Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen

Størrelse: px

Starte visningen fra side:

Download "Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen"

Johan Schmidt
8 år siden
Visninger:

1 Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen

2 JN DATA

3 JN DATA Sikrer den finansielle sektor med sikker, stabil og effektiv it-drift og infrastruktur.

4 Marked Compliant IT drift og infrastruktur samt innovative og omkostningseffektive services leveres dagligt til 50 % af det danske realkreditmarked 35 % af det danske bankmarked Over 200 pengeinstitutter kører på JN Datas infrastruktur Over ansatte i finanssektoren anvender systemer, som JN Data drifter

realkreditmarked 35 % af det danske bankmarked Over 200 pengeinstitutter

5 To topmoderne driftscentre MIPS Servere Terabytes Driftsstabilitet og sikkerhed i højsædet m2 fordelt på to separate lokationer Fiberforbindelse Fuld spejling af alle uerstattelige/kritiske data

400 Terabytes Driftsstabilitet og sikkerhed i højsædet

6 Organisation 540 Medarbejdere Vores ansatte hører til branchens bedste. De er dybt dedikerede til at levere sikker, stabil og effektiv it-drift 24/7 året rundt. To primære lokationer JN Datas hovedkontor ligger i Silkeborg, og vi har et kompetencecenter i Roskilde.

7 Executive Management Chief Executive Officer Erling Jensen CEO i JN Data siden 2005 Deputy Chief Executive Officer Claus Toxværd Østergaard Deputy CEO i JN Data siden 2015

8 Hvordan gør vi it-sikkerhed nemmere

9 Nye og flere trusler, øget lovgivningen, mangel på it-sikkerhedsfolk

10 Hvad er vi oppe i mod? Script kiddies" - teenagere, der hacker og tumler rundt overalt på nettet, bare fordi de kan. De professionelle hackere - ofte betalte grupper af "leje-soldater" med base i Rusland eller Kina for skade offeret eller berige offerets konkurrent Politisk engagerede "hacktivister Statsfinansierede Hackere Se og hør Utilsigtede fejl First line Second line Third line JN Data IT-operations 540 medarbejdere JN Data Security and Compliance 7 medarbejder JN Data Internal Audit 7 medarbejder D E F E N C E

offerets konkurrent Politisk engagerede "hacktivister Statsfinansierede Hackere Se og hør Utilsigtede fejl First line Second line

11 Fundamentet skal være på plads! Kend dine trusler, gode regler og effektive kontroller Overordnet risikovurdering Gode sikkerhedsregler Effektive interne kontroller Kend dit sikkerhedsniveau, udarbejd roadmaps og rapporter Halvårlige gap analyser Roadmaps for sikkerhedsar bejdet Ærlig ledelsesrapportering Dygtige medarbejdere gør det muligt Involver medarbejderne (3 lines of defence) Engagerede og certificerede itmedarbejdere Proaktiv ledelsesopbakning!

interne kontroller Kend dit sikkerhedsniveau, udarbejd roadmaps og rapporter Halvårlige gap analyser Roadmaps for

12 Overordnet risikovurdering Sikkerhedsstandarder Sektorlovgivning Krav fra kunder Trusselsbillede fra sikkerhedskilder ISO 2700x NIST ISA/IEC Lov om finansielvirk. Outsourcings bekendtgørelsen Persondataloven Os selv Kunde1 Kunde2 Kunde3 DK cert CSIS Symantec NSA.. Overordnet risikovurdering Beslutning om det ønskede sikkerhedsniveau Beskrevet i sikkerhedspolitik og regler Nu kommer det nemme nu skal det bare implementeres og vedligeholdes

Outsourcings bekendtgørelsen Persondataloven Os selv Kunde1 Kunde2 Kunde3 DK cert CSIS Symantec NSA.

13 Regler skal imødegå trusler! Reglerne skal være målrettet i mod truslen! Regler skal være til at forstå og være operationelle Regler skal være understøttet med processer Medarbejderne skal kende og forstå reglerne Det er medarbejderne, der skal udleve god itsikkerhed så hjælp dem.

