Hvordan gør man it-sikkerhed nemt V/Martin Lenschau Hansen
JN DATA
JN DATA Sikrer den finansielle sektor med sikker, stabil og effektiv it-drift og infrastruktur.
Marked Compliant IT drift og infrastruktur samt innovative og omkostningseffektive services leveres dagligt til 50 % af det danske realkreditmarked 35 % af det danske bankmarked Over 200 pengeinstitutter kører på JN Datas infrastruktur Over 40.000 ansatte i finanssektoren anvender systemer, som JN Data drifter
To topmoderne driftscentre 43.600 MIPS 11.800 Servere 13.400 Terabytes Driftsstabilitet og sikkerhed i højsædet 2.400 m2 fordelt på to separate lokationer Fiberforbindelse Fuld spejling af alle uerstattelige/kritiske data
Organisation 540 Medarbejdere Vores ansatte hører til branchens bedste. De er dybt dedikerede til at levere sikker, stabil og effektiv it-drift 24/7 året rundt. To primære lokationer JN Datas hovedkontor ligger i Silkeborg, og vi har et kompetencecenter i Roskilde.
Executive Management Chief Executive Officer Erling Jensen CEO i JN Data siden 2005 Deputy Chief Executive Officer Claus Toxværd Østergaard Deputy CEO i JN Data siden 2015
Hvordan gør vi it-sikkerhed nemmere
Nye og flere trusler, øget lovgivningen, mangel på it-sikkerhedsfolk
Hvad er vi oppe i mod? Script kiddies" - teenagere, der hacker og tumler rundt overalt på nettet, bare fordi de kan. De professionelle hackere - ofte betalte grupper af "leje-soldater" med base i Rusland eller Kina for skade offeret eller berige offerets konkurrent Politisk engagerede "hacktivister Statsfinansierede Hackere Se og hør Utilsigtede fejl First line Second line Third line JN Data IT-operations 540 medarbejdere JN Data Security and Compliance 7 medarbejder JN Data Internal Audit 7 medarbejder D E F E N C E
Fundamentet skal være på plads! Kend dine trusler, gode regler og effektive kontroller Overordnet risikovurdering Gode sikkerhedsregler Effektive interne kontroller Kend dit sikkerhedsniveau, udarbejd roadmaps og rapporter Halvårlige gap analyser Roadmaps for sikkerhedsar bejdet Ærlig ledelsesrapportering Dygtige medarbejdere gør det muligt Involver medarbejderne (3 lines of defence) Engagerede og certificerede itmedarbejdere Proaktiv ledelsesopbakning!
Overordnet risikovurdering Sikkerhedsstandarder Sektorlovgivning Krav fra kunder Trusselsbillede fra sikkerhedskilder ISO 2700x NIST ISA/IEC-62443. Lov om finansielvirk. Outsourcings bekendtgørelsen Persondataloven Os selv Kunde1 Kunde2 Kunde3 DK cert CSIS Symantec NSA.. Overordnet risikovurdering Beslutning om det ønskede sikkerhedsniveau Beskrevet i sikkerhedspolitik og regler Nu kommer det nemme nu skal det bare implementeres og vedligeholdes
Regler skal imødegå trusler! Reglerne skal være målrettet i mod truslen! Regler skal være til at forstå og være operationelle Regler skal være understøttet med processer Medarbejderne skal kende og forstå reglerne Det er medarbejderne, der skal udleve god itsikkerhed så hjælp dem.
Etabler et effektivt internt kontrolmiljø! Kontrollerne skal være dækkende Kontrollerne skal være effektive Kontrollerne skal udføres til tiden Effektive interne kontroller er med til at holde antallet af revisionsanbefalinger nede og itsikkerheden i top
Gap analyser (Kend dit sikkerhedsniveau) Baseret på 249 trusler og deres sikringsmiljø, kontroller, kunders input, eksterne vurderinger samt revisionens anbefalinger Verificer resultatet med forretningen og intern revision Identificer mangler og udarbejd indsatser få ledelsens opbakning! Præsenter det for ledelsen/bestyrelsen med løsningsforslag Husk at fremhæve der hvor det går godt! Find områder der skal forbedres og prioriter! (First Things First)
It-sikkerheds roadmap (Læg en plan og involver sikkerhedsmedarbejderne) Eksekver, husk at fejre succeserne og tag fat i de næste opgaver
Ledelsesrapportering Er præsenteret for: Bestyrelsen den 12 december. For ledelsen i Q3, Q4 2014 og i Q1 2015. Præsenteret for SIKSAM den 10. december 2014 og 5. maj 2015. Krav fra finanstilsynet giver ledelsen indblik og mulighed for at træffe de beslutninger der er med til at sikre et godt sikkerheds niveau Giver overblik, handlemulighed og en bevidsthed om, hvor vi står it-sikkerhedsmæssigt.
Involver medarbejderne! (three line of defence) JN Data Medarbejdere Sikkerhed Revisionen Følger sikkerhedsreglerne Udfører kontroller Udarbejder sikre løsninger Udarbejder risikovurderingen Udbedrer revisionsanbefalinger Udarbejder politikker og regler Risikovurderinger Sikkerhedsgodkendelser Rådgiver og vejleder Udarbejder ledelsesinformation Følger op på kontroller Foretager uafhængig revision Rapporterer til direktion og bestyrelsen It-sikkerhed skal løftes i flok og alle skal kende deres rolle.
Dygtige engagerede medarbejder gør forskellen Certificerede, engagerede og kvalitetsbevidste medarbejdere er nøglen til succes!! I talesæt sikkerhed så alle ved det er vigtigt sæt det på dagsordenen!! Sikkerhedsmedarbejderne skal ud og fortælle forretningen, hvordan itsikkerhed skal implementeres Medarbejdere, der tænker it-sikkerhed ind i det daglige arbejde er ambassadører spot dem/brug dem!! Sæt et godt hold og sørg for de er veltrænede, itsikkerhed er et komplekst område
Ledelsesopbakning It-sikkerhedschefen en del af ledergruppen Har direkte reference til den administrerende direktør Rapporterer direkte til direktørgruppen og chefgruppen Rapporterer til bestyrelsen It-sikkerhed er vigtig license to operate
Revisor som sparringspartner Brug revisors specialistviden - en stor hjælp i det daglige arbejde Hjælp revisor med at udføre sit arbejde giver ikke op alligevel Output af revisors arbejde giver værdifuldt input til organisationen Gå i ærlig dialog om de bagved liggende årsager til gentagne revisionsanbefalinger revisor plejer at kender dem It-revisionen er en vigtig spiller når det gælder god it-sikkerhed
Opsamling sikkerhed gjort nemmere En god struktur på it-sikkerhedsarbejdet gør det nemmere - brug anerkendte standarder Det er billigere at være i kontrol contra brandslukning, kend dine sikkerhedsudfordringer og gør noget ved dem! Troværdig ledelsesrapportering er vigtig så ved vi, hvor vi står før andre kommer og fortæller os det! Brug revisionen som sparringspartner vi har et fælles mål God it-sikkerhed er licens to operate i den finansielle sektor
Fortsat god konference mnn@jndata.dk