ITS | It-sikkerhed Informationssikkerhed på ledelsens agenda - Ledelsesengagement omkring informationssikkerhed Allan Fabricius, It-sikkerhedschef, Dansk Supermarked A/S 1 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Hvordan sælger man it-sikkerhed til ledelsen? Som at sælge sand i Sahara? 2 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Dansk Supermarked Nøgletal ▪ Omsætning 2013 57 mia kr ▪ Resultat ▪ Markedsandel Danmark ▪ Antal medarbejdere: ▪ Danmark: ▪ Udland: 2,4 mia kr 34% 42.000 33.000 9.000 (Sverige, Tyskland, Polen, England) Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Kæder, stormagasiner og storcentre 88 føtex varehuse, heraf 7 føtex Food 18 Bilka varehuse 1170 Netto butikker ▪ Danmark: 438 ▪ Tyskland: 340 ▪ Polen: 246 ▪ Sverige 146 ▪ England (under opstart) 2 Salling stormagasiner 1 A-Z varehus 2 Storcentre ▪ Storcenter Nord ▪ Næstved Storcenter Dansk Supermarked | Danish Supermarket 4 ITS | It-sikkerhed Informationssikkerhed på ledelsens agenda Ledelsesengagement omkring informationssikkerhed Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Det handler om forretningsrisici, omdømme, regulativer og indtjening Topledelsen forstår lidt om, og er ikke interesseret i it-risici. Topledelsen forstår forretningsrisici og vil hellere tale om bundlinje end om sikring af en webserver mod SQL injection. Har du brug for en Web Application Firewall skal du ikke bruge tid på at fortælle om dens mange finesser, men informer ledelsen om, hvad et nedbrud på jeres web-site koster, og at investeringen kan mindske denne forretningsrisiko betragteligt. Find de kritiske/sårbare forretningsprocesser og hvilke it-risici der truer dem. Map disse risici op mod forretningsrisici og orienter ledelsen herom på forretningssprog. Når ledelsen forstår at manglende itsikkerhed kan ramme både forretning og ledelsen personligt, så lytter man til dig. Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Hvordan ser topledelsen på it-sikkerhed? Antal af åbne revisionsfindings? Styr på antivirus og patch management (ingen malware = ingen risici) Styr på hvem der har adgang til systemer og data? Styr på beredskabsplanlægning og Business Continuity management? Intet nyt er godt nyt IT-sikkerhed opfattes som et it-anliggende og ikke et forretningsanliggende Hvad motiverer ledelsen? Afhænger i høj grad af situation/branche Lovmæssige krav Mediefokus på specifikke sårbarheder (f.eks. Ddos, Java) Virksomheden/naboen rammes af en sårbarhed (hacking) Gennem dialog med ”ligesindede” eller gennem netværk Hotte emner (Nets/Se&Hør, kreditkortsvindel) Meget gode argumenter fra sikkerhedsafdelingen Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Vi har forskellige syn på it-sikkerhed - Lignelsen om de blinde mænd CISO Hver person beskriver en sandhed, og fordi deres sandhed kom af personlig erfaring, holdt de hver især på, hvad de vidste. Utopi at tro, at CEO, CFO, CIO og CISO deler samme opfattelse af it-sikkerhed, men de kan alle have ret. Det afhænger af brillerne der ser. Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Hvordan ser topledelsen på it-sikkerhed? Udfordringen Topledelsen forstår ikke it – den ved bare at it skal virke Svært at få ”foretræde” for topledelsen Svært at få midler til forebyggende it-sikkerhed for at forhindre noget som ikke er sket endnu Svært at måle effekten af forebyggende tiltag Svært at forklare komplekse problemstillinger til topledelsen Svært at kommunikere i tekniske termer til topledelsen It (og dermed it-sikkerhed) opfattes ofte som et cost center, og ledelsen har megen fokus på at minimere omkostninger It-sikkerhed opfattes som et nødvendigt onde (paranoide) og ikke som en business enabler Handler det mere om overtalelse og være i stand til at navigere i et politisk minefelt, end om at bekæmpe skurke? Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Udfordringer ved forskellige organisatoriske placeringer af it-sikkerhedsfunktionen Board Board CEO CEO Information Security CIO CFO CIO Driftschef Department manager Teamlead Dig Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Udfordringer ved forskellige organisatoriske placeringer af it-sikkerhedsfunktionen Høj CEO CEO Information Security CIO CEO CFO Information Security CFO Information Security CIO Prioritet CIO CFO Commitment (top down) No commitment (buttom up) CFO lav CEO CEO CIO It-driftschef Information Security Dansk Supermarked | Danish Supermarket CFO CIO Itdriftschef Security ITS | It-sikkerhed Hvordan får man kontakt til ledelsen? Ledelse CIO CISO It-sikkerhedsudvalg CEO CIO CISO Dansk Supermarked | Danish Supermarket CFO It-drift HR ITS | It-sikkerhed Forskellige interessenter har forskellige interesseområder og taler forskellige sprog Board Security • • • • • • • • Vækststrategi Konkurrenter Bundlinje Markeder /markedsandele Nøgletal (EBIT/ROIC) Forrentning af egenkapital Pengestrøm O.m.a. • • • • • • • • • • • • ISO 27001, ISO 27005 DRM, BCM Disaster recovery 802.1.x Firewalls, IPS, IDS, WAF DDos, OWASP AD, SSO IPV6 PCI DSS compliance Segregation of duties O.m.a. Dansk Supermarked | Danish Supermarket Kommunikation kan være en svær størrelse. Hensynet til modtageren er afgørende i al formidling ITS | It-sikkerhed Gode historier i medierne hjælper Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Gode historier kunne være din virksomhed ! Falsk positiv Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Forstår ledelsen og du hinanden? - Der skal mindst 2 til en misforståelse – og den går begge veje Dig: ”Topledelsen forstår ikke, hvilke it-risici den står over for” Topledelse: ”It-sikkerhed forstår ikke, hvad der er væsentligt for forretningen” It-risici skal mappes til forretningsrisici ! Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Forstår ledelsen og du hinanden? Hvordan øges chancerne for at få en investering igennem, og hvad har ledelsens fokus? - det hjælper med en god business case (cost/benefit) • Ledelse • Ledelse • Ledelse Ledelse • Ledelse • Er investeringen nødvendig? • Hvilke fordele giver det os? • Compliance krav • Forretningsmæssige fordele • Lavere omkostninger ved færre incidents • Optimering af forretningsgange (klare ansvar og roller) Passer investeringen ind i virksomhedens strategi? • Hvordan kan løsningen understøtte virksomhedens strategi Hvordan nedbringer investeringen omkostningerne? • Incidents forekommer ofte pga. menneskelige fejl, ikke tekniske, og investering kan muligvis klares med nye procedurer, awareness o.l. Kræver løsningen tekniske investeringer, laves evt. en ROSI Hvordan kan vi være sikre på, at målet nås? • Sæt klare mål for, hvad der skal nås, evt. gennem KPI´er Hvilke risici er forbundet med løsningen? • Mulige risici og dermed manglende målopfyldelse. Problemet er ikke, at ledelsen ikke ønsker at investere i it-sikkerhed, men at den enten ikke er informeret om risici, eller at du ikke kan tale samme sprog som ledelsen. Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Informationssikkerhed er ledelsens ansvar ! It-anvendelsen er blevet en strategisk ”enabler”, og dermed også en forudsætning for at nå forretningsmæssige og organisatoriske mål. Dertil kommer udfordringer med øgede regulatoriske og juridiske krav, behov for at sikre integritet og kontinuitet af forretningsprocesser. CIA er stadig fundamentet for it-sikkerhed (Confidentiality, Integrity , Availiblity), men boardet skal forstå, at informationssikkerhed er kritisk for virksomheden og stille krav om løbende opdateringer om status på itsikkerheden. It-anvendelsen er blevet kritisk, og der står mere på spil end CIA, med friske eksempler fra eksempelvis Se&Hør og den amerikanske detailkæde Target, hvor kortdata og personlige data på over 100 mio. kunder blev lækket, og både CEO og CIO afskediget. En vellykket implementering og håndtering af informationssikkerhed kræver, at ledelsen forstår, • • • • • 18 og erkender ansvaret for it-sikkerhed at en stabil og sikker drift er en forudsætning for at drive forretning at der er risici forbundet med at drive it (kend din risikoappetit) at manglende sikkerhed kan ramme forretningen at manglende sikkerhed kan ramme personligt. Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Informationssikkerhed er ledelsens ansvar ! Ledelsen bestemmer sikkerhedsniveauet og risikovillighed Ledelsen skal sikre, at der er udarbejdet retningslinjer til sikring af, at virksomhedens informationsaktiver er tilstrækkeligt beskyttede Kun ledelsen kan prioritere og udstikke retningslinjer for investeringer til informationssikkerhed Informationssikkerhed omfatter hele organisationen, men ledelsen skal sikre, at der er etableret et kontrolapparat der integrerer teknologi, procedurer og menneskelig adfærd på en måde som sikrer, at målene nås Hele organisationen står over for en risiko i tilfælde af et sikkerhedsbrud. Ledelsen er ansvarlig i forhold til omdømme, indtjening og overlevelse og skal derfor sikre, at virksomheden kender og håndterer informationsrisici Ledelsen bærer ansvaret for, at virksomheden lever op til lov- og kontraktlige krav, eksempelvis Persondataloven PCI SOX EU data Privacy Regulation (på vej) • Pligt til offentliggørelse af brud på it-sikkerhed • Krav om ”Data Protection Officer” • Store bøder • Hæfte Outsourcingbekendtgørelsen (i.f.m. Cloud computing) Lov om finansielle virksomheder Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Ledelsen bestemmer sikkerhedsniveauet Revision compliance Security Ledelse Medarbejdere Ledelsen bestemmer hvor blødt man vil lande (risikoappetit) Dansk Supermarked | Danish Supermarket Business value ITS | It-sikkerhed Informationssikkerhed er ledelsens ansvar ! CEO Med det nye EU direktiv på vej, kan datasjusk give kæmpebøder og måske sende ledelsen i fængsel? (EU Data Privacy Regulation) Dårlig styring af it-sikkerhed kan give dig problemer 21 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Informationssikkerhed er ledelsens ansvar ! Aktionærerne vil ikke holde en databaseadministrator ansvarlig for et sikkerhedsbrud, men vil altid holde ledelsen ansvarlig. Det gælder også for lovovertrædelser. Vil pressen gerne have en udtalelse fra ledelsen Bliver virksomheden kompromitteret 22 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Senior management er ikke it-sikkerhedsfolk 10001100 Øh? Ledelsen føler sig måske ofte lidt ukomfortable ved os sikkerhedsfolk, og taler vi til dem i tekniske termer, forstår de os måske ikke. Anvend ikke Ja/Nej spørgsmål. ”Er I interesseret i mit forslag om en IDS løsning?” ” Hvilke fordele ville vi kunne opnå hvis vi kunne stoppe hackere, før de kom ind i vores netværk”? Når du stiller et spørgsmål, så ti stille og vent på et svar. Undgå retoriske spørgsmål. ”Vil vore aktionærer ikke ønske at vi var beskyttet mod hackere”? Brug øjne og ører for at få styr på, hvor du har dine tilhørere, og husk på, at kun 7% af meddelelser er relateret til selve meddelelsen. 38% vedfører dit tonefald, og 55% vedrører dit kropssprog. 23 Dansk Supermarked | Danish Supermarket 7% 38% 55% ITS | It-sikkerhed Få ledelsen i tale Hvad får ledelsen til at kunne lide dig? Ingen Tech-Talk, ingen buzz-words (imponerer ikke ledelsen, men irriterer i stedet) Mød dem i deres ”uniform” Hav fokus på forretningsmæssige aspekter – ikke tekniske Formuler´ dig kort og præcist og hold dig til faktuelle/reelle emner Vær naturlig og afslappet. Det er mennesker ligesom dig. Fat dig i korthed – ledelsen har travlt med vigtigere ting på dagsordenen 24 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Topledelsen har fokus på forretning Topledelsen er interesseret i forretningen, ikke i informationssikkerhed. Det er ikke sikkert at du hver gang får en investering igennem, men ledelsen er nødt til at vide, hvilken risiko den løber ved ikke at investere i et givet projekt. Hvor stor ledelsens risikoappetit er afhænger bl.a. af, hvad ledelsen vil acceptere for at nå de strategiske mål. Fortæl om benefits – ikke om features. En benefit er værdien af en feature, en feature er en egenskab ved et produkt/service. Folk køber benefits , ikke features. Det sælger bedre at fortælle, at bilen kan accelerere hurtigere end de fleste biler, end at den har 200 HK. Få indsigt i, hvordan ledelsen er sammensat: • Beslutningsprocedurer • Hvem bestemmer • Centraliserede beslutninger (formanden bestemmer) • Gruppebeslutninger • Lær ledelsen at kende og find dine sympatisører 25 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Boardet har et governance ansvar i relation til it-sikkerhed. • • • • • • Ledelsen er ligeglad med, hvor mange patches der er implementeret eller at man fanger 99,999% af virus Ledelsen ønsker at få forretningsrelateret information Fortæl ledelsen om nedetid på grund af sikkerhedsproblemer Fortæl ledelsen hvad der blev gjort i.f.m. det sidste nedbrud Fortæl ledelsen hvordan it-miljøet overvåges for at reagere hurtigere på nye trusler Fortæl ikke ledelsen om tekniske udfordringer som de ikke har nogen interesse i. Hvis ledelsen er fraværende eller sidder og SMS´er, eller er nogle faldet i søvn, er din præsentation nok ikke god nok. Er ledelsen stadig ikke overbevist? 27 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed EU regler om databeskyttelse på vej Dubex • Manglende overholdelse af regler bøder op til 5% af omsætning • I tilfælde af datalækage er organisationen forpligtet til at rapportere relevante myndigheder om sikkerhedsbrud • Nødvendige tiltag for at implementere compliance-procedurer og politikker, som skal evalueres hvert andet år • En grundig gennemgang af eksisterende sikkerhed og databeskyttelse, politikker og procedurer inklusiv træning af medarbejdere • Bestyrelsens ansvarsområde, der omfatter stillingtagen til strategiske og forretningsmæssige risici samt virksomhedens risikostyring. • Direktionens ansvarsområde, der omfatter identifikation og vurdering af væsentlige risici samt at følge udviklingen inden for væsentlige risikoområder. Direktionen skal kommunikere til bestyrelsen, herunder om tiltag og handlingsplaner. • Krav om Data Protection Officer, som rapporterer og refererer direkte til ledelsen uden om den øvrige organisation (afhængig af virksomhedens størrelse) 28 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed Det handler om compliance og om at skabe værdi for forretningen • • • • • • • • • Sig ikke nej blot fordi regelsættet siger det. Forretningen flytter sig hele tiden, og det kræver løbende tilpasning/justering af retningslinjerne Find ud af, hvordan forretningen fungerer og hvor it-afhængigheden er stor og skab et overblik over risikobilledet Få ledelsen til at forstå, at risici (og dermed forretningsrisici) øges i takt med ibrugtagen af ny teknologi, men skræm den ikke Vær synlig og tilstedeværende Hav mod til at sige din mening, selvom du måske bliver upopulær hos nogle Find dine sympatisører Find en måde til at holde ledelsen orienteret om det aktuelle risikobillede, og giv den mulighed for at træffe beslutninger ud fra den information du giver Informer kun ledelsen om relevante ting Forretningen kigger konstant efter nye løsninger og muligheder. Vær business enabler og medvirk proaktivt til at sikre, at disse muligheder implementeres forsvarligt Mobile enheder, big data og cloud er kommet for at blive – det er du muligvis ikke, hvis forretningen opfatter dig som business disabler (omkostning), og ikke business enabler 29 Dansk Supermarked | Danish Supermarket ITS | It-sikkerhed 30 Dansk Supermarked | Danish Supermarket
© Copyright 2024