14 Etabler et effektivt internt kontrolmiljø! Kontrollerne skal være dækkende Kontrollerne skal være effektive Kontrollerne skal udføres til tiden Effektive interne kontroller er med til at holde antallet af revisionsanbefalinger nede og itsikkerheden i top

effektive Kontrollerne skal udføres til tiden Effektive interne

15 Gap analyser (Kend dit sikkerhedsniveau) Baseret på 249 trusler og deres sikringsmiljø, kontroller, kunders input, eksterne vurderinger samt revisionens anbefalinger Verificer resultatet med forretningen og intern revision Identificer mangler og udarbejd indsatser få ledelsens opbakning! Præsenter det for ledelsen/bestyrelsen med løsningsforslag Husk at fremhæve der hvor det går godt! Find områder der skal forbedres og prioriter! (First Things First)

revision Identificer mangler og udarbejd indsatser få ledelsens opbakning!

16 It-sikkerheds roadmap (Læg en plan og involver sikkerhedsmedarbejderne) Eksekver, husk at fejre succeserne og tag fat i de næste opgaver

17 Ledelsesrapportering Er præsenteret for: Bestyrelsen den 12 december. For ledelsen i Q3, Q og i Q Præsenteret for SIKSAM den 10. december 2014 og 5. maj Krav fra finanstilsynet giver ledelsen indblik og mulighed for at træffe de beslutninger der er med til at sikre et godt sikkerheds niveau Giver overblik, handlemulighed og en bevidsthed om, hvor vi står it-sikkerhedsmæssigt.

18 Involver medarbejderne! (three line of defence) JN Data Medarbejdere Sikkerhed Revisionen Følger sikkerhedsreglerne Udfører kontroller Udarbejder sikre løsninger Udarbejder risikovurderingen Udbedrer revisionsanbefalinger Udarbejder politikker og regler Risikovurderinger Sikkerhedsgodkendelser Rådgiver og vejleder Udarbejder ledelsesinformation Følger op på kontroller Foretager uafhængig revision Rapporterer til direktion og bestyrelsen It-sikkerhed skal løftes i flok og alle skal kende deres rolle.

sikre løsninger Udarbejder risikovurderingen Udbedrer revisionsanbefalinger Udarbejder politikker og regler Risikovurderinger

19 Dygtige engagerede medarbejder gør forskellen Certificerede, engagerede og kvalitetsbevidste medarbejdere er nøglen til succes!! I talesæt sikkerhed så alle ved det er vigtigt sæt det på dagsordenen!! Sikkerhedsmedarbejderne skal ud og fortælle forretningen, hvordan itsikkerhed skal implementeres Medarbejdere, der tænker it-sikkerhed ind i det daglige arbejde er ambassadører spot dem/brug dem!! Sæt et godt hold og sørg for de er veltrænede, itsikkerhed er et komplekst område

! Sikkerhedsmedarbejderne skal ud og fortælle forretningen, hvordan itsikkerhed skal implementeres Medarbejdere, der

20 Ledelsesopbakning It-sikkerhedschefen en del af ledergruppen Har direkte reference til den administrerende direktør Rapporterer direkte til direktørgruppen og chefgruppen Rapporterer til bestyrelsen It-sikkerhed er vigtig license to operate

direktør Rapporterer direkte til direktørgruppen og

21 Revisor som sparringspartner Brug revisors specialistviden - en stor hjælp i det daglige arbejde Hjælp revisor med at udføre sit arbejde giver ikke op alligevel Output af revisors arbejde giver værdifuldt input til organisationen Gå i ærlig dialog om de bagved liggende årsager til gentagne revisionsanbefalinger revisor plejer at kender dem It-revisionen er en vigtig spiller når det gælder god it-sikkerhed

22 Opsamling sikkerhed gjort nemmere En god struktur på it-sikkerhedsarbejdet gør det nemmere - brug anerkendte standarder Det er billigere at være i kontrol contra brandslukning, kend dine sikkerhedsudfordringer og gør noget ved dem! Troværdig ledelsesrapportering er vigtig så ved vi, hvor vi står før andre kommer og fortæller os det! Brug revisionen som sparringspartner vi har et fælles mål God it-sikkerhed er licens to operate i den finansielle sektor

23 Fortsat god konference

Relaterede dokumenter

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN: