leders økonomirapport

Dokument: Interne regler Ansvarlig: Fredrik Hytten Utarbeidet av: Styret Versjon: mars 2018

Forfall meldes til sekretær for kontrollutvalget på e-post: eller tlf

Styret Sykehuspartner HF 11. november Styret slutter seg til fremlagte forslag til måling av tilfredshet på kundenivå

En helhetlig tilnærming til kompetanse, employer branding og rekruttering. Pål Svanes Avdelingsleder rekruttering og utvikling

Lederkvalitet og utvikling Samspill mellom toppledelse og HR skaper kvalitativ utvikling. Tipping Point Methodology

TINE Distribusjon. Aniela Gjøs

Fagforum Hydrokarbonlekkasjer; Status og framdrift

7 tips til hvordan dere kan utvikle dere til en mer effektiv og velfungerende ledergruppe

Sikkerhetsrapport 1. halvår 2014

OMDØMME; forventning og opplevelse

DAGBOK. Patrick - Opprettet blogside for å kunne legge ut informasjon om hva som skjer underveis i prosjektet.

Risikoer og tiltaksarbeid i Sykehusinnkjøp HF 2018

Typiske intervjuspørsmål

Internkontroll. Complianceseminaret 6. juni 2019

N O T A T. Til: Styret Fra: Rektor Om: Oppdatert risikovurdering av fusjonen - sikker drift. Tilråding:

IKT-revisjon som del av internrevisjonen

Forslag til prosess for oppfølging av universitetsstyrets vedtak vedrørende klinikk og praksis ved Psykologisk institutt

Kompetanserapportapport

Hvor langt unna var vi egentlig?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

PRØVETAKINGSPLAN ETTER NY DRIKKEVANNSFORSKRIFT

Transkript:

Godt klima for nyttig sikkerhetsrapportering Erlend Dyrnes CISM, GCIH, CISA Sikkerhetssjef NextGenTel

Kort om Erlend Bred erfaring fra store og små, offentlig og privat Jobbet med informasjonssikkerhet siden 90-tallet Evner å snakke med både styremedlemmer og teknikere Opptatt av hvordan vi kan forbedre og systematisere Ellers: Gift småbarnspappa, jazzmusiker og mer en gjennomsnittlig grekofil

Vestenfjeldske SikkerhedsCompagnie - Vi er 11 stk i Bergen som møtes jevnlig til Mat & Prat - Ulik bakgrunn, kompetanse og stillinger - Målsetning: gi fornuftige råd om sikkerhet - Alt vi sier, skriver og gjør er på egen regning & ansvar Oddbjørn Per Thomas Erlend Lars Erik Per-Arne Terje Alexander Thomas Jan Fredrik Espen

Dette er NextGenTel NextGenTel er kjent som den viktigste bredbåndsutfordreren i Norge. Vi er en del av en familie av telekommunikasjonsselskaper i TeliaSonerakonsernet som tenker likt og som streber etter å tilby den aller beste kundeopplevelsen. 186 000 kunder Omsetning 917 MNOK i 2011 Hovedkontor i Bergen Broadband Norway i TeliaSonera Broadband Services Ca. 360 ansatte TeliaSonera. Internasjonal styrke. Lokal kunnskap. Til kundens beste.

Disclaimers Jeg er personlig ansvarlig for mine meninger og uttalelser. Har du spørsmål eller kommentarer kontakt meg, ikke min arbeidsgiver NextGenTel er ikke perfekt, men har fått til et par ting som vi og jeg er godt fornøyd med

Agenda Innledende emner Sikkerhet som tema hos ledelsen Organisering Kommunikasjon med organisasjonen Periodisk rapportering Innhold Prosess for rapportering Oppfølging Oppsummering, spørsmål og svar

Innledende emner

Sikkerhet som tema hos ledelsen I det daglige Finansielt resultat Kan sikkerheten påvirke? Etterlevelse etter lover, regler, avtaler eller krav i forhold til sertifiseringer Etter en sikringshendelse Hva skjedde? Hva skjedde/skjer med kundene våre? Hvordan kunne dette skje? eller Hvorfor hadde ingen tenkt på at dette kunne skje? Påvirkning på finansielt resultat Brøt vi noen lover, regler, avtaler eller krav?

Risiko og omdømme Hvordan er sannsynligheten for at vi blir rammet av omfattende hendelser? Har de fleste virksomheter bedt noen om å se på det? Hvem? Vår tilnærming Ved å rapportere risiko, hendelser og progresjon systematisk til ledelsen gir vi dem bedre beslutningsgrunnlag Kan solid og dokumentert sikkerhet bidra til å bedre vårt omdømme?

Utfordringer med organisering I flere virksomheter er sikkerhet er en av hattene til IT-sjef Kvalitetssjef Økonomisjef (!) det ingen som kan snakke om sikkerhet til hele virksomheten Resultatet kan være at sikkerhetskompetansen hos den ansvarlige ikke er tilstrekkelig ( sikkerhet sammenblandes med antivirus ) meldinger om at noe kan gå galt ikke blir fanget opp

Mulige løsninger Sikkerhet som en del av ledelse eller stab CSO/CISO eller rapportere til en stabsdirektør Stillinger innen sikkerhet med egne stillingsbeskrivelser Stille krav til kompetanse Etablering av et formelt sikkerhetsforum som dekker hele selskapet Eget mandat

Utfordringer med kommunikasjon Uklare ansvarsforhold rundt sikkerhet Ansvarlige plassert i linjen eller langt nede i organisasjonen Mange virksomheter drukner i epost Teknisk nivå i budskapet

Løsninger - kommunikasjon En sikkerhetsfunksjon med klart mandat plassert i stab med tilgang til interne kommunikasjonskanaler som kommuniserer forståelig og er konsekvent i bruken av begreper kan ha lettere for å komme igjennom til organisasjonen NextGenTels sikkerhetsavdeling blir oppfordret til å sende ut epost til alle (brukes med fornuft) har redaktør- eller skrivetilgang på Intranett holder innlegg på allmøter/fellesmøter

Periodisk rapportering til ledelsen

Kvartalsvis rapportering Vår innovasjon er en prosess for kvartalsvis rapportering til Ledelsen Sikkerhetsforum Konsernet Målet er å gi ledelsen et bedre og bredere beslutningsgrunnlag Vi har oppnådd at ledelsen tar beslutninger basert på rapporten sikkerhetsforum fordyper seg i rapporten

Prinsipper Rapporten skrives på ledelsesspråk Oppsummering på 1 side Rapporten presenteres, ikke bare oversendes Fokus på etterrettelighet Tar med trender og gjennomføringsevne

Rapportens inndeling og innhold Inndelingen i rapporten Hva er den overordnede tilstanden? Hva gikk galt siden sist? Hvor har vi moderat eller høy risiko? Hva er status på pågående arbeid, og hva koster det? Rapporten har flere sider Den viktigste er ledelsesoppsummeringen et slags dashbord Etterfølgende sider dreier seg om hendelser, risikoområder og status i prosjekter, og danner grunnlag for oppsummeringen

Hvor galt kan det gå? Her er det lett å få ledelsens oppmerksomhet Det er viktig å ha en omforent skala for klassifisering av hendelser Ledelsen vil ønske å fokusere på de mest omfattende hendelsene 4) Krise En hendelse som må håndteres av kriseteam eller ledergruppe 3) Alvorlig hendelse En hendelse som rammer en vesentlig del av produksjonen, og hvor deler av ledelsen er informert 2) Betydelig hendelse En hendelse som krever litt ekstra oppmerksomhet og samarbeid 1) Ubetydelig hendelse En hendelse som rutinemessig håndteres av linjeorganisasjonen

Dashbord - layout INDIKATOR PÅ TILSTAND HENDELSER RISIKOOMRÅDER AKTIVITETER OG PROSJEKTER TILTAKSDEL HVA ER VERST? HVA MÅ VI GJØRE MED DET?

Grafiske elementer Risiko er vurdert høy eller framdrift er fraværende. Ledelsen må ta grep Risiko er vurdert til høyere enn akseptabelt nivå eller framdrift er i all vesentlighet ikke i tråd med plan eller forutsetninger. Ledelsen bør ta grep Risiko er vurdert til lav eller framdrift er i tråd med planer og forutsetninger Risiko er lavere eller framdrift bedre enn ved forrige rapportering Risiko er høyere eller framdrift mindre enn ved forrige rapportering Risiko eller framdrift er i all vesentlighet uendret siden forrige rapportering

Dashbord - innhold Kort om eventuelle, vesentlige hendelser i perioden Risikoområde 1 Risikoområde 2.. osv Status i aktivitet x Status i prosjekt y Risikoområde 1 Aktivitet x Forslag til risikoreduserende tiltak Forslag til tiltak eller beslutninger

