Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere:
Digital risikostyring bør sidestilles med finansiel risikostyring! Jørgen Bardenfleth, Bestyrelsesformand, Dubex A/S 3. November 2016
Agenda Hvorfor skal ledelsen interessere sig for it-sikkerhed? Organisatoriske og juridiske krav At være formelt compliant er ikke nødvendigvis tilstrækkeligt It-sikkerhedsbrud er svære at kvantificere GPDR introducerer store bøder og Breach Notification (om 1½ år!) Effektiv risikoafløftning er svær at købe (cyber insurance) Risikostyring hvordan griber man det an? (ISO 27001) Et ledelsesinformationssystem er nødvendigt (ISMS) Et ISMS bør indeholde både formelle og tekniske kontroller Risikoappetit
Organisatoriske rammer og krav - ledelsens og bestyrelsens ansvar Selskabslovgivning Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at <...> 2) der er etableret de fornødne procedurer for risikostyring og interne kontroller Selskabslovens 117: I kapitalselskaber, der ledes efter 111, stk. 1, nr. 1 <har bestyrelse>, varetager direktionen den daglige ledelse af kapitalselskabet. Direktionen skal følge de retningslinjer og anvisninger, som bestyrelsen har givet. Selskabslovens 361: Stiftere og medlemmer af ledelsen, som under udførelsen af deres hverv forsætligt eller uagtsomt har tilføjet kapitalselskabet skade, er pligtige til at erstatte denne. Det samme gælder, når skaden er tilføjet kapitalejere eller tredjemand.
Organisatoriske rammer og krav - ledelsens ansvar - 2 It-revision Fra revisionsstandarden ISA 315, A96: Generelle it-kontroller er politikker og procedurer, der vedrører mange applikationer og understøtter, at applikationskontrollerne fungerer effektivt. De gælder for mainframe-, miniframe- og slutbrugermiljøer. Generelle itkontroller, som opretholder informationens integritet og sikkerheden af data, omfatter normalt kontroller med: drift af datacentre og netværk anskaffelse, ændring og vedligeholdelse af systemsoftware programændring adgangssikkerhed anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Generelt indføres kontrollerne for at håndtere de risici, der er omtalt i afsnit A56 < >. Fra revisionsstandarden ISA 315, A96: It medfører også specifikke risici for en virksomheds interne kontrol, f.eks.: < > tillid til systemer eller programmer, som behandler data unøjagtigt, behandler unøjagtige data eller begge dele uautoriseret adgang til data, som kan medføre ødelæggelse af data eller ugyldige ændringer af data, herunder bogføring af ikke godkendte eller ikke eksisterende transaktioner eller unøjagtig bogføring af transaktioner. Særlige risici kan opstå, når mange brugere har adgang til en fælles database muligheden for, at it-medarbejdere får adgangsrettigheder, der går ud over dem, som er nødvendige for udførelsen af deres opgaver, og derved nedbryder funktionsadskillelsen uautoriserede ændringer af data i stamfiler uautoriserede ændringer af systemer eller programmer
Organisatoriske rammer og krav - ledelsens ansvar - 3 Øvrige juridiske krav - eksempler Generel lovgivning: Persondatalovens 5 Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. < > (Erstattes af Persondataforordningen maj 2018) Statslig forvaltning: Siden januar 2014 har statslige virksomheder og myndigheder skullet efterleve ISO27001, standard til styring af informationssikkerhed (krav til informationssikkerhedsledelsessystem) Kommunal forvaltning: KL anbefaler alle kommuner at anvende ISO27001 med henblik på at få en fælles, høj sikkerhedsstandard i den offentlige sektor. Offentlige institutioner: Sikkerhedsbekendtgørelsens 5: < > skal navnligt omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer Finansielle institutioner: Outsourcingbekendtgørelsen, Finanstilsynets vejledning vedrørende itsikkerhed Branchespecifikke, internationale o.a.: PCI-krav (betalingskort), NIS-direktivet (kritisk infrastruktur), FDA-krav (Medico)
Organisatoriske rammer og krav - ledelsens ansvar - 4 Den kommende EU-persondataforordning Er vedtaget, endelig ikrafttræden 25. maj 2018 Ens regler i alle EU-lande Obligatorisk Breach Notification (72 timer) Data Protection Officers (DPO) i brancher med persondatabehandling som kerneaktivitet refererer direkte til ledelsen og er særligt beskyttede Obligatorisk Privacy Impact Assesment ( Konsekvensanalyse ) Personregistrering kræver som udgangspunkt eksplicit, informeret samtykke Ret til at få slettet oplysninger Store bøder ved overtrædelser, op til 4% af global omsætning! Hør evt. mere på sporet EU-persondataforordningen & Privacy efter frokost
Organisatoriske rammer og krav - ledelsens ansvar - 5 Forretningsmæssige risici Ud over de formelle krav, kan brud på it-sikkerheden afstedkomme direkte eller indirekte tab Tab af IP industrispionage hacking regeringssponsoreret indbrud/overvågning Direkte tab af værdier netbank-indbrud, kortsvindel digital gidseltagning (ransomeware) illoyale eller hævngerrige (eks-)medarbejdere Tab af omdømme / Brand Value (f.eks. Target, Sony, Nets, Statens Serum Institut) Direkte tab på afhjælpning/genopretning Direkte tab på driftsstop - uproduktive medarbejdere Indirekte forretningstab - bl.a. tabte ordrer Bøder
Digital risikostyring hvordan?
