Informationssikkerhed på ledelsens agenda - Ledelsesengagement omkring informationssikkerhed Allan Fabricius, It-sikkerhedschef, Dansk Supermarked A/S 1
Kan man sælge sand i Sahara? 2
Dansk Supermarked Nøgletal Omsætning 2013 57 mia kr Resultat 2,4 mia kr Markedsandel Danmark 34% Antal medarbejdere: 42.000 Danmark: 33.000 Udland: 9.000 (Sverige, Tyskland, Polen)
Kæder, stormagasiner og storcentre ITS It-sikkerhed 88 føtex varehuse, heraf 7 føtex Food 18 Bilka varehuse 1170 Netto butikker Danmark: 438 Tyskland: 340 Polen: 246 Sverige 146 2 Salling stormagasiner 1 A-Z varehus 2 Storcentre Storcenter Nord Næstved Storcenter 4
Informationssikkerhed på ledelsens agenda Ledelsesengagement omkring informationssikkerhed
Hvordan får informationssikkerhed ledelsesengagement?
Hvordan ser topledelsen på it-sikkerhed? Antal af åbne revisionsfindings? Styr på antivirus og patch management (ingen malware = ingen risici) Styr på hvem der har adgang til systemer og data? Styr på Business Continuity management? Intet nyt er godt nyt IT-sikkerhed opfattes som et it-anliggende og ikke et forretningsanliggende Hvad motiverer ledelsen? Afhænger i høj grad af situation/branche Lovmæssige krav Mediefokus på specifikke sårbarheder (f.eks. DDos, Java) Virksomheden/naboen rammes af en sårbarhed (hacking) Gennem dialog med ligesindede eller gennem netværk Hotte emner (Nets/Se&Hør, kreditkortsvindel) Overbevisende argumenter fra sikkerhedsansvarlige
Hvordan ser topledelsen på it-sikkerhed? Udfordringen Topledelsen forstår ikke it den ved bare at it skal virke Svært at få foretræde for topledelsen Svært at få midler til forebyggende it-sikkerhed for at forhindre noget som ikke er sket endnu Svært at måle effekten af forebyggende tiltag Svært at forklare komplekse problemstillinger til topledelsen Svært at kommunikere i tekniske termer til topledelsen It (og dermed it-sikkerhed) opfattes ofte som et cost center, og ledelsen har megen fokus på at minimere omkostninger It-sikkerhed opfattes som et nødvendigt onde (paranoide) og ikke som en business enabler
Forskellige interessenter har forskellige syn på it-sikkerhed - Lignelsen om de 6 blinde mænd En af mændene finder elefantens ben og beskriver det som værende rundt og ru som et træ. En anden rører ved stødtanden og beskriver elefanten som et spyd. En tredje tager fat i halen og insisterer på, at elefanten er som et reb. En fjerde opdager snablen og insisterer på, at elefanten er som en stor slange. Hver beskriver sandhed, og fordi deres sandhed kom af personlig erfaring, holdt de hver især på, hvad de vidste.
Udfordringer ved forskellige organisatoriske placeringer af it-sikkerhedsfunktionen CEO CEO CEO Information Security CIO CFO CFO CIO CFO CIO Information Security Information Security Dansk Supermarked It-sikkerhedsudvalg CEO CEO CIO CFO CIO CFO CIO It-driftschef Itdriftschef CFO CEO CISO ITdriftschef Revisionschef Information Security
Forskellige interessenter har forskellige interesseområder og taler forskellige sprog Board Vækststrategi Bundlinje Markeder /markedsandele Nøgletal (EBIT/ROIC) Forrentning af egenkapital Pengestrøm O.m.a. Security ISO 27xxx Risk management Disaster recovery Business continuity management Firewalls, IPS, IDS, WAF DDos, patch OWASP risici AD, SSO, IP, Legal and contractual requirements PCI, PAN numbers Segregation of duties O.m.a.
Gode historier i medierne hjælper
Forstår ledelsen og dig hinanden? - Der skal mindst 2 til en misforståelse og den går begge veje Dig: Topledelsen forstår ikke, hvilke it-risici den står over for Topledelse: It-sikkerhed forstår ikke, hvad der er væsentligt for forretningen
Forstår ledelsen og dig hinanden? Hvordan øges chancerne for at få en investering igennem, og hvad har ledelsens fokus? Ledelse Ledelse Ledelse Ledelse Ledelse Er investeringen nødvendig? Hvilke fordele giver det os? Compliance krav Forretningsmæssige fordele Lavere omkostninger ved færre incidents Optimering af forretningsgange (klare ansvar og roller) Passer investeringen ind i virksomhedens strategi? Hvordan kan løsningen understøtte virksomhedens strategi Hvordan nedbringer investeringen omkostningerne? Incidents forekommer ofte pga. menneskelige fejl, ikke tekniske, og investering kan muligvis klares med nye procedurer, awareness o.l. Kræver løsningen tekniske investeringer, laves evt. en ROSI Hvordan kan vi være sikre på, at målet nås? Sæt klare mål for, hvad der skal nås, evt. gennem KPI er Hvilke risici er forbundet med løsningen? Mulige risici og dermed manglende målopfyldelse. Problemet er ikke, at ledelsen ikke ønsker at investere i it-sikkerhed, men at den enten ikke er informeret om risici, eller at du ikke kan tale samme sprog som ledelsen.
Informationssikkerhed er ledelsens ansvar! It-anvendelsen er blevet en strategisk enabler, og dermed også en forudsætning for at nå forretningsmæssige og organisatoriske mål. Dertil kommer udfordringer med øgede regulatoriske og juridiske krav, behov for at sikre integritet og kontinuitet af forretningsprocesser. CIA er stadig fundamentet for it-sikkerhed (Confidentiality, Integrity, Availiblity), men boardet skal forstå, at informationssikkerhed er kritisk for virksomheden og stille krav om løbende opdateringer om status på itsikkerheden. It-anvendelsen er blevet kritisk, og der står mere på spil end CIA, med friske eksempler fra eksempelvis Se&Hør og den amerikanske detailkæde Target, hvor kortdata og personlige data på over 100 mio. kunder blev lækket. En vellykket implementering og håndtering af informationssikkerhed kræver, at ledelsen forstår, og erkender ansvaret for it-sikkerhed at en stabil og sikker drift er en forudsætning for at drive forretning at der er risici forbundet med at drive it at manglende sikkerhed kan ramme forretningen at manglende sikkerhed kan ramme personligt. 15
Informationssikkerhed er ledelsens ansvar! Ledelsen bestemmer sikkerhedsniveauet og risikovillighed Ledelsen skal sikre, at der er udarbejdet retningslinjer til sikring af, at virksomhedens informationsaktiver er tilstrækkeligt beskyttede Kun ledelsen kan prioritere og udstikke retningslinjer for investeringer til informationssikkerhed Informationssikkerhed omfatter hele organisationen, men ledelsen skal sikre, at der er etableret et kontrolapparat der integrerer teknologi, procedurer og menneskelig adfærd på en måde som sikrer, at målene nås Hele organisationen står over for en risiko i tilfælde af et sikkerhedsbrud. Ledelsen er ansvarlig i forhold til omdømme, indtjening og overlevelse og skal derfor sikre, at virksomheden kender og håndterer informationsrisici Ledelsen bærer ansvaret for, at virksomheden lever op til lov- og kontraktlige krav, eksempelvis Persondataloven PCI SOX EU data Privacy Regulation (på vej) Pligt til offentliggørelse af brud på it-sikkerhed Krav om Data Protection Officer Store bøder Hæfte Outsourcingbekendtgørelsen (i.f.m. Cloud computing) Lov om finansielle virksomheder
