R O B E R T M U N G E N A S T SAMMANFATTNING

Transkript

1 CV R O B E R T M U N G E N A S T Född: 3 oktober 1969 Bor: Åkersberga, Stockholm Mobil: E-post: robert@mungenast.se Webb: SAMMANFATTNING Idag Jag arbetar idag som Informations- och IT-säkerhetschef (CISO) på koncernnivå för Lantmännen Ekonomisk Förening. Koncernen består av cirka 150 bolag i ett tjugotal länder, har omkring anställda och omsätter runt 35 miljarder SEK per år. Rollen som CISO omfattar ansvaret för informationssäkerheten inom hela koncernen såväl som säkerheten i och runt samtliga IT-system som koncernens centrala IT-avdelning ansvarar för. Jag har inom ramen för mitt uppdrag byggt upp Lantmännens koncerngemensamma organisation för informations- och IT-säkerhet och definierat såväl arbetssätt som ansvarområden. Jag är också medlem i ledningsgruppen för koncernens IT-avdelning och är därigenom starkt involverad i den övergripande utvecklingen och ledningen av IT inom Lantmännen. Gruppen hanterar i huvudsak strategiska, taktiska och organisatoriska frågor, men följer även upp på operativ nivå. Lantmännen har en hög grad av outsourcing inom IT, varför frågor runt avtal och leverantörsstrategier är vanliga. I tillägg till mitt huvudsakliga uppdrag har jag även fått ansvar för såväl operationella risker som IT-sidan av Lantmännens process för förvärv och avyttring av bolag (M&A). Det sistnämnda inkluderar ansvar för samordning och genomförande av både Due Diligence och Post Deal Integration för IT. Inom båda områdena har jag byggt upp ramverk och metodiker. Bakgrund Jag har flerårig erfarenhet av design, implementation och förvaltning inom den tekniska sidan av IT-säkerhet, med en bakgrund som nätverksdesigner och tekniker med säkerhetsfokus. Jag har därefter genom åren vidgat mitt kompetensområde till att omfatta ett brett spann inom IT-styrning och strategi, Risk Management, Informationssäkerhet, ITsäkerhet, IT-revision samt M&A ur ett IT-perspektiv. Jag har arbetat med de flesta aspekter av styrning och ledning inom IT, och med många olika delar av riskområdet. Jag har under min karriär haft såväl granskande som implementerande och förvaltande roller. I och med den förändrade karaktären av IT under de senaste åren har jag också utvecklat min kompetens inom flera områden, som avtalsprocesser, hantering av operationella risker och PUL-relaterade frågor. Kontroller handlar idag mer om leverantörskontakter och utvärdering av externa parter. Min kompetens i kombination med en god förmåga att samarbeta och leda har gett mig chansen att arbeta som ledare i olika befattningar; allt från att ansvara för komplexa projekt inom IT-området eller vara chef för en grupp konsulter till att leda och utveckla en växande organisation inom Informations- och IT-säkerhet på Lantmännen. Min erfarenhet och förmåga i chefsrollen har vuxit kraftigt under de senaste åren, vilket inte minst har speglats i de roller jag blivit erbjuden och att de grupper jag fått chansen att leda har fungerat mycket bra.

2 ARBETSLIVSERFARENHET Lantmännen Stockholm, Sverige Head of Information and IT Security (CISO och IT-säkerhetschef) Chef för Informations- och IT-säkerhetsgruppen inom Lantmännenkoncernen, en utvidgning av den tidigare IT-säkerhetsfunktionen. Beslutet att utvidga ansvarsområdet till att omfatta även informationssäkerhet fattades av Lantmännens koncernchef i november Uppdraget omfattar förutom framtagande av policy och regelverk, utbildning av användare och bolagsledningar, uppföljning av compliance etc. även att bygga upp och utveckla en organisation och arbetssätt för koncernens informationssäkerhetsarbete och informationsrelaterade riskhantering, samt ansvar för metodik och process för både IT Due diligence och Post Deal Integration i samband med företagsförvärv och -försäljningar. Den utökade rollen innebär fortsatt budget- och personalansvar för koncernens gruppering för informations- och IT-säkerhet, men också ett tydligare uttalat uppdrag och mandat att utöka och styra grupperingens arbetsområden, samt föreslå ytterligare förändringar till koncernledningen. Den ger också möjlighet till och stöd för ett betydligt tätare och mer direkt samarbete med koncernens olika bolag och gemensamma funktioner, avseende bland annat stöd i avtalsprocesser, ägandeskap och utveckling av riskhanteringsprocessen, stöd i verksamheternas kontinuitetsplanering etc. Kommunikation med ledande personer på affärssidan är därför en mycket stor del av mitt arbete. Linjerapportering och funktionsrapportering inom IT-säkerhet sker fortsatt till CIO som medlem i IT:s ledningsgrupp. Rapportering inom informationssäkerhet sker dock direkt till koncernledningen Lantmännen Stockholm, Sverige Manager IS/IT Security (IT-säkerhetschef) Chef för IT-säkerhetsfunktionen på koncernnivå, medlem i ledningsgruppen för IS/IT och högste ansvarig för säkerheten inom informationssystem och IT-miljöer. Rapporterade till CIO. Arbetsuppgifterna omfattade bland annat kravställning internt och mot leverantörer, framtagande, implementering och underhåll av styrande dokument för IT-säkerhet, uppföljning av kravefterlevnad, hjälp och stöd till projekt och löpande verksamhet i genomförande av risk- och konsekvensanalyser, utbildning till användare och kunskapsspridning 2