Digital risikostyring på ledelsesplan Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssig sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces
Risikostyring tag udgangspunkt i ISO 27001 Standard for ledelsessystemer for informationssikkerhed (ISMS) Fokus er på styring af de forretningskritiske risici Valg af kontroller baseres på risikovurdering Udvælgelsen er en vigtig del af processen Kontrollerne er beskrevet i bl.a. ISO 27002 Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesgodkendelser og -rapportering Regelmæssige ledelsesreviews med bl.a. Review af kritiske sikkerhedshændelser Review af risikohåndteringsplan Review af audits og tilbagemeldinger Review af sikkerhedspolitik Rapportering om sikkerhedsmål og effektivitetsmålinger Plan Act Do Check
Virksomhedens reelle behov Udpeg de forretningskritiske aktiver/aktiviteter Tag udgangspunkt i de overordnede forretningsrisici og/eller de forretningskritiske processer Aktiverne/aktiviteterne er sårbare over for brud på: Fortroligheden Integriteten Tilgængeligheden Det er en god idé at gruppere aktiver/aktiviteter med: Sammenfaldende risikobilleder Samme kontroller Fastlæg risikoappetitten Den kan variere for de enkelte aktiver/aktiviteter/områder
Risikovurdering i praksis Risikoen baseres på konsekvenser, vægtet med deres sandsynlighed Vurdering af konsekvenserne baseres f.eks. på de finansielle omkostninger, skade på mennesker/liv, mistet omdømme m.m. Vurderingen af sandsynligheden for at noget sker, baseres på trusler og sårbarheder, holdt op imod foranstaltningerne (kontrollerne) Hacker Konkurrent Terrorist Utilfreds medarbejder Softwarefejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Foranstaltninger Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme
Virksomhedens risikoappetit Højere Lavere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres, uden at der gennemføres ændringer Her skal risiko normalt håndteres, så restrisiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.
Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved, at den: nedbringes, f.eks. ved hjælp af nye/ekstra sikkerhedssforanstaltninger undgås, f.eks. ved at man stopper en aktivitet eller ændrer den overføres til andre, f.eks. ved forsikring accepteres alligevel, evt. bare for en periode Dette beskrives i en risikohåndteringsplan (RTP), som godkendes af ledelsen kan også bruges til at dokumentere, hvor de forskellige kontroller anvendes Det kan være en iterativ proces at nå til en godkendt plan Kan også være en simpel proces ja/nej
Eksempel på ISMS
Glem ikke den menneskelige faktor!
Hvad skal bestyrelsen gøre? - 1 Spørgsmål, bestyrelsen bør stille til ledelsen - 1 Har vi identificeret alle vores nøgleinformationsaktiver, sikret at disse bliver håndteret korrekt og er sikret tilstrækkeligt mod digitale trusler? Har vi et fuldt og dækkende billede af (de økonomiske) konsekvenser af: at vores egne informationsaktiver eller vores informationer om vores kunder skulle blive tabt eller stjålet som følge af digital kriminalitet? at vores organisations it-systemer eller onlinesystemer skulle være nede i kortere eller længere tid som følge af digital kriminalitet?
Hvad skal bestyrelsen gøre? - 2 Spørgsmål, bestyrelsen bør stille til ledelsen - 2 Har vi en nedskrevet sikkerhedspolitik, er vi sikre på at den er udbredt til alt personale, og bliver der fulgt op på den? Foretager vi løbende risikovurderinger af nøgleinformationsaktiver? Konsekvens Er vi sikre på, at vores it-sikkerhedssystemer: er konstant opdateret og overvåget? giver tilstrækkelig beskyttelse i forhold til vores overordnede risikovurdering? muliggør logning og dermed efterforskning i nødvendigt omfang Sandsynlighed inkl. Sikkerhedsmiljø
Tak! Læs mere om Dubex på www.dubex.dk