Syddjurs Kommune Cyber Maturity Assessment Præsentation til ledelsen Allan Bjerre, KPMG
Baggrund Relevans Resultat Anbefalinger Spørgsmål 1
Indledning Om undersøgelsen 2015 KPMG P/S, a Danish limited liability partnership company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. KPMG International Cooperative ("KPMG International") is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. 2 2
Vi har foretaget en overordnet vurdering af jeres modenhed på Cyber Security området Samarbejde mellem Syddjurs Kommune, DI, FSR, Mandag Morgen og KPMG Søge at skabe kobling mellem effektiv digitalisering og it sikkerhed Stimulere tankerne om fremtidens sikkerhedsarbejde med input baseret på jeres situation Vurderingen er baseret på interview med nøglepersoner og review af tilsendt materiale Stor og meget effektiv hjælp fra jeres side Vi har ikke foretaget revision og der er ikke tale om endegyldige sandheder 3
Tilgang til it sikkerhed Hvor avanceret er jeres håndtering Indsatsområder (146 spørgsmål): Ledelse Personale Risikostyring Beredskab IT & Teknologi Jura & Efterlevelse Vi vurderer IKKE jeres resultater på IT sikkerhed 4
Baseret på den offentlige sektor i UK Ikke et benchmark, men modenhed IKKE en karakter Spørgsmål til alle domæner og modenhedsniveauer 5
Function Role Agenda(High Level) HR Brian IT Lone, Jon Internal Audit Jon Risk Management Eva, Lone, Jon Head of HR or equivalent Head of IT or equivalent Head of Internal Audit or equivalent Head of Risk Management or equivalent Security Training and Awareness Security Culture Talent management: specialist skills for Information Security Identity and Access Management Threat and Vulnerability Management Network Security/application security Information Security Audit framework Findings monitoring Information risk Management 3 rd Party Management Business Continuity Legal Eva, Lone, Jon Business Unit Christina Hanne Procurement Tommy, Karin Head of Legal or equivalent Line of Business Managers or equivalent Head of Procurement or equivalent Three lines of defence Financial Risk Transfer Legislative compliance Understanding requirements (customers/authorities) Dependency on IT Perception of Security Vendor management Contract negotiations benchmarking Og gennemgang af en lang række dokumenter (politikker, rapporter, procedurer mv) 6
Hvad er truslen Hvem er truet Hvem er aktørerne Markedsøkonomien 2015 KPMG P/S, a Danish limited liability partnership company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. KPMG International Cooperative ("KPMG International") is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. 7
Looking at the marketplace and the evolving economy of threats everyone is at risk 8
HACKTIVISM Hacking inspired by ideology ORGANISED CRIME Global, difficult to trace and prosecute THE INSIDER Intentional or unintentional? STATE-SPONSORED Espionage and sabotage Motivation: shifting allegiances dynamic, unpredictable Intent: public disruption, reputation loss Motivation: financial advantage Intent: theft of information Motivation: grudge, financial gain Intent: disruption or destruction, theft of information, reputation loss Motivation: political, economic and military advantage Intent: disruption or destruction, theft of information, reputational loss 9
Complexity Ifølge Gartner Key Metrics (2014) IT Spend is about 3-4% of revenue (average global) 6-7% of the spend goes to Security (risk, applications, infrastructure) Growth in IT spend is app. 2-3% annually De kriminelle er ligeglade med vores budgetter Smartere med de ressourcer vi har Mennesker, processer og teknlogi (i den rækkefølge) fællesskaber Ability to attack Ability to protect Time 10
udvikling af malware (eks. Ransomware) 11
12
13
Modenhedsniveauet Det i gør godt Det i kan overveje 2015 KPMG P/S, a Danish limited liability partnership company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. KPMG International Cooperative ("KPMG International") is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. 14
Og i 2015 15
16
Omsorg for opgavevaretagelsen og god forståelse i forretningen Dedikeret personale Elegante digitale løsninger på gode fundamenter I har været supergode til at formalisere iht. de standarder der er for sikkerhed (men er måske kommet for lang fra jeres virkelighed) Pragmatisik og løsningsorienteret (men husk at det har en skyggeside) Jeres styring af hvad der er vigtigt (systemoverblik, ejerskab, aktiver) Stærk og flexibel proces for styring af indkøb (obs på at få alle krav med) Kvaliteten af det skriftlige materiale vi har set er høj og meget anvendeligt I har et stærk fokus på talent (mennesker) I virker stærke på enterprise arkitektur Målbare resultater Styr på licenser God digitaliseringsevne qva strukturer Lave omkostninger til sikkerhed (måske for lave) Gode slutbrugerløsninger Fysisk sikkerhed er gjort nemt 17
Ledelse Personale Risikostyring Find jeres appetit og tilpas Efterspørg at jeres styringsorganer virker Bed om evidens for at det i vil have rent faktisk er det i får Hvor meget kan i tåle det går galt Fører i reelt tilsyn? Hvornår chancer i den? Find løsninger i fællesskabstanken Sørg for at der allokeres ressourcer til opgaver Funktionadskillelse er også en hjælpende hånd Erkend at i har brug for ekstern sparring I er afhængige af nøglepersoner Prioritering af opgaver Arbejd med trusler Fuld indsigt skaber større løsningsrum Hvor meget fylder it risiko og er der balance ift. jeres ønske om digitalisering Matches jeres intentioner med reelle ressourcer ISO27000 Beredskab IT Jura & Efterlevelse Benyt jeres solide fundament Støt jeres sikkerhedsfolk Tag en dialog omkring alvorlige mangler (eks. kun et datacenter) I beskriver gode løsninger Kortlæg dem og gør dem endnu bedre Forstå hvilke af jeres it løsninger, som er gode Prioriter kontrakter og opfølgning Stil relevante krav til jeres omverden (sæt agenda) Tavshedserklæringer / databehandler aftaler Kan man bryde loven, fordi omstændighederne gør det svært eller umuligt at efterleve? Følger i med i lovgivningen på it området? 18
I siger i vælger at leve med svagheder -> men er der reelt tale om valg I lever i et sæt af omstændigheder -> men er de reelt komplet upåvirkelige Gamle systemer, store systemer, forældet lovgivning, ressourcemangel tilføj gerne Det er de store, der driver udviklingen -> men alligevel lykkes i med mindre digitaliseringsprojekter, i kan når i beslutter jer Vi fandt ikke et eneste alvorlig problem, som ikke havde en forklaring -> men når man kommer bag facaden har vi altså ikke set en eneste organisation, som havde styr på det hele Det lyder som om i ikke fastholder jeres organisatoriske strukturer ift. sikkerhed -> det er synd for de er virkeligt fornuftige I siger at i tager stikprøvevis kontrol (audit) -> men der har ikke været tid til det sidste år Jeres tilgang til it sikkerhed betragtes som højtflyvende -> måske, der er behov for at få det lidt mere i kontakt med virkeligheden I bruger mange grønne ord når i beskriver jeres tilgang -> grønne ord betyder at der ikke er fastlagt et reelt niveau 19
1:1250 1:40 1:1 20
Er i i gang med at planlægge jeres fremtid.. Eller er i på vej ind i selvudslettelsens ulideligt klare lys 2015 KPMG P/S, a Danish limited liability partnership company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. KPMG International Cooperative ("KPMG International") is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. 21
I har brug for det rette talent Få styr på det basale I bør overveje den made I arbejder på Fællesskab Tænk på jeres borgere Teknologi gør ikke digitalisering alene Gå forerst 22
23
24
Mulighed for at omverdenen kan have tillid til jeres løsninger Bedre styring af aktiver giver højere niveau af kontrol Færre omkostninger I forbindelse med nedbrud Bedre muligheder for digitalisering fordi i grundlæggende har styring på data 25
Allan Bjerre allanbjerre@kpmg.com +45 5215 0270 2015 KPMG P/S, a Danish limited liability partnership company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved. KPMG International Cooperative ("KPMG International") is a Swiss entity. Member firms of the KPMG network of independent firms are affiliated with KPMG International. 26
DRIVEN BY BUSINESS We work with our clients to move their business forward. Positively managing cyber risk not only helps take control of uncertainty across business; it can be turned into a genuine strategic advantage. RAZOR SHARP INSIGHTS In a fast-moving digital world of constantly evolving threats and opportunities, you need both agility and assurance. Our people are experts in both cyber security and our priority sectors, which means we give our clients leading edge insight, ideas and proven solutions to act with confidence. SHOULDER TO SHOULDER We work with our clients as long term partners, giving them advice and challenge to make decisions with confidence. We understand that this area is often clouded by feelings of doubt and vulnerability so we work hand-in-hand with them to turn that into a real sense of security and opportunity. 27