Informationssikkerhed på ledelsens agenda

Transkript

1 Informationssikkerhed på ledelsens agenda - Ledelsesengagement omkring informationssikkerhed Allan Fabricius, It-sikkerhedschef, Dansk Supermarked A/S 1

2 Hvordan sælger man it-sikkerhed til ledelsen? Som at sælge sand i Sahara? 2

3 Dansk Supermarked Nøgletal Omsætning mia kr Resultat 2,4 mia kr Markedsandel Danmark 34% Antal medarbejdere: Danmark: Udland: (Sverige, Tyskland, Polen, England)

4 Kæder, stormagasiner og storcentre ITS It-sikkerhed 88 føtex varehuse, heraf 7 føtex Food 18 Bilka varehuse 1170 Netto butikker Danmark: 438 Tyskland: 340 Polen: 246 Sverige 146 England (under opstart) 2 Salling stormagasiner 1 A-Z varehus 2 Storcentre Storcenter Nord Næstved Storcenter 4

5 Informationssikkerhed på ledelsens agenda Ledelsesengagement omkring informationssikkerhed

6 Det handler om forretningsrisici, omdømme, regulativer og indtjening Topledelsen forstår lidt om, og er ikke interesseret i it-risici. Topledelsen forstår forretningsrisici og vil hellere tale om bundlinje end om sikring af en webserver mod SQL injection. Har du brug for en Web Application Firewall skal du ikke bruge tid på at fortælle om dens mange finesser, men informer ledelsen om, hvad et nedbrud på jeres web-site koster, og at investeringen kan mindske denne forretningsrisiko betragteligt. Find de kritiske/sårbare forretningsprocesser og hvilke it-risici der truer dem. Map disse risici op mod forretningsrisici og orienter ledelsen herom på forretningssprog. Når ledelsen forstår at manglende itsikkerhed kan ramme både forretning og ledelsen personligt, så lytter man til dig.

7 Hvordan ser topledelsen på it-sikkerhed? Antal af åbne revisionsfindings? Styr på antivirus og patch management (ingen malware = ingen risici) Styr på hvem der har adgang til systemer og data? Styr på beredskabsplanlægning og Business Continuity management? Intet nyt er godt nyt IT-sikkerhed opfattes som et it-anliggende og ikke et forretningsanliggende Hvad motiverer ledelsen? Afhænger i høj grad af situation/branche Lovmæssige krav Mediefokus på specifikke sårbarheder (f.eks. Ddos, Java) Virksomheden/naboen rammes af en sårbarhed (hacking) Gennem dialog med ligesindede eller gennem netværk Hotte emner (Nets/Se&Hør, kreditkortsvindel) Meget gode argumenter fra sikkerhedsafdelingen

8 Vi har forskellige syn på it-sikkerhed - Lignelsen om de blinde mænd CISO Hver person beskriver en sandhed, og fordi deres sandhed kom af personlig erfaring, holdt de hver især på, hvad de vidste. Utopi at tro, at CEO, CFO, CIO og CISO deler samme opfattelse af it-sikkerhed, men de kan alle have ret. Det afhænger af brillerne der ser.

9 Hvordan ser topledelsen på it-sikkerhed? Udfordringen Topledelsen forstår ikke it den ved bare at it skal virke Svært at få foretræde for topledelsen Svært at få midler til forebyggende it-sikkerhed for at forhindre noget som ikke er sket endnu Svært at måle effekten af forebyggende tiltag Svært at forklare komplekse problemstillinger til topledelsen Svært at kommunikere i tekniske termer til topledelsen It (og dermed it-sikkerhed) opfattes ofte som et cost center, og ledelsen har megen fokus på at minimere omkostninger It-sikkerhed opfattes som et nødvendigt onde (paranoide) og ikke som en business enabler Handler det mere om overtalelse og være i stand til at navigere i et politisk minefelt, end om at bekæmpe skurke?

10 Udfordringer ved forskellige organisatoriske placeringer af it-sikkerhedsfunktionen Board Board CEO CEO Information Security CIO CFO CIO Driftschef Department manager Teamlead Dig

11 Udfordringer ved forskellige organisatoriske placeringer af it-sikkerhedsfunktionen Information Security CFO CEO CEO CIO CIO Information Security CEO CEO CFO CFO Information Security CEO CIO Høj Prioritet lav Commitment (top down) No commitment (buttom up) CFO CIO CFO CIO It-driftschef Itdriftschef Information Security Security

12 Hvordan får man kontakt til ledelsen? Ledelse CIO CISO It-sikkerhedsudvalg CEO CIO CFO It-drift HR CISO

13 Forskellige interessenter har forskellige interesseområder og taler forskellige sprog Board Vækststrategi Konkurrenter Bundlinje Markeder /markedsandele Nøgletal (EBIT/ROIC) Forrentning af egenkapital Pengestrøm O.m.a. Kommunikation kan være en svær størrelse. Hensynet til modtageren er afgørende i al formidling Security ISO 27001, ISO DRM, BCM Disaster recovery x Firewalls, IPS, IDS, WAF DDos, OWASP AD, SSO IPV6 PCI DSS compliance Segregation of duties O.m.a.