Dashbord - eksempel Ingen vesentlige hendelser i perioden GUL Ledelsen bør ta grep Sikkerhetskopiering er ustabil, utilstrekkelig og blir ikke lagret utenfor datahallen Deling av passord i salgssystemer reduserer sporbarhet Arbeid med oppgradering av basis programvare på kjerneservere har stoppet opp Ny løsning for reservestrøm er installert og fullført ihht plan Sikkerhetskopiering Oppgradering Prosjekt med leverandør må etableres Arbeidet må gis tilstrekkelig prioritet

Prosessen Innhenting av informasjon Sammenstilling, vurdering og analyse Skrive rapport Kvalitetssikre Presentere og distribuere Vi har utarbeidet en rutine for kvartalsvis rapportering Sikrer at det gjøres likt fra kvartal til kvartal Reduserer personavhengighet

Hva har skjedd siden sist? Innhenting av informasjon Sender epost til ansvarlige innen ulike områder System og teknologi Forretningsområder Ber om kort rapport innen 1 uke Stiller 3 spørsmål: 1) Hvilke alvorlige eller kritiske hendelser har vi hatt i perioden? 2) Hvilke risikovurderinger har vært utført i perioden? 3) Hva er status på sikkerhetsrelaterte aktiviteter eller prosjekter?

Sammenstilling og analyse Sammenstilling, vurdering og analyse Får vi meldinger fra alle ansvarlige som vi forventer å høre fra? Stemmer tilbakemeldinger som vi får med de inntrykk vi selv har fra perioden? Er vår klassifisering av hendelser den samme som den/de som rapporterer? Vår analyse av innmeldte forhold går blant annet på Kan det sies å være direkte sammenheng mellom hendelser og tidligere avdekket risiko? Kommer det motstridende meldinger? Er det vesentlig risiko eller oppstår hendelser innen områder med uklare ansvarsforhold? Har hendelser oppstått innen områder hvor ledelsen har tatt informerte beslutninger om å ikke utbedre/endre?

Jorden kaller Skrive rapport I den ideelle verden kunne vi på bakgrunn av tilbakemeldinger fylt ut grunnlagssidene Hendelser Risikoområder Status i prosjekter og deretter «generert» oppsummeringen Slik er dessverre ikke verden Utfordringer Hendelser klassifiseres ulikt Man gjør ikke risikovurderinger så metodisk og ofte som vi skulle ønske. Vi kan ikke derfor se bort fra risiko som åpenbart er der Alt sikkerhetsarbeid er ikke organisert som prosjekter. Kan hende er ikke alle vesentlige aktiviteter igangsatt av ledelsen eller kjent for dem

Ønske vs realitet Skrive rapport Hendelser Risiko Hendelser Prosjekter Oppsummering Oppsummering Risiko Prosjekter

Etterrettelighet Kvalitetssikre Sikkerhetsrapporten må være solid Rapporten må ikke inneholde feil Våre oppsummeringer av innrapporterte eller vurderte forhold må være diskutert med de ansvarlige Rapporterte risikoområder må ikke nødvendigvis være uttømmende Det hjelper selvsagt at den stemmer med følelsen av hvor «skoen trykker» Hvordan gjør vi dette? Intervjuer/møter Be om mer informasjon eller dokumentasjon Undersøke selv Krysse informasjon med tilsvarende fra andre kilder Spørre en gang til Teste formuleringer

Publisere Presentere og distribuere Avtale ledermøte som rapporten skal presenteres i Distribuere rapporten til andre mottakere rett etter presentasjon Kalle inn sikkerhetsforum til møte kort tid etter presentasjon

Rapportert, behandlet, besluttet og deretter utført? glemt? nedprioritert? ignorert? Utfordringer rundt videre oppfølging Mangel på skriftlige avtaler eller referater av beslutninger Ulik oppfatning av kritikalitet (viktighet)

Mulige løsninger Vise historikk i rapporten Være tydelig på å anbefale/peke på hvem som er ansvarlig Forbedre mandater og beskrivelser etter behov Tiltaksplaner Opprette samarbeidsfora

Oppsummering Stillingsinstrukser og mandater Riktig plassering i organisasjonen Nyttig og forståelig kommunikasjon Regelmessig rapportering til ledelsen God og tett oppfølging

Spørsmål / diskusjon Erlend.Dyrnes@nextgentel.com

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding