Informationssikkerhed på ledelsens agenda

ITS | It-sikkerhed
Informationssikkerhed på ledelsens agenda
- Ledelsesengagement omkring informationssikkerhed
Allan Fabricius, It-sikkerhedschef, Dansk Supermarked A/S
1
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Hvordan sælger man it-sikkerhed til ledelsen?
Som at sælge sand i Sahara?
2
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Dansk Supermarked
Nøgletal
▪
Omsætning 2013
57 mia kr
▪
Resultat
▪
Markedsandel Danmark
▪
Antal medarbejdere:
▪
Danmark:
▪
Udland:
2,4 mia kr
34%
42.000
33.000
9.000
(Sverige, Tyskland, Polen, England)
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Kæder, stormagasiner og storcentre
88 føtex varehuse, heraf 7 føtex Food
18 Bilka varehuse
1170 Netto butikker
▪ Danmark: 438
▪ Tyskland: 340
▪ Polen: 246
▪ Sverige 146
▪ England (under opstart)
2 Salling stormagasiner
1 A-Z varehus
2 Storcentre
▪ Storcenter Nord
▪ Næstved Storcenter
Dansk Supermarked | Danish Supermarket
4
ITS | It-sikkerhed
Informationssikkerhed på ledelsens agenda
Ledelsesengagement omkring informationssikkerhed
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Det handler om forretningsrisici, omdømme, regulativer og indtjening
Topledelsen forstår lidt om, og er ikke interesseret i it-risici. Topledelsen forstår forretningsrisici og
vil hellere tale om bundlinje end om sikring af en webserver mod SQL injection.
Har du brug for en Web Application Firewall skal du ikke bruge tid på at fortælle om dens
mange finesser, men informer ledelsen om, hvad et nedbrud på jeres web-site koster, og at
investeringen kan mindske denne forretningsrisiko betragteligt.
Find de kritiske/sårbare forretningsprocesser og hvilke it-risici der truer dem. Map disse risici op
mod forretningsrisici og orienter ledelsen herom på forretningssprog.
Når ledelsen forstår at manglende itsikkerhed kan ramme både forretning og
ledelsen personligt, så lytter man til dig.
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Hvordan ser topledelsen på it-sikkerhed?
Antal af åbne revisionsfindings?
Styr på antivirus og patch management (ingen malware = ingen risici)
Styr på hvem der har adgang til systemer og data?
Styr på beredskabsplanlægning og Business Continuity management?
Intet nyt er godt nyt
IT-sikkerhed opfattes som et it-anliggende og ikke et forretningsanliggende
Hvad motiverer ledelsen?
Afhænger i høj grad af situation/branche
Lovmæssige krav
Mediefokus på specifikke sårbarheder (f.eks. Ddos, Java)
Virksomheden/naboen rammes af en sårbarhed (hacking)
Gennem dialog med ”ligesindede” eller gennem netværk
Hotte emner (Nets/Se&Hør, kreditkortsvindel)
Meget gode argumenter fra sikkerhedsafdelingen
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Vi har forskellige syn på it-sikkerhed
- Lignelsen om de blinde mænd
CISO
Hver person beskriver en
sandhed, og fordi deres sandhed
kom af personlig erfaring, holdt
de hver især på, hvad de vidste.
Utopi at tro, at CEO, CFO, CIO og
CISO deler samme opfattelse af
it-sikkerhed, men de kan alle have
ret. Det afhænger af brillerne der
ser.
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Hvordan ser topledelsen på it-sikkerhed?
Udfordringen
Topledelsen forstår ikke it – den ved bare at it skal virke
Svært at få ”foretræde” for topledelsen
Svært at få midler til forebyggende it-sikkerhed for at forhindre noget som ikke er sket
endnu
Svært at måle effekten af forebyggende tiltag
Svært at forklare komplekse problemstillinger til topledelsen
Svært at kommunikere i tekniske termer til topledelsen
It (og dermed it-sikkerhed) opfattes ofte som et cost center, og ledelsen
har megen fokus på at minimere omkostninger
It-sikkerhed opfattes som et nødvendigt onde (paranoide) og ikke som en business
enabler
Handler det mere om overtalelse og være i stand til at navigere
i et politisk minefelt, end om at bekæmpe skurke?
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Udfordringer ved forskellige organisatoriske placeringer
af it-sikkerhedsfunktionen
Board
Board
CEO
CEO
Information
Security
CIO
CFO
CIO
Driftschef
Department
manager
Teamlead
Dig
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Udfordringer ved forskellige organisatoriske placeringer
af it-sikkerhedsfunktionen
Høj
CEO
CEO
Information
Security
CIO
CEO
CFO
Information
Security
CFO
Information
Security
CIO
Prioritet
CIO
CFO
Commitment
(top down)
No commitment
(buttom up)
CFO
lav
CEO
CEO
CIO
It-driftschef
Information
Security
Dansk Supermarked | Danish Supermarket
CFO
CIO
Itdriftschef
Security
ITS | It-sikkerhed
Hvordan får man kontakt til ledelsen?
Ledelse
CIO
CISO
It-sikkerhedsudvalg
CEO
CIO
CISO
Dansk Supermarked | Danish Supermarket
CFO
It-drift
HR
ITS | It-sikkerhed
Forskellige interessenter har forskellige interesseområder
og taler forskellige sprog
Board
Security
•
•
•
•
•
•
•
•
Vækststrategi
Konkurrenter
Bundlinje
Markeder /markedsandele
Nøgletal (EBIT/ROIC)
Forrentning af egenkapital
Pengestrøm
O.m.a.
•
•
•
•
•
•
•
•
•
•
•
•
ISO 27001, ISO 27005
DRM, BCM
Disaster recovery
802.1.x
Firewalls, IPS, IDS, WAF
DDos,
OWASP
AD, SSO
IPV6
PCI DSS compliance
Segregation of duties
O.m.a.
Dansk Supermarked | Danish Supermarket
Kommunikation kan være en svær størrelse.
Hensynet til modtageren er afgørende i al
formidling
ITS | It-sikkerhed
Gode historier i medierne hjælper
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Gode historier kunne være din virksomhed !
Falsk positiv
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Forstår ledelsen og du hinanden?
- Der skal mindst 2 til en misforståelse – og den går begge veje
Dig:
”Topledelsen forstår ikke, hvilke it-risici den står over for”
Topledelse:
”It-sikkerhed forstår ikke, hvad der er væsentligt for forretningen”
It-risici skal mappes til forretningsrisici !
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Forstår ledelsen og du hinanden?
Hvordan øges chancerne for at få en investering igennem, og hvad har ledelsens fokus?
- det hjælper med en god business case (cost/benefit)
•
Ledelse
•
Ledelse
•
Ledelse
Ledelse
•
Ledelse
•
Er investeringen nødvendig?
•
Hvilke fordele giver det os?
•
Compliance krav
•
Forretningsmæssige fordele
•
Lavere omkostninger ved færre incidents
•
Optimering af forretningsgange (klare ansvar og roller)
Passer investeringen ind i virksomhedens strategi?
•
Hvordan kan løsningen understøtte virksomhedens strategi
Hvordan nedbringer investeringen omkostningerne?
•
Incidents forekommer ofte pga. menneskelige fejl, ikke tekniske, og investering
kan muligvis klares med nye procedurer, awareness o.l. Kræver løsningen
tekniske investeringer, laves evt. en ROSI
Hvordan kan vi være sikre på, at målet nås?
•
Sæt klare mål for, hvad der skal nås, evt. gennem KPI´er
Hvilke risici er forbundet med løsningen?
•
Mulige risici og dermed manglende målopfyldelse. Problemet er ikke, at
ledelsen ikke ønsker at investere i it-sikkerhed, men at den enten ikke er
informeret om risici, eller at du ikke kan tale samme sprog som ledelsen.
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Informationssikkerhed er ledelsens ansvar !
It-anvendelsen er blevet en strategisk ”enabler”, og dermed også en forudsætning for at nå forretningsmæssige og
organisatoriske mål. Dertil kommer udfordringer med øgede regulatoriske og juridiske krav, behov for at sikre integritet og
kontinuitet af forretningsprocesser.
CIA er stadig fundamentet for it-sikkerhed (Confidentiality, Integrity , Availiblity), men boardet skal
forstå, at informationssikkerhed er kritisk for virksomheden og stille krav om løbende opdateringer om status på itsikkerheden. It-anvendelsen er blevet kritisk, og der står mere på spil end CIA, med friske eksempler fra eksempelvis
Se&Hør og den amerikanske detailkæde Target, hvor kortdata og personlige data på over 100 mio. kunder blev
lækket, og både CEO og CIO afskediget.
En vellykket implementering og håndtering af informationssikkerhed kræver, at ledelsen forstår,
•
•
•
•
•
18
og erkender ansvaret for it-sikkerhed
at en stabil og sikker drift er en forudsætning for at drive forretning
at der er risici forbundet med at drive it (kend din risikoappetit)
at manglende sikkerhed kan ramme forretningen
at manglende sikkerhed kan ramme personligt.
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Informationssikkerhed er ledelsens ansvar !
Ledelsen bestemmer sikkerhedsniveauet og risikovillighed
Ledelsen skal sikre, at der er udarbejdet retningslinjer til sikring af, at virksomhedens
informationsaktiver er tilstrækkeligt beskyttede
Kun ledelsen kan prioritere og udstikke retningslinjer for investeringer til informationssikkerhed
Informationssikkerhed omfatter hele organisationen, men ledelsen skal sikre, at der er etableret et
kontrolapparat der integrerer teknologi, procedurer og menneskelig adfærd på en måde som
sikrer, at målene nås
Hele organisationen står over for en risiko i tilfælde af et sikkerhedsbrud. Ledelsen er ansvarlig i
forhold til omdømme, indtjening og overlevelse og skal derfor sikre, at virksomheden kender og
håndterer informationsrisici
Ledelsen bærer ansvaret for, at virksomheden lever op til lov- og kontraktlige krav, eksempelvis
Persondataloven
PCI
SOX
EU data Privacy Regulation (på vej)
• Pligt til offentliggørelse af brud på it-sikkerhed
• Krav om ”Data Protection Officer”
• Store bøder
• Hæfte
Outsourcingbekendtgørelsen (i.f.m. Cloud computing)
Lov om finansielle virksomheder
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Ledelsen bestemmer sikkerhedsniveauet
Revision
compliance
Security
Ledelse
Medarbejdere
Ledelsen bestemmer
hvor blødt man vil
lande (risikoappetit)
Dansk Supermarked | Danish Supermarket
Business
value
ITS | It-sikkerhed
Informationssikkerhed er ledelsens ansvar !
CEO
Med det nye EU direktiv på vej, kan
datasjusk give kæmpebøder og måske
sende ledelsen i fængsel?
(EU Data Privacy Regulation)
Dårlig styring af it-sikkerhed kan give dig problemer
21
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Informationssikkerhed er ledelsens ansvar !
Aktionærerne vil ikke
holde en
databaseadministrator
ansvarlig for et
sikkerhedsbrud, men vil
altid holde ledelsen
ansvarlig.
Det gælder også for
lovovertrædelser.
Vil pressen gerne have
en udtalelse fra ledelsen
Bliver virksomheden kompromitteret
22
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Senior management er ikke it-sikkerhedsfolk
10001100
Øh?
Ledelsen føler sig måske ofte lidt
ukomfortable ved os sikkerhedsfolk, og
taler vi til dem i tekniske termer, forstår
de os måske ikke.
Anvend ikke Ja/Nej spørgsmål.
”Er I interesseret i mit forslag om en IDS løsning?” 
” Hvilke fordele ville vi kunne opnå hvis vi kunne stoppe hackere, før de
kom ind i vores netværk”? 
Når du stiller et spørgsmål, så ti stille og vent på et svar. Undgå retoriske
spørgsmål.
”Vil vore aktionærer ikke ønske at vi var beskyttet mod hackere”? 
Brug øjne og ører for at få styr på, hvor du har dine tilhørere, og husk
på, at kun 7% af meddelelser er relateret til selve meddelelsen. 38%
vedfører dit tonefald, og 55% vedrører dit kropssprog.
23
Dansk Supermarked | Danish Supermarket
7%
38%
55%
ITS | It-sikkerhed
Få ledelsen i tale
Hvad får ledelsen til at kunne lide dig?
Ingen Tech-Talk, ingen buzz-words (imponerer ikke ledelsen, men irriterer i stedet)
Mød dem i deres ”uniform”
Hav fokus på forretningsmæssige aspekter – ikke tekniske
Formuler´ dig kort og præcist og hold dig til faktuelle/reelle emner
Vær naturlig og afslappet. Det er mennesker ligesom dig.