14 Gode historier i medierne hjælper

15 Gode historier kunne være din virksomhed! Falsk positiv

16 Forstår ledelsen og du hinanden? - Der skal mindst 2 til en misforståelse og den går begge veje Dig: Topledelsen forstår ikke, hvilke it-risici den står over for Topledelse: It-sikkerhed forstår ikke, hvad der er væsentligt for forretningen It-risici skal mappes til forretningsrisici!

17 Forstår ledelsen og du hinanden? Hvordan øges chancerne for at få en investering igennem, og hvad har ledelsens fokus? - det hjælper med en god business case (cost/benefit) Ledelse Ledelse Ledelse Ledelse Ledelse Er investeringen nødvendig? Hvilke fordele giver det os? Compliance krav Forretningsmæssige fordele Lavere omkostninger ved færre incidents Optimering af forretningsgange (klare ansvar og roller) Passer investeringen ind i virksomhedens strategi? Hvordan kan løsningen understøtte virksomhedens strategi Hvordan nedbringer investeringen omkostningerne? Incidents forekommer ofte pga. menneskelige fejl, ikke tekniske, og investering kan muligvis klares med nye procedurer, awareness o.l. Kræver løsningen tekniske investeringer, laves evt. en ROSI Hvordan kan vi være sikre på, at målet nås? Sæt klare mål for, hvad der skal nås, evt. gennem KPI er Hvilke risici er forbundet med løsningen? Mulige risici og dermed manglende målopfyldelse. Problemet er ikke, at ledelsen ikke ønsker at investere i it-sikkerhed, men at den enten ikke er informeret om risici, eller at du ikke kan tale samme sprog som ledelsen.

18 Informationssikkerhed er ledelsens ansvar! It-anvendelsen er blevet en strategisk enabler, og dermed også en forudsætning for at nå forretningsmæssige og organisatoriske mål. Dertil kommer udfordringer med øgede regulatoriske og juridiske krav, behov for at sikre integritet og kontinuitet af forretningsprocesser. CIA er stadig fundamentet for it-sikkerhed (Confidentiality, Integrity, Availiblity), men boardet skal forstå, at informationssikkerhed er kritisk for virksomheden og stille krav om løbende opdateringer om status på itsikkerheden. It-anvendelsen er blevet kritisk, og der står mere på spil end CIA, med friske eksempler fra eksempelvis Se&Hør og den amerikanske detailkæde Target, hvor kortdata og personlige data på over 100 mio. kunder blev lækket, og både CEO og CIO afskediget. En vellykket implementering og håndtering af informationssikkerhed kræver, at ledelsen forstår, og erkender ansvaret for it-sikkerhed at en stabil og sikker drift er en forudsætning for at drive forretning at der er risici forbundet med at drive it (kend din risikoappetit) at manglende sikkerhed kan ramme forretningen at manglende sikkerhed kan ramme personligt. 18

19 Informationssikkerhed er ledelsens ansvar! Ledelsen bestemmer sikkerhedsniveauet og risikovillighed Ledelsen skal sikre, at der er udarbejdet retningslinjer til sikring af, at virksomhedens informationsaktiver er tilstrækkeligt beskyttede Kun ledelsen kan prioritere og udstikke retningslinjer for investeringer til informationssikkerhed Informationssikkerhed omfatter hele organisationen, men ledelsen skal sikre, at der er etableret et kontrolapparat der integrerer teknologi, procedurer og menneskelig adfærd på en måde som sikrer, at målene nås Hele organisationen står over for en risiko i tilfælde af et sikkerhedsbrud. Ledelsen er ansvarlig i forhold til omdømme, indtjening og overlevelse og skal derfor sikre, at virksomheden kender og håndterer informationsrisici Ledelsen bærer ansvaret for, at virksomheden lever op til lov- og kontraktlige krav, eksempelvis Persondataloven PCI SOX EU data Privacy Regulation (på vej) Pligt til offentliggørelse af brud på it-sikkerhed Krav om Data Protection Officer Store bøder Hæfte Outsourcingbekendtgørelsen (i.f.m. Cloud computing) Lov om finansielle virksomheder

20 Ledelsen bestemmer sikkerhedsniveauet Revision compliance Security Ledelse Medarbejdere Business value Ledelsen bestemmer hvor blødt man vil lande (risikoappetit)

21 Informationssikkerhed er ledelsens ansvar! CEO Med det nye EU direktiv på vej, kan datasjusk give kæmpebøder og måske sende ledelsen i fængsel? (EU Data Privacy Regulation) Dårlig styring af it-sikkerhed kan give dig problemer 21

22 Informationssikkerhed er ledelsens ansvar! Aktionærerne vil ikke holde en databaseadministrator ansvarlig for et sikkerhedsbrud, men vil altid holde ledelsen ansvarlig. Det gælder også for lovovertrædelser. Vil pressen gerne have en udtalelse fra ledelsen Bliver virksomheden kompromitteret 22

23 Senior management er ikke it-sikkerhedsfolk Øh? Ledelsen føler sig måske ofte lidt ukomfortable ved os sikkerhedsfolk, og taler vi til dem i tekniske termer, forstår de os måske ikke. 7% 38% 55% Anvend ikke Ja/Nej spørgsmål. Er I interesseret i mit forslag om en IDS løsning? Hvilke fordele ville vi kunne opnå hvis vi kunne stoppe hackere, før de kom ind i vores netværk? Når du stiller et spørgsmål, så ti stille og vent på et svar. Undgå retoriske spørgsmål. Vil vore aktionærer ikke ønske at vi var beskyttet mod hackere? Brug øjne og ører for at få styr på, hvor du har dine tilhørere, og husk på, at kun 7% af meddelelser er relateret til selve meddelelsen. 38% vedfører dit tonefald, og 55% vedrører dit kropssprog. 23

24 Få ledelsen i tale Hvad får ledelsen til at kunne lide dig? Ingen Tech-Talk, ingen buzz-words (imponerer ikke ledelsen, men irriterer i stedet) Mød dem i deres uniform Hav fokus på forretningsmæssige aspekter ikke tekniske Formuler dig kort og præcist og hold dig til faktuelle/reelle emner Vær naturlig og afslappet. Det er mennesker ligesom dig. Fat dig i korthed ledelsen har travlt med vigtigere ting på dagsordenen 24

25 Topledelsen har fokus på forretning Topledelsen er interesseret i forretningen, ikke i informationssikkerhed. Det er ikke sikkert at du hver gang får en investering igennem, men ledelsen er nødt til at vide, hvilken risiko den løber ved ikke at investere i et givet projekt. Hvor stor ledelsens risikoappetit er afhænger bl.a. af, hvad ledelsen vil acceptere for at nå de strategiske mål. Fortæl om benefits ikke om features. En benefit er værdien af en feature, en feature er en egenskab ved et produkt/service. Folk køber benefits, ikke features. Det sælger bedre at fortælle, at bilen kan accelerere hurtigere end de fleste biler, end at den har 200 HK. Få indsigt i, hvordan ledelsen er sammensat: Beslutningsprocedurer Hvem bestemmer Centraliserede beslutninger (formanden bestemmer) Gruppebeslutninger Lær ledelsen at kende og find dine sympatisører 25

26 Boardet har et governance ansvar i relation til it-sikkerhed. Ledelsen er ligeglad med, hvor mange patches der er implementeret eller at man fanger 99,999% af virus Ledelsen ønsker at få forretningsrelateret information Fortæl ledelsen om nedetid på grund af sikkerhedsproblemer Fortæl ledelsen hvad der blev gjort i.f.m. det sidste nedbrud Fortæl ledelsen hvordan it-miljøet overvåges for at reagere hurtigere på nye trusler Fortæl ikke ledelsen om tekniske udfordringer som de ikke har nogen interesse i. Hvis ledelsen er fraværende eller sidder og SMS er, eller er nogle faldet i søvn, er din præsentation nok ikke god nok. Er ledelsen stadig ikke overbevist? 27

27 EU regler om databeskyttelse på vej Dubex Manglende overholdelse af regler bøder op til 5% af omsætning I tilfælde af datalækage er organisationen forpligtet til at rapportere relevante myndigheder om sikkerhedsbrud Nødvendige tiltag for at implementere compliance-procedurer og politikker, som skal evalueres hvert andet år En grundig gennemgang af eksisterende sikkerhed og databeskyttelse, politikker og procedurer inklusiv træning af medarbejdere Bestyrelsens ansvarsområde, der omfatter stillingtagen til strategiske og forretningsmæssige risici samt virksomhedens risikostyring. Direktionens ansvarsområde, der omfatter identifikation og vurdering af væsentlige risici samt at følge udviklingen inden for væsentlige risikoområder. Direktionen skal kommunikere til bestyrelsen, herunder om tiltag og handlingsplaner. Krav om Data Protection Officer, som rapporterer og refererer direkte til ledelsen uden om den øvrige organisation (afhængig af virksomhedens størrelse) 28

28 Det handler om compliance og om at skabe værdi for forretningen Sig ikke nej blot fordi regelsættet siger det. Forretningen flytter sig hele tiden, og det kræver løbende tilpasning/justering af retningslinjerne Find ud af, hvordan forretningen fungerer og hvor it-afhængigheden er stor og skab et overblik over risikobilledet Få ledelsen til at forstå, at risici (og dermed forretningsrisici) øges i takt med ibrugtagen af ny teknologi, men skræm den ikke Vær synlig og tilstedeværende Hav mod til at sige din mening, selvom du måske bliver upopulær hos nogle Find dine sympatisører Find en måde til at holde ledelsen orienteret om det aktuelle risikobillede, og giv den mulighed for at træffe beslutninger ud fra den information du giver Informer kun ledelsen om relevante ting Forretningen kigger konstant efter nye løsninger og muligheder. Vær business enabler og medvirk proaktivt til at sikre, at disse muligheder implementeres forsvarligt Mobile enheder, big data og cloud er kommet for at blive det er du muligvis ikke, hvis forretningen opfatter dig som business disabler (omkostning), og ikke business enabler 29

29 30