Security & Risk Management Summit 2016

Relaterede dokumenter
Forordningens sikkerhedskrav

Risikostyring ifølge ISO27005 v. Klaus Kongsted

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Informationssikkerhedspolitik

ISO Ledelsesværktøj til digital risikostyring

Overordnet it-sikkerhedspolitik for Rødovre Kommune

MedComs informationssikkerhedspolitik. Version 2.2

Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Security & Risk Management Summit

Overordnet Informationssikkerhedspolitik

Sikkerhed og Revision 2015

Sikkerhedsvurderinger

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Informationssikkerhedspolitik for Horsens Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Persondataforordningen...den nye erklæringsstandard

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Faxe Kommune. informationssikkerhedspolitik

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik Frederiksberg Kommune

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Virksomhedernes cybertilstand

Politik for informationssikkerhed 1.2

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

It-sikkerhedspolitik for Farsø Varmeværk

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

IT sikkerhedspolitik for Business Institute A/S

Organisering og styring af informationssikkerhed. I Odder Kommune

Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

Bilag 1 Databehandlerinstruks

RISIKOVURDERING I PRAKSIS

Assens Kommune Sikkerhedspolitik for it, data og information

Overordnet It-sikkerhedspolitik

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Databeskyttelse og cyber risk-forsikringer

Torben Waage Partner

Præsentation af Curanets sikringsmiljø

Informationssikkerhedspolitik for Sønderborg Kommune

Persondataforordningen. Henrik Aslund Pedersen Partner

Informationssikkerhedspolitik For Aalborg Kommune

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Informationssikkerhedspolitik. Frederiksberg Kommune

IT-SIKKERHEDSPOLITIK UDKAST

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

IT- og Informationssikkerhed

Databeskyttelsesdagen

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Vejledning i informationssikkerhedspolitik. Februar 2015

General Data Protection Regulation

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Persondataforordningen

Politik <dato> <J.nr.>

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

IT-sikkerhedspolitik for

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Informationssikkerhed på ledelsens agenda

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

Hvordan styrer vi leverandørerne?

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Persondataforordningen og offentlige organisationer

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Front-data Danmark A/S

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Fællesregional Informationssikkerhedspolitik

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

IT- og Informationssikkerhed

IT- og Informationssikkerhed

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Transkript:

Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:

Digital risikostyring bør sidestilles med finansiel risikostyring! Jørgen Bardenfleth, Bestyrelsesformand, Dubex A/S 3. November 2016

Agenda Hvorfor skal ledelsen interessere sig for it-sikkerhed? Organisatoriske og juridiske krav At være formelt compliant er ikke nødvendigvis tilstrækkeligt It-sikkerhedsbrud er svære at kvantificere GPDR introducerer store bøder og Breach Notification (om 1½ år!) Effektiv risikoafløftning er svær at købe (cyber insurance) Risikostyring hvordan griber man det an? (ISO 27001) Et ledelsesinformationssystem er nødvendigt (ISMS) Et ISMS bør indeholde både formelle og tekniske kontroller Risikoappetit

Organisatoriske rammer og krav - ledelsens og bestyrelsens ansvar Selskabslovgivning Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at <...> 2) der er etableret de fornødne procedurer for risikostyring og interne kontroller Selskabslovens 117: I kapitalselskaber, der ledes efter 111, stk. 1, nr. 1 <har bestyrelse>, varetager direktionen den daglige ledelse af kapitalselskabet. Direktionen skal følge de retningslinjer og anvisninger, som bestyrelsen har givet. Selskabslovens 361: Stiftere og medlemmer af ledelsen, som under udførelsen af deres hverv forsætligt eller uagtsomt har tilføjet kapitalselskabet skade, er pligtige til at erstatte denne. Det samme gælder, når skaden er tilføjet kapitalejere eller tredjemand.