Fat dig i korthed – ledelsen har travlt med vigtigere ting på dagsordenen
24
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Topledelsen har fokus på forretning
Topledelsen er interesseret i forretningen, ikke i informationssikkerhed. Det er ikke sikkert at du hver gang får en investering
igennem, men ledelsen er nødt til at vide, hvilken risiko den løber ved ikke at investere i et givet projekt. Hvor stor ledelsens
risikoappetit er afhænger bl.a. af, hvad ledelsen vil acceptere for at nå de strategiske mål.
Fortæl om benefits – ikke om features.
En benefit er værdien af en feature, en feature er en egenskab ved et produkt/service. Folk køber benefits , ikke features.
Det sælger bedre at fortælle, at bilen kan accelerere hurtigere end de fleste biler, end at den har 200 HK.
Få indsigt i, hvordan ledelsen er sammensat:
• Beslutningsprocedurer
• Hvem bestemmer
• Centraliserede beslutninger (formanden
bestemmer)
• Gruppebeslutninger
• Lær ledelsen at kende og find dine sympatisører
25
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Boardet har et governance ansvar i relation til it-sikkerhed.
•
•
•
•
•
•
Ledelsen er ligeglad med, hvor mange patches der er implementeret eller at man fanger 99,999% af
virus
Ledelsen ønsker at få forretningsrelateret information
Fortæl ledelsen om nedetid på grund af sikkerhedsproblemer
Fortæl ledelsen hvad der blev gjort i.f.m. det sidste nedbrud
Fortæl ledelsen hvordan it-miljøet overvåges for at reagere hurtigere på nye trusler
Fortæl ikke ledelsen om tekniske udfordringer som de ikke har nogen interesse i. Hvis ledelsen er
fraværende eller sidder og SMS´er, eller er nogle faldet i søvn, er din præsentation nok ikke god nok.
Er ledelsen stadig ikke
overbevist?
27
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
EU regler om databeskyttelse på vej
Dubex
• Manglende overholdelse af regler bøder op til 5% af
omsætning
• I tilfælde af datalækage er organisationen forpligtet til at
rapportere relevante myndigheder om sikkerhedsbrud
• Nødvendige tiltag for at implementere compliance-procedurer
og politikker, som skal evalueres hvert andet år
• En grundig gennemgang af eksisterende sikkerhed og
databeskyttelse, politikker og procedurer inklusiv træning af
medarbejdere
• Bestyrelsens ansvarsområde, der omfatter stillingtagen til
strategiske og forretningsmæssige risici samt virksomhedens
risikostyring.
• Direktionens ansvarsområde, der omfatter identifikation og
vurdering af væsentlige risici samt at følge udviklingen inden for
væsentlige risikoområder. Direktionen skal kommunikere til
bestyrelsen, herunder om tiltag og handlingsplaner.
• Krav om Data Protection Officer, som rapporterer og refererer
direkte til ledelsen uden om den øvrige organisation (afhængig
af virksomhedens størrelse)
28
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
Det handler om compliance og om at skabe værdi for forretningen
•
•
•
•
•
•
•
•
•
Sig ikke nej blot fordi regelsættet siger det. Forretningen flytter sig hele tiden, og det
kræver løbende tilpasning/justering af retningslinjerne
Find ud af, hvordan forretningen fungerer og hvor it-afhængigheden er stor og skab et
overblik over risikobilledet
Få ledelsen til at forstå, at risici (og dermed forretningsrisici) øges i takt med ibrugtagen
af ny teknologi, men skræm den ikke
Vær synlig og tilstedeværende
Hav mod til at sige din mening, selvom du måske bliver upopulær hos nogle
Find dine sympatisører
Find en måde til at holde ledelsen orienteret om det aktuelle risikobillede, og giv den
mulighed for at træffe beslutninger ud fra den information du giver
Informer kun ledelsen om relevante ting
Forretningen kigger konstant efter nye løsninger og muligheder. Vær business enabler
og medvirk proaktivt til at sikre, at disse muligheder implementeres forsvarligt
Mobile enheder, big data og cloud er kommet for at blive – det er du muligvis ikke,
hvis forretningen opfatter dig som business disabler (omkostning), og ikke business enabler
29
Dansk Supermarked | Danish Supermarket
ITS | It-sikkerhed
30
Dansk Supermarked | Danish Supermarket