Informationssikkerhed er ledelsens ansvar! CEO Dårlig styring af it-sikkerhed kan give dig problemer Med det nye EU direktiv på vej, kan det også sende ledelsen i fængsel (EU Data Privacy Regulation) 17
Informationssikkerhed er ledelsens ansvar! Vil pressen gerne have en udtalelse fra ledelsen Bliver virksomheden kompromitteret 18
Senior management er ikke it-sikkerhedsfolk De føler sig måske ofte lidt ukomfortable ved os sikkerhedsfolk, og taler vi til dem i tekniske termer, forstår de os måske ikke. Ledelsen er interesseret i, hvad der får forretningen til at køre ikke i teknikken bag den. Sæt dig ind i hvordan forretningen fungerer Sæt dig ind i deres måde at arbejde på Tal deres sprog 7% 38% 55% Anvend ikke Ja/Nej spørgsmål. Er I interesseret i mit forslag om en IDS løsning? Hvilke fordele ville vi kunne opnå hvis vi kunne stoppe hackere, før de kom ind i vores netværk? Når du stiller et spørgsmål, så ti stille og vent på et svar. Undgå retoriske spørgsmål. Vil vore aktionærer ikke ønske at vi var beskyttet mod hackere? Brug øjne og ører for at få styr på, hvor du har dine tilhørere, og husk på, at kun 7% af meddelelser er relateret til selve meddelelsen. 38% vedfører dit tonefald, og 55% vedrører dit kropssprog. 19
Få ledelsen i tale Hvad får ledelsen til at kunne lide dig? Ingen Tech-Talk, ingen buzz-words (imponerer ikke ledelsen, men irriterer i stedet) Mød dem i deres uniform Hav fokus på forretningsmæssige aspekter ikke tekniske Formuler dig kort og præcist og hold dig til faktuelle/reelle emner Fat dig i korthed ledelsen har travlt med vigtigere ting på dagsordenen 20
Topledelsen har fokus på forretning Topledelsen er interesseret i forretningen, ikke i informationssikkerhed. Det er ikke sikkert at du hver gang får en investering igennem, men ledelsen er nødt til at vide, hvilken risiko den løber ved ikke at investere i et givet projekt. Hvor stor ledelsens risikoappetit er afhænger bl.a. af, hvad ledelsen vil acceptere for at nå de strategiske mål. Fortæl om benefits ikke om features. En benefit er værdien af en feature, en feature er en egenskab ved et produkt/service. Folk køber benefits, ikke features. Det sælger bedre at fortælle, at bilen kan accelerere hurtigere end de fleste biler, end at den har 200 HK. Få indsigt i, hvordan ledelsen er sammensat: Beslutningsprocedurer Hvem bestemmer Centraliserede beslutninger (formanden bestemmer) Gruppebeslutninger Lær ledelsen at kende og find dine sympatisører 21
Boardet har et governance ansvar i relation til it-sikkerhed. Det handler om styring og kontrol Boardet har forpligtelser over for forskellige interessenter, både interne og eksterne, og skal sikre, at virksomhedens informationer er tilstrækkeligt beskyttede. Manglende it-sikkerhed kan sætte virksomheden ud af spillet i lang tid, eller i værste fald lukke den helt. Derfor skal it-anvendelsen styres og afdækkes gennem veldefinerede strukturer og processer, og boardet skal beslutte, hvem der træffer beslutninger, hvem der er involveret i beslutningerne, og hvordan beslutningstagerne bliver holdt ansvarlige. Det handler mere om risk management end om compliance Ledelsen skal være strategisk vejviser og sikre, at målene nås, herunder at risici håndteres hensigtsmæssigt, at virksomhedens ressourcer anvendes på en forsvarlig måde, og at sikkerhedsstrategien er i overensstemmelse med forretningsmål og regulativer. It-sikkerhed er kommet på dagsordenen. Informationssikkerhed er ledelsens ansvar Håndtering af informationssikkerhed kræver governance fremfor management Det handler mere om at fokusere på de rigtige ting end at gøre tingene rigtigt. Vær proaktiv og synlig også overfor ledelsen. 22
Tak for i dag 23