Organisatoriske rammer og krav - ledelsens ansvar - 2 It-revision Fra revisionsstandarden ISA 315, A96: Generelle it-kontroller er politikker og procedurer, der vedrører mange applikationer og understøtter, at applikationskontrollerne fungerer effektivt. De gælder for mainframe-, miniframe- og slutbrugermiljøer. Generelle itkontroller, som opretholder informationens integritet og sikkerheden af data, omfatter normalt kontroller med: drift af datacentre og netværk anskaffelse, ændring og vedligeholdelse af systemsoftware programændring adgangssikkerhed anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Generelt indføres kontrollerne for at håndtere de risici, der er omtalt i afsnit A56 < >. Fra revisionsstandarden ISA 315, A96: It medfører også specifikke risici for en virksomheds interne kontrol, f.eks.: < > tillid til systemer eller programmer, som behandler data unøjagtigt, behandler unøjagtige data eller begge dele uautoriseret adgang til data, som kan medføre ødelæggelse af data eller ugyldige ændringer af data, herunder bogføring af ikke godkendte eller ikke eksisterende transaktioner eller unøjagtig bogføring af transaktioner. Særlige risici kan opstå, når mange brugere har adgang til en fælles database muligheden for, at it-medarbejdere får adgangsrettigheder, der går ud over dem, som er nødvendige for udførelsen af deres opgaver, og derved nedbryder funktionsadskillelsen uautoriserede ændringer af data i stamfiler uautoriserede ændringer af systemer eller programmer

Organisatoriske rammer og krav - ledelsens ansvar - 3 Øvrige juridiske krav - eksempler Generel lovgivning: Persondatalovens 5 Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. < > (Erstattes af Persondataforordningen maj 2018) Statslig forvaltning: Siden januar 2014 har statslige virksomheder og myndigheder skullet efterleve ISO27001, standard til styring af informationssikkerhed (krav til informationssikkerhedsledelsessystem) Kommunal forvaltning: KL anbefaler alle kommuner at anvende ISO27001 med henblik på at få en fælles, høj sikkerhedsstandard i den offentlige sektor. Offentlige institutioner: Sikkerhedsbekendtgørelsens 5: < > skal navnligt omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer Finansielle institutioner: Outsourcingbekendtgørelsen, Finanstilsynets vejledning vedrørende itsikkerhed Branchespecifikke, internationale o.a.: PCI-krav (betalingskort), NIS-direktivet (kritisk infrastruktur), FDA-krav (Medico)

Organisatoriske rammer og krav - ledelsens ansvar - 4 Den kommende EU-persondataforordning Er vedtaget, endelig ikrafttræden 25. maj 2018 Ens regler i alle EU-lande Obligatorisk Breach Notification (72 timer) Data Protection Officers (DPO) i brancher med persondatabehandling som kerneaktivitet refererer direkte til ledelsen og er særligt beskyttede Obligatorisk Privacy Impact Assesment ( Konsekvensanalyse ) Personregistrering kræver som udgangspunkt eksplicit, informeret samtykke Ret til at få slettet oplysninger Store bøder ved overtrædelser, op til 4% af global omsætning! Hør evt. mere på sporet EU-persondataforordningen & Privacy efter frokost

Organisatoriske rammer og krav - ledelsens ansvar - 5 Forretningsmæssige risici Ud over de formelle krav, kan brud på it-sikkerheden afstedkomme direkte eller indirekte tab Tab af IP industrispionage hacking regeringssponsoreret indbrud/overvågning Direkte tab af værdier netbank-indbrud, kortsvindel digital gidseltagning (ransomeware) illoyale eller hævngerrige (eks-)medarbejdere Tab af omdømme / Brand Value (f.eks. Target, Sony, Nets, Statens Serum Institut) Direkte tab på afhjælpning/genopretning Direkte tab på driftsstop - uproduktive medarbejdere Indirekte forretningstab - bl.a. tabte ordrer Bøder

Digital risikostyring hvordan?

