ISACAkvällseminarium. Granskning av kontinuitetsplaner. Quentin Authelet Informationssäkerhet och IT-governance

Storlek: px

Starta visningen från sidan:

Download "ISACAkvällseminarium. Granskning av kontinuitetsplaner. Quentin Authelet Informationssäkerhet och IT-governance 2015-06-01"

Lina Olofsson
för 8 år sedan
Visningar:

1 ISACAkvällseminarium Granskning av kontinuitetsplaner Quentin Authelet Informationssäkerhet och IT-governance

2 Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 1

Management Ramverk Organisation Riskapproach Revision av BCP

3 Kontinuitetsbegrepp Kontinuitetsramverk Kontinuitetsramverk (process, mallar, roller och mandat, samt rutinbeskrivningar) Beslutsramverk och kommunikationsplan Kontinuitetsplan En plan för att säkra verksamhetens leveransförmåga. Krisplaner/beredskapsplaner Dokumenterad plan utgående från specifika scenarier innehållande åtgärder som bör vidtas vid akuta situationer för att så fort som möjligt kunna återställa verksamheten. Återställningsplan Checklistor för IT vid för att återställa verksamheten till normal drift. 2

Krisplaner/beredskapsplaner Dokumenterad plan utgående från specifika scenarier innehållande åtgärder som bör vidtas vid akuta

4 Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 3

5 BCM-ramverk BC-policy BIA RA Strategi Kontinuitetsplan Krisplaner Utbildning Övning Revision & granskning 4

6 Kontinuitetspolicy Krav och standard Riskhantering Krisorganisation Beslutsgång, eskaleringsvägar, roller och ansvar Hantering av incidenter, kriser och katastrofer Kommunikation med kunder, myndigheter, media och samarbetspartner Genomgång 5

ansvar Hantering av incidenter, kriser och katastrofer

7 Standard och regulatoriska krav Exempel på standard och krav SS-ISO/ISO 27001, standarden för informationssäkerhet SS-ISO/IEC 27031, standarden för kontinuitetshantering SS-ISO/IEC 22301, standarden för ledningssystem för kontinuitet FFFS 2014:4, Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker 6

kontinuitetshantering SS-ISO/IEC 22301, standarden för ledningssystem för

respons Åberopa kontinuitets- /krisplan Implementering Implementering Hantering av planer

8 BCM-organisation Styrelse Sponsring av BCM-ramverk Finansiering Awareness Policy/strategi BC-process Koordinering av resurser Ledningsgruppen Krishantering Vägledning/roadmap Initial respons Åberopa kontinuitets- /krisplan Implementering Implementering Hantering av planer Koordinering av övningar Underhållning av planer Kontinuitetsteam Verkställa planer Rapportering Rapportering Verksamhet IT 7

9 Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 8

10 Konsekvensanalys Processteg och stödsystem (ex: löneprocess) Registration of salary data Time management Preliminary payroll run Final payroll run Disbursement epayroll Populum Time Report Account PR Analyst Bank Business critical Important Low impact 9

run Final payroll run Disbursement epayroll Populum Time Report

11 Likelihood of occurrence Riskanalys Almost Certain 61 Risks 63 Time report down before payroll run Likely Moderate epayroll not available 86 Receiving inaccurate information 61 Internal and external communication not working Unlikely Lower workers' loyalty Rare Not able to pay salaries due to IT system/integration disruption 62 Bank dependency Insignificant < Minor < Moderate < Magnitude of impact Major < High >

12 Second phase Level of risk (impact *likelihood) First phase Prioritering av mitigeringsaktiviteter High Suggested prioritization of mitigation activities 63a Investigate possibilities of implementing system redundancy. 63a 63c 59b 59c 63b 59a 63c 59b Review the time reporting process to identify possible improvements and increase flexibility in relation to the Payroll process. Establish a plan for the recruitment of temporary work force to assisting in handling extra work load after an outage. 59c Keep a local copy of the latest salary records. Low Small <50 K Medium K Large 200 K 1 M Cost of implementation Extra large >1 M 63b 59a Formalise internal and external communication and action plans, in the context of the development of an incident management process. Evaluate application support options in cooperation with service providers/vendors. 11

Establish a plan for the recruitment of temporary work force to assisting in handling extra work load after an outage. 59c Keep a local copy of the latest salary records.

13 Kontinuitetsstrategi Aktiviteter Q framtid Risk process för säk Informationslivscykel Kontinuitets process Etablera kontinuitetsramverk Utb. plan Kommunikationsplan Info klassning Utb. RA/BIA Hot, sårbarhet, omvärldsanalys Uppd. risk DB Riskåtgärder Utb. RA/BIA Uppd. risk DB Riskåtgärder Temps. rekruteringsplan Löneprocess Lokal kopia Förbättra TR-process Redundans IT-processer Lokal AD-replika Incidenthanteringsprocess SSO-integration Logganalys IT kontroll övervakning 12

RA/BIA Hot, sårbarhet, omvärldsanalys Uppd. risk DB Riskåtgärder Utb. RA/BIA Uppd. risk DB Riskåtgärder Temps.

14 Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 13

15 Krisplaneringsbegrepp Nödrutin Vidtas när en händelse upptäcks Reservrutin Eventuellt flytta funktionens verksamhet eller stödfunktioner till alternativa, tillfälliga lokaler/processer Temporär rutin Fortgå utan systemstöd/process för att säkerställa fortsatt verksamhet Återställningsrutin Återhämtning och återställning av verksamheten vid återupptaget drift/funktion 14

Temporär rutin Fortgå utan systemstöd/process för att säkerställa fortsatt verksamhet

16 Kontinuitetsplan Förvaltningsförmåga = preventiva kontroll Beredskapsscenarier Kristeam Eskaleringsvägar Roller och ansvar Verktyg 15

17 Kris- och katastrofplaner Krisberedskapsförmåga = återställande kontroll Kontaktlista Krisledningsgrupp för risken Kommunikationsplan Nödrutin Reservrutin Temporär driftsrutin Återställanderutin 16

Krisledningsgrupp för risken Kommunikationsplan

18 Kristyper Normal accidents Abnormal accidents Natural Accidents Economic Crisis Physical Crisis Personnel Crisis Criminal Crisis Information Crisis Reputation Crisis Natural disasters Recessions Industrial accidents Strikes Product tampering Theft of proprietary information Rumour mongering or slander Earthquakes Stock Market Crashes Supply breakdowns Exodus of key personnel Kidnapping or hostage situations Tampering with company records Logo tampering Floods Hostile Takeovers Product failures Workplace violence or vandalism Acts of terrorism Cyber attacks Fires From Preparing for Evil by Ian Mitroff and Murat Alpaslan 17 17

19 Tester Testmodeller Skrivbordsövning Krisledare går igenom krisplanen stegvis tillsammans med verksamhetsrepresentanter för att säkerställa planens giltighet. Simulering Hela krisgruppen samlas med representanter från verksamheten och eventuella samarbetspartners för genomgång av krisplanen i ett tänkt scenario där processens frånvaro simuleras. Fullt test Krisgruppen förbereder och genomför ett avbrottsscenario där avbrotten genomförs fysiskt (dock planerat) för att testa krisplanerna i ett så realistiskt scenario som möjligt. 18

Simulering Hela krisgruppen samlas med representanter från verksamheten och eventuella samarbetspartners för genomgång av krisplanen

20 Förvaltning och efterlevnad: Underhåll av krisplan Treårig underhållsplan Uppdatering och förbättring av kontinuitetsplaner Vår Höst Vår Höst Vår Höst Genomgång av mätvärden Genomgång av kontinuitetsplanen, förmedlande av ändringar i mallarna. Skrivbordsövning med representanter från enheten samt krisledare. Simulering av kontinuitetsplaner för affärsprocess X. Utvärdering. Simulering av kontinuitetsplaner för affärsprocess Y. Utvärdering. Simulering av kontinuitetsplaner för infrastruktur och IT-processer. Utvärdering. 19

Skrivbordsövning med representanter från enheten samt krisledare. Simulering av kontinuitetsplaner för affärsprocess X. Utvärdering.

21 Förvaltning och efterlevnad: Mätvärden och uppföljning Mätvärden för krisberedskap och återhämtningsförmåga 1. Procent av verksamhetskritiska processer som täcks av kontinuitetsplaner 2. Procent av verksamhetskritiska processer som täcks av årliga kontinuitetstester Förändring % 3. Antal kontinuitetstester som fallerar 4. Antal tredjepartsleverantörer där överenskommelse om kontinuitetsplanering saknas 5. Antal revisioner som sker av kontinuitetsplanerna 6. Antal incidenter i verksamheten som eskalerats till krisledningen 7. Andel av personal som har gått kontinuitetsutbildning 20

22 Förvaltning och efterlevnad: Förvaltningsorganisation Vem ansvarar för att ramverket och krisplanerna hålls uppdaterade? Vem inför identifierade förbättringar? Vem ansvarar för att testerna genomförs och utvärderas? Hur ofta träffas kontinuitetskommittén för att diskutera och klargöra ändringar i kontinuitetsplanen? Utvärderas även uppföljning av genomförda tester och målstyrningen utifrån etablerade mätvärden? 21

23 Tack! Presenterad av Quentin Authelet

24 2015 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.

Relevanta dokument

Privattandläkarna. Erbjudande till medlemmar Redovisningstjänster. För mer information kontakta

Privattandläkarna. Erbjudande till medlemmar Redovisningstjänster. För mer information kontakta Privattandläkarna Erbjudande till medlemmar Redovisningstjänster För mer information kontakta 2016 Magnus Jansson Privattandläkarna magnus.jansson@ptl.se 08-555 44 625 Birgitta Daniels KPMG birgitta.daniels@kpmg.se