3 till ledande befattningshavare inom organisationen, deltagande i arbete med tekniska designlösningar inom infrastruktur och informationssystem, medverkan i strategiskt arbete inom ledningsgruppen för koncernens IS/IT-organisation samt ansvar för Lantmännens IT-säkerhetsbudget. Arbetet omfattade i praktiken även informationssäkerhet, då det inom koncernen inte fanns någon med det utpekade ansvaret för vare sig informationssäkerhet eller den övergripande koncernsäkerheten. I rollen som IT-säkerhetschef låg därför även en strategisk komponent som omfattade en långsiktig plan för det övergripande säkerhetsarbetet inom koncernen, och kommunikation av dessa tankar till koncernledningen. Arbetet innebar också ett mycket nära samarbete med de övriga funktionerna inom koncernens IS/IT-avdelning, inklusive starkt engagemang i såväl utveckling som förvaltning av Lantmännens Service Management, projektstyrning, infrastrukturleverans samt applikationsleverans Transcendent Group Stockholm, Sverige Gruppchef inom IT Risk Services samt senior konsult inom IToch informationssäkerhet och IT Governance Gruppchef med personalansvar för fem konsulter. Budget- och försäljningsansvar för gruppen, samt ansvar för Transcendent Groups erbjudande Informationssäkerhet. Fortsatt utförande av konsultuppdrag inom såväl projektledning som granskning, rådgivning, kravställning och implementation. De huvudsakliga fokusområdena var IT- och informationssäkerhet samt teknisk projektledning Transcendent Group Stockholm, Sverige Senior konsult inom IT- och informationssäkerhet samt IT Governance Utförde uppdrag inom såväl projektledning som granskning och rådgivning. De huvudsakliga fokusområdena var IT- och informationssäkerhet samt teknisk projektledning. Utförda uppdrag inkluderar bland annat: Projektledare för ett systemutvecklingsprojekt på ett stort statligt ägt bolag i resebranschen. Uppdraget omfattade fullt budget- och leveransansvar för ett projekt med i genomsnitt tio (tidvis upp till femton) interna deltagare plus ett antal externa leverantörer. Uppdraget sträckte sig över ett år Programgranskning samt riskanalys av tre mycket stora SAPrelaterade program på ett stort företag i telekombranschen. Uppdraget initierades av Audit Committee, och gick ut på att 3

4 identifiera och belysa risker vid en omfattande förändring av företagets SAP-landskap och affärsprocesser, med aktiviteter spridda över flera program Framtagande av detaljerad kravspecifikation på redundant reservdriftsanläggning för större myndighet klassad som samhällsviktig verksamhet. Uppdraget omfattade även att hjälpa myndigheten identifiera och prioritera vilka krav verksamheten faktiskt ställde på IT-stödets tillgänglighet i en katastrofal situation. Granskning av uppfyllande av krav ställda i Certificate Policy Statement samt rådgivning gällande utformning av krav och skydd hos organisation med mycket höga krav på säkerhet Granskning av teknisk säkerhet samt projektstyrning avseende implementation av säker kommunikationslösning på ett försäkringsbolag Intern kvalitetssäkring av flera granskningsrapporter, bland annat gällande strategiska risker och kontroller för införande av Internetbaserade kundtjänster på ett försäkringsbolag samt nätverkssäkerhet på ett stort statligt verk Ansvar för kunderbjudandet IT Due Diligence inom Transcendent Group Ett flertal granskningar av teknisk säkerhet, kontrollmiljöer och informationssäkerhet på företag och myndigheter Ernst & Young (Stockholm) Manager, Technology and Security Risk Services Som Manager arbetade jag med såväl uppdrags- och projektledning som med direkt granskning och design av generella IT-kontroller. Arbetade huvudsakligen inom informationssäkerhet, men genomförde även uppdrag inom outsourcing, implementation av tekniska plattformar och processer, katastrofplanering och förändringshantering. Utförda uppdrag inkluderar: Teknisk projektledare för två på varandra följande outsourcingprojekt vid en ledande nordisk bank. Var här ansvarig huvudsakligen för implementation av de tekniska plattformarna för fjärråtkomst, samt för anpassning och implementation av ett antal nödvändiga processer och rutiner. Projekten involverade koordinering av personal från tre olika organisationer, totalt cirka 60 personer. Budget för dessa projekt var cirka 25 respektive 15 MSEK Ansvarig för ett flertal större uppdrag för implementering av ITkontroller för Bolagsstyrningskoden för börsnoterade företag. Uppdragen inkluderade kartläggning av behov och gap i kontrollmiljön, såväl som design och anpassning av generella ITkontroller Avancerade granskningar av nätverkssäkerhet, inkluderande såväl 4