Digital risikostyring på ledelsesplan Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssig sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

Risikostyring tag udgangspunkt i ISO 27001 Standard for ledelsessystemer for informationssikkerhed (ISMS) Fokus er på styring af de forretningskritiske risici Valg af kontroller baseres på risikovurdering Udvælgelsen er en vigtig del af processen Kontrollerne er beskrevet i bl.a. ISO 27002 Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesgodkendelser og -rapportering Regelmæssige ledelsesreviews med bl.a. Review af kritiske sikkerhedshændelser Review af risikohåndteringsplan Review af audits og tilbagemeldinger Review af sikkerhedspolitik Rapportering om sikkerhedsmål og effektivitetsmålinger Plan Act Do Check

Virksomhedens reelle behov Udpeg de forretningskritiske aktiver/aktiviteter Tag udgangspunkt i de overordnede forretningsrisici og/eller de forretningskritiske processer Aktiverne/aktiviteterne er sårbare over for brud på: Fortroligheden Integriteten Tilgængeligheden Det er en god idé at gruppere aktiver/aktiviteter med: Sammenfaldende risikobilleder Samme kontroller Fastlæg risikoappetitten Den kan variere for de enkelte aktiver/aktiviteter/områder

Risikovurdering i praksis Risikoen baseres på konsekvenser, vægtet med deres sandsynlighed Vurdering af konsekvenserne baseres f.eks. på de finansielle omkostninger, skade på mennesker/liv, mistet omdømme m.m. Vurderingen af sandsynligheden for at noget sker, baseres på trusler og sårbarheder, holdt op imod foranstaltningerne (kontrollerne) Hacker Konkurrent Terrorist Utilfreds medarbejder Softwarefejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Foranstaltninger Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme

Virksomhedens risikoappetit Højere Lavere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres, uden at der gennemføres ændringer Her skal risiko normalt håndteres, så restrisiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.

Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved, at den: nedbringes, f.eks. ved hjælp af nye/ekstra sikkerhedssforanstaltninger undgås, f.eks. ved at man stopper en aktivitet eller ændrer den overføres til andre, f.eks. ved forsikring accepteres alligevel, evt. bare for en periode Dette beskrives i en risikohåndteringsplan (RTP), som godkendes af ledelsen kan også bruges til at dokumentere, hvor de forskellige kontroller anvendes Det kan være en iterativ proces at nå til en godkendt plan Kan også være en simpel proces ja/nej

Eksempel på ISMS

Glem ikke den menneskelige faktor!

Hvad skal bestyrelsen gøre? - 1 Spørgsmål, bestyrelsen bør stille til ledelsen - 1 Har vi identificeret alle vores nøgleinformationsaktiver, sikret at disse bliver håndteret korrekt og er sikret tilstrækkeligt mod digitale trusler? Har vi et fuldt og dækkende billede af (de økonomiske) konsekvenser af: at vores egne informationsaktiver eller vores informationer om vores kunder skulle blive tabt eller stjålet som følge af digital kriminalitet? at vores organisations it-systemer eller onlinesystemer skulle være nede i kortere eller længere tid som følge af digital kriminalitet?

Hvad skal bestyrelsen gøre? - 2 Spørgsmål, bestyrelsen bør stille til ledelsen - 2 Har vi en nedskrevet sikkerhedspolitik, er vi sikre på at den er udbredt til alt personale, og bliver der fulgt op på den? Foretager vi løbende risikovurderinger af nøgleinformationsaktiver? Konsekvens Er vi sikre på, at vores it-sikkerhedssystemer: er konstant opdateret og overvåget? giver tilstrækkelig beskyttelse i forhold til vores overordnede risikovurdering? muliggør logning og dermed efterforskning i nødvendigt omfang Sandsynlighed inkl. Sikkerhedsmiljø

Tak! Læs mere om Dubex på www.dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback