HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Transkript

1 HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING - OPSAMLING PÅ SISCON S EFTERÅRSKONFERENCE ControlManager by Siscon 1

2 DAGEN I DAG Informationssikkerhed på agendaen i bestyrelsen EU-forordningen pragmatisk vinkel til forordningen Live demo af ControlManager i den virkelige verden Forventninger til Cybercrime forsikringer med en risikobaseret tilgang Sikkerhed - et nødvendigt onde eller en forretningsenabler Eksekvering og ledelsescommitment i informationssikkerhedsarbejdet

3 HOVEDPOINTERNE TAKE AWAYS Informationssikkerhed på agendaen i bestyrelsen Peter N. Bestyrelsen skal sikre, at ledelsen håndterer sikkerhed i det daglige, bestyrelsen kan kun skubbe på platform for forretningsudvikling Pengekassen (data) med hjem Ikke bare lovligt men det skal også være OK EU-forordningen pragmatisk vinkel til forordningen Michael H. Kravene til dokumentation af efterlevelse Intern audit / Beredskab for sikkerhedsbrud PIA Forskel på offentlig / privat DPO Skal have eller måske? Live demo af ControlManager i den virkelige verden Klaus S. Struktur og Detaljeringsgrad Har vi styr på sikkerhed har vi styr på driften Revision Ved hvad vi er gode til / ikke gode til ControlManager - Klaus har ro i maven

4 HOVEDPOINTERNE TAKE AWAYS (2) Forventninger til Cybercrime forsikringer med en risikobaseret tilgang Tine O. & Jesper B.H. Risiko Udgangspunkt i egen virksomhed (forretningen) God model giver fælles forståelse i Forretning & IT God risikostyring er essentiel for korrekt forsikringsdækning Lav lige et check - der er ofte ikke sammenhæng mellem det man tror man er forsikret imod og den faktuelle forsikringsdækning Sikkerhed - et nødvendigt onde eller en forretningsenabler Torben J. Tænk på hvordan der bliver set på dig synliggør værdien af dit arbejde Spørg til hvad der ønskes rapportering - få det kommunikeret Færre KPI er mere prosa - fortæl den gode historie Eksekvering og ledelsescommitment i informationssikkerhedsarbejdet Birgitte K. O. Privacy er en svær størrelse ikke mindst på tværs af landegrænser Privacy bliver et kommercielt objekt Beskyttelsesniveau Datakallisificering - Modenhedsanalyse ControlManager by Siscon 4

5 FOKUS PÅ SIKKERHED - HVAD EFTERSPØRGES?

6 DET VI HØRER MEST Er vi klar til at håndtere hændelser? Hvad er vores risikoprofil? Er vi på mål i forhold til compliance? Hvordan kan vi rapportere?

7 RISIKOPROFILEN ControlManager by Siscon 7

8 TYPISKE SPØRGSMÅL TIL RISIKOPROFIL Hvad er vores risikoprofil? Er vores risikoniveau acceptabelt? Hvilke mitigerende handlinger har vi sat i værk? ControlManager by Siscon

9 PROCES - RISK MAP - FRA TIDLIGERE UDENFOR RISIKOAPPETIT Skal vi gøre noget ved serverrummet? X markerer aktiv højest sandsynlighed ControlManager by Siscon 9

10 MULIGHEDER FOR RISK-TREATMENT NÅR MAN VÆLGER AT REDUCERE RISIKOEN (TREAT), SÅ BØR EVENTUELLE AKTIVITETER HÆGTES OP PÅ RISICI 1. Så man ved hvorfor man har startet en aktivitet 2. Så man kan bruge aktiviteten til at følge op ControlManager by Siscon 10

11 KAN VI ILLUSTRERE SAMMENHÆNG MELLEM RISK OG AKTIVITETER? ControlManager by Siscon 11

12 COMPLIANCE - ER VI PÅ MÅL? ControlManager by Siscon 12

13 TYPISKE SPØRGSMÅL OMKRING COMPLIANCE Er vi på mål? Hvordan kan jeg sikre compliance i forhold til flere love/standarder? Hvordan understøtter vores kontrolapparat vores compliance behov? ControlManager by Siscon Hvordan måler jeg, hvor langt jeg er kommet? 13

14 Sammenhæng fra top til bund COMPLIANCE OPBYGNING Persondata forordningen Finanstilsynets vejledninger Bogføringslov ISO Cyberforsvar der virker Et samlet regelsæt Kontrol Dimension IT Drift IT Udvikling ISMS Styring Kontroller Periodisk review af brugere Kontrol af patchniveau Penetrationstest Risikovurdering ControlManager by Siscon 14

15 VURDERING AF COMPLIANCE-NIVEAU TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER ControlManager by Siscon 15

16 I PRAKSIS Hvis det ikke er dokumenteret, er det ikke gjort! ISO27001 krav Egen regel Kontrol Evidens Aktivitet ControlManager by Siscon 16

17 HVIS VI HAR MERE END ET REGELSÆT AT FORHOLDE OS TIL Samme regel som SO27001 krav Andre områder: - Regler for softwareudvikling - dataudtræk - Regler for dataindsamling, dataopbevaring, datasletning ControlManager by Siscon 17

18 STATUS OVER KONTROLLER - FAKTISKE COMPLIANCENIVEAU ControlManager by Siscon 18

19 GAP-ANALYSE HVOR LANGT ER VI NÅET PÅ REJSEN? ControlManager by Siscon 19

20 20

21 MODENHEDSANALYSER KAN HJÆLPE GIVER DIG EN GOD IDÉ OMKRING HVOR DU STÅR I forhold til en standard (F.eks. ISO 27001) I forhold til et koncern regelsæt (f.eks. Corporate rules) I forhold til dit specifikke regelsæt KAN ANVENDES: Overordnet Hvor er jeg i dag generelt set? Inden for et specifikt sikkerhedsmæssigt område: Brugeradministration, Drift, Beredskab Inden for et specifikt organisatorisk område: Afdeling, kontor, proces På et givent system (Tilstandsrapport) ControlManager by Siscon 21

22 RESULTATERNE 22

23 BEREDSKAB 23

24 TYPISKE BEREDSKABS SPØRGSMÅL Er vi klar til at håndtere hændelser? Har vi et beredskab for både IT (& forretning)? Er det dokumenteret og testet? ControlManager by Siscon

25 DE FORSKELLIGE PLANER Overordnet beredskabsplan ControlManager by Siscon 25

26 HVAD FÅR MAN UD AF TESTE? FÅ BESVARET SPØRGSMÅLET VIRKER DET?! MAN FÅ FJERNET EVENTUELLE FEJL OG MANGLER FØR KRISEN RAMMER MAN FÅR VALIDERET, AT ALLE KAN SVARE PÅ: Hvad er min rolle? Hvad er mit ansvar? Hvilke processer er jeg en del af? Hvilke processer er jeg ikke en del af? BEREDSKABSDELTAGERE SOM IKKE NORMALT ER EN DEL AF DET OPERATIONELLE NIVEAU, FÅR BANKET RUSTEN AF, DET GÆLDER F.EKS.: Ledelsen Kommunikationsafdelingen Facility Management ALLE BLIVER BEDRE TIL AT TAGE (DET RIGTIGE) ANSVAR ControlManager by Siscon 26

27 RAPPORTERING 27

28 IT-sikkerhedschef RAPPORTERINGSNIVEAUER Teamleder Chef Topledelse/direktion Teamleder Chef Teamleder Overordnet status på sikkerheden Væsentlige observationer (PROSA) Overordnede trends (sidste år -> i år) Benchmarking/ Compliance Overordnet Hvor bidrager status IT-sikkerhed på sikkerheden med værdi for Væsentlige forretningen? observationer Overordnede trends (i løbet af året) Benchmarking/Compliance Hvor bidrager IT-sikkerhed med værdi for Hvordan håndterer mine teams forretningen? sikkerhedsopgaverne? Trends Status / deadlines Sikkerhedsniveau i detalje Detaljeret status på sikkerheden inden for eget team Opgaver Opfølgninger ControlManager by Siscon 28

29 STATUSOVERSIGT OG RAPPORTERING ControlManager by Siscon 29

30 SPØRGSMÅL? 30