VELKOMMEN TIL SISCON KONFERENCE 2014

Transkript

1 VELKOMMEN TIL SISCON KONFERENCE 2014

2 DAGENS AGENDA 09:00-09:15: Velkommen (Endelig), Camilla Bruun 09:15-09:45: Fra 0 til 100 på under 1 år Case: UCC, Elisabeth R. Lous & Jacob Sager 09:45-10:15: ISO27001 Implementering og/eller Certificering, Ninja Vikar, Niels Peter Knudsen 10:15-10:40: Pause og Netværk 10:40-11:30: ControlManager virker i virkeligheden + et twist, Lars Bærentzen 11:30-12:00: Ledelse, forankring og udfordring Case: Thisted Kommune, Arne Mikkelsen 12:00-13:00: Frokost og netværk 13:00-14:00: Min smarte telefon Søren Hebsgaard 14:00-14:40: Ledelse - Sikkerhed skal omdannes til forretning, KMD, Rasmus Theede 14:40-15:00: Pause og Netværk 15:00-16:30: Enneagram, Awareness & kommunikation Michael Grooser (Har du fundet din Enneagram-type? 16:30-16:45: Afrunding & spørgsmål 16:45-???: Nyder vi en vidensfyldt dag, med et glas rød eller hvidvin i Bella sky bar

3 DER VAR EN, DER VAR TO, DER VAR Manden med ideen Lars Bærentzen Direktør & Ekspert 10 år i Siscon Tidligere: Ezenta / VM data Dagens Toastmaster Camilla Bruun Kunde & Marketingansvarlig 3 ½ år i Siscon Tidligere: PwC & Star Tour Lasse Hjørnet Salgskonsulent Elvis Beck Younan Salgskonsulent Finn Trebbien Implementeringskonsulent Jesper Weber Konsulent

4 ET STÆRKT UDVIKLINGSTEAM Maksym Hetsko Udvikler Valeriy Gorkovoy Udvikler Anastasiya Hetsko Kvalitetssikring

5 HVORFOR ER VI HER? NOGLE GANGE

6 KVALITETSSIKRING Hvor mange var med sidste år? Fik i noget med jer? Hvor mange har sagt aii ham den blå mand Vi har også lært noget siden sidste år.. - Awareness, Awareness, Awareness - Tilvalg at holde efterårskonferencen på Bella Sky - Mere tid til netværk på konferencen

7 GENSYN MED ELEFANTEN Igen i år er vores må at dele elefanten op i små bidder I ved hvad jeres virksomhed bør gøre Vi vil derimod fortælle jer, HVORDAN i kan gøre PRAKTIK, PRAKTIK, PRAKTIK I må gerne holde os og talerne op på det Brug hinanden - del erfaringer (positive/negative) Vi lytter og vil gerne have dialog Hvis i vil have en præsentation med demo af ControlManager, finder vi et tidspunkt

8 PRAKTISK INFORMATION Tv hold fra Kasper Tveden & Peter Kristensen

9 I KAN MØDE NOGLE AF DEM I DAG Siscon

10 CONTROLMANAGER DET VIRKER I VIRKELIGHEDEN VED LARS BÆRENTZEN

11

12 DET HER ER EN KLASSIKER! Informationssikkerhed FORRETNING SIGER JEG KAN IKKE BIDRAGE MED NOGET, JEG KENDER IKKE TIL IT HVORFOR SKAL JEG BRUGE TID PÅ DET HER, IT SKAL JO BARE FUNGERE VI KAN SLET IKKE TÅLE 5 MIN. IT-NEDBRUD IT-SIKKERHED DET ER IT-AFDELINGEN, DET MÅ VÆRE IT- CHEFENS ANSVAR IT-AFDELINGEN SIGER VI KAN JO IKKE TALE SAMMEN, DE FORSTÅR JO IKKE HVAD VI SIGER VI VED JO GODT HVORDAN IT SKAL DRIVES DET ER SPILD AF TID, JEG VED GODT HVAD DER ER VIGTIGST DE GIDER JO IKKE BRUGE TID PÅ OS, DE SYNES VI ER UFLEKSIBLE OG IKKE SÆRLIG SERVICEMINDEDE

13 PROFESSIONEL & STRUKTURERET Ét fokusområde Kvalitet og sikkerhed, som understøtter organisationens forretningsprocesser Bruge mindre ressource på samme kvalitet Overblik og struktur og bedre rapportering Risikovurdering forankret i forretning Efterlevelse / Compliance ISO27001 eller andre Samling af dokumenter og bedre beredskab Automatisering kontroller og opfølgning til intern og ekstern revision

14 GLEM WORD & EXCEL Organisering Aktiver Processer Risikovurdering Prioritering af ressourcer Beslutningsgrundlag & Ledelsesforankring Forventningsafstemning Krav (ex. ISO27001) Politik Regler & Tiltag Kontroller Procedure Logbog Publicering & Awareness Beredskab med nødplaner og reetableringsplaner Hændelser & Læring

15 GOVERNANCE ISO38500 / ISO27001 Udfordring Standarden beskriver ISO Strategi - Ansvar - Overtagelse/erhvervelse - Ydelse - Efterlevelse - Menneskelig adfærd Ledelsen der skal lave vurdering Ledelsen skal sikre iværksættelse af tiltag Ledelsen skal lave den løbende opfølgning ISO Plan - Do - Check - Act.eller tilsvarende kvalitetsledelse Ledelsesforankring prioriteres i indledningen og starten af ISO27001 Pludselig havner ansvaret nede i organisationen - når tiltag skal implementeres og der skal laves opfølgning.

16 GOVERNANCE I CONTROLMANAGER Udfordring Ledelsesvurdering Analyser for efterlevelse af sikkerhedsniveau i forhold til vedtagne tiltag. Awareness i organisationen Ledelsen opnår vished og tryghed for at sikkerheden i virksomheden er som forventet = giver mulighed for at udvikle virksomheden på et stabilt grundlag. Iværksættelse af tiltag fra ledelsen Målrettet Awareness mod medarbejderne = sikrer viden hvilke spilleregler der er gældende. Ledelsen kan på en enkel måde informere interessenter om hvilke tiltag der er implementeret ex. for standarder = medarbejder med viden giver en højere sikkerhed og kvalitet - HumanOS Løbene opfølgning med ledelsen Kontinuerlige kontroller med notifikationer af personer. Ledelsen får viden om, et kontinuerligt og ensartet sikkerhedsniveau, samt viden om, at der fortages opfølgning på afvigelser.

17 GOVERNANCE I CONTROLMANAGER

18 GOVERNANCE I CONTROLMANAGER

19 GOVERNANCE I CONTROLMANAGER

20 GOVERNANCE I CONTROLMANAGER

21 RISK MED ISO27005 / 1 Udfordring Awareness i organisationen Ledelsens ansvar Risikostyring baseret på virksomhedens værdier/forretningsprocessor Ledelsen laver en vurdering med konsekvenser for virksomheden - med udgangspunkt i de væsentligste forretningsprocesser = der kan tales et sprog der forstås i top ledelsen Forventningsafstemning mellem forretning og IT Ledelsen vurderer KUN konsekvenser for organisationen i tråd med den overordnede strategi Ledelsen giver klare informationer og forventninger til hvilken kvalitet der forventes input til BCP og DRP Dokumenteret beslutningsgrundlag til prioritering af ressourcer via dashboard = besparelser. Udpegning Svageste led i ITunderstøttelsen Dokumentation af implementerede sikringstiltag Systemejere giver information om sikkerhedsniveauet via sårbarhedsanalyse (Fokus på IT)

22 KONSEKVENS MED CONTROLMANAGER

23 SÅRBARHED MED CONTROLMANAGER

24 RISK I CONTROLMANAGER

25 RISK I CONTROLMANAGER

26 COMPLIANCE I CONTROLMANAGER Udfordring Værdi for organisationen Mulighed for certificering = konkurrencefordel Forskellige compliance-dokumenter / SoA op imod det samme sæt af politikker og regler = tidsbesparende Udarbejdelse af Statement og Applicability SoA dokument (ISO2700x, PCI DSS, Cobit, IKT, Persondatalov eller lignende) Strukturering af dokumenter i forbindelse med revision = lavere revisionsregning Dokumentation til revision og øvrige interessenter Behandling af anbefalinger og påbud fra revisionen Højere kvalitet i revisionen Medarbejdernes kompetence og viden giver større kvalitet og færre fejl = besparelse i forbindelse med support. Certificering og uddannelse af medarbejderne

27 AWARENESSKAMPAGNER

28 AWARENESSKAMPAGNER

29 Strukturert metodikk Organisasjonens modenhetsnivå Gjennomfører første strukturerte prosjekt med 7-stegs metodikk for risikovurdering Innfører strukturert metodikk for konsekvensvurdering for å finne kritiske systemer i forbindelse med et backup-prosjekt Vurderte bare konsekvenser for manglende tilgjengelighet og bare med fokus på systemer Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

30 IT-kontinuitetsplan Organisasjonens modenhetsnivå Alternativt driftssted for kritiske systemer IT-Kontinuitetsplaner Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

31 Nettverksrevisjon Organisasjonens modenhetsnivå Valg av metode for sikkerhetsrevisjoner: ISO som rammeverk Avgrenset til å gjelde virksomheten rundt nettverksdrift Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

32 Forretningsprosesser Organisasjonens modenhetsnivå Sterkere involvering av forretningssiden i forbindelse med konsekvensvurderinger. Kriseberedskapsplan (KBP) Bevissthet om hvilke forretningsprosesser virksomheten faktisk består av Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

33 Mål for ISMS oppnådd Organisasjonens modenhetsnivå ISMS Anskaffelse av ControlManager, skreddersydd for å møte spesifikasjonene til et ISMS i ISO Innstramming av strukturen i sikkerhetshåndboken Kriseberedskapsplan settes i system Organisasjonens modenhetsnivå tilsier nå at ISMS er etablert Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

34 ControlManager Organisasjonens modenhetsnivå Er broen inn til ledelsens engasjement Har riktig struktur ISMS God presentasjon av eksisterende sikkerhetsmateriale Understøtter fokuset på forretningsprosessene Dokumenterer godt hvilke tiltak som er på plass Synliggjør hva som mangler Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

35 Involvering Organisasjonens modenhetsnivå ISMS Stadig mer involvering i sikkerhetsarbeidet initiert fra andre deler av virksomheten Organisasjonen aksepterte at sikkerhet skulle få en egen «plass» Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

36 Forbedring Organisasjonens modenhetsnivå ISMS Bevisstgjøring - brukerinvolvering Signering for å kjenne sikkerhetspolicy Signering av brukererklæring Målrettede kampanjer for opplæring Quiz Lettere å drive oppfølgingsarbeid når strukturen i sikkerhetsarbeidet er på plass og fungerer Vedlikehold av dokumentasjon Risikovurderinger Revisjon av aktiva Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

37 Suksessfaktorer Forankring hos ledelsen Avgrensninger av hvilke utfordringer som skal løses med et ISMS Avstemme forventningsnivå mot virksomhetens mål Riktig balanse i fokuset mellom verktøyet og arbeidsinnsatsen Oppnåelige ambisjoner For å unngå «utmattelse» på andres og egne vegne Tilstrekkelig tidshorisont Realistisk forventningsnivå i forhold til resten av organisasjonen Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap

38 Takk for meg! Morten Halvorsen Norsk Rikstoto Risikostyring Prosesser Systemer Infrastruktur Rutiner Bemanning Kriseberedskap