5 tekniska som process- och rutinrelaterade frågor, åt företag inom finanssektorn Ett flertal Due Diligence-uppdrag, vilka inkluderat granskningar av IT-miljöer, organisation, processer, IT-relaterade avtal etc. inför företagsförsäljningar Ansvar för kunderbjudandet IT Due Diligence inom Ernst & Young Sverige, inklusive definition och vidareutveckling av tjänsten Utveckling av tjänst för granskning av säkerhet i Active Directory, inklusive framtagande av granskningsprogram samt marknadsföring och införsäljning av tjänsten Utvärdering av genomförande av projekt, för att assistera kunder i att identifiera problem och potentiella förbättringsområden i administrationen och genomförandet av projekt Genomförande av ett antal internrevisionsuppdrag, inklusive granskningar av generell IT-säkerhet hos ett flertal kunder Säkerhetsgranskning av PKI-strukturer och Active Directory i en multinationell koncern inom energisektorn Utveckling av kravspecifikation för administration och dokumentation av brandväggar för en multinationell organisation inom verkstadssektorn. Utvecklade även dokumentationsmallar för att ge förutsättningar att leva upp till kraven Genomförande av ISA 402-revision av interna IT-kontroller i ett ledande företag inom finanssektorn Genomförande av SAS 70-revision av interna IT-kontroller i ett företag inom finanssektorn Kvalitets- och leveransansvarig för Program Advisory/Assuranceuppdrag för ett internationellt, genomgripande omställningsprogram avseende koncern-it hos en multinationell koncern Skatteverket IT (Solna) IT-säkerhetsarkitekt Deltagande och rådgivande i ett flertal utvecklingsprojekt, med fokus på säkerhetsaspekter Bevakning och analys av den övergripande IT-säkerheten Risk- och konsekvensanalyser Åtgärdsplanering och genomförande Framtagande av regler och policys för IT-säkerhetsarbetet Införande av LIS enligt ISO Omvärldsbevakning, kompetenssäkring Utveckling av organisation för incidenthantering Kontinuitets- och katastrofplanering Planering och genomförande av krisledningsövningar Intern information och utbildning om IT- och informationssäkerhet 5

6 Skatteverket IT (Solna) IT-säkerhet och -kommunikation Design, konstruktion och dokumentation av säkra nätverk Utveckling, implementering och drift av tekniska säkerhetslösningar, framför allt mot Internet Anpassning och införande av LIS enligt ISO Omvärldsbevakning, kompetenssäkring Utveckling av organisation för incidenthantering Kontinuitetsplanering Risk- och konsekvensanalyser Samordning av penetrationstester och säkerhetsrevisioner Deltagande i EU-projekt (Twinning) för integration av nya medlemsstater Examensarbete (maj september 2000), Metod för dokumentation av kommunikationsnätverk Bokförlaget Natur&Kultur (Järfälla) Logistik- och distributionsansvarig Samordning av ut- och inleveranser Sammanställande av beställningar Kran- och truckmaskinist Nomo Kullager (Täby) Logistik- och distributionsansvarig Samordning av ut- och inleveranser Sammanställande av beställningar Truckmaskinist Hotel Alpenland (Obergurgl, Tirol) Servitör Servering i hotellets restaurang Iordningställande inför och efter sittningar Nomo Kullager (Täby) Logistik- och distributionsansvarig Samordning av ut- och inleveranser Sammanställande av beställningar Truckmaskinist Hotel Grand Wailea (Maui, Hawaii) Valet parking attendant Parkering av gästers bilar 6

7 Allmän service till hotellets gäster Australien och USA Diverse jobb på resande fot Service- och installationstekniker (Denver, Colorado, USA) Cartsman på vindruvsodling (Mildura County, Victoria, Australien) Skidliftoperatör (Park City, Utah, USA) Pizzabagare (Kihei, Maui, Hawaii, USA) Vaktmästare (Kihei, Maui, Hawaii, USA) Målare/displaybyggare (Sydney, Australien) SCA Wellpapp (Järfälla) Maskinoperatör Drift av tillverkningsmaskiner Militärtjänst (I 22, Kiruna) Jägarsoldat 7

8 UTBILDNING Stockholms Universitet Examen: Fil. Mag. på Data- och Systemvetenskapliga linjen, inriktning säkerhetsinformatik. Därutöver 20 p Företagsekonomi, 20 p engelska samt 5 p Idéhistoria Upplands Bro-gymnasiet Naturvetenskaplig linje Lädersättra- och Källtorpskolorna, Järfälla Grundskola CERTIFIERINGAR KURSER (URVAL) CISSP (Certified Information System Security Professional) CISM (Certified Information Security Manager) CISA (Certified Information System Auditor) Diplomerad Risk Manager CCSP (Cisco Certified Security Professional) CCNA (Cisco Certified Network Associate) Cisco Qualified Specialist, Virtual Private Networks INFOSEC Professional CobIT Foundation Certification Strategisk informationssäkerhet Lantmännens Ledarskapsutbildning Diplomerad Risk Manager CobIT Foundation extreme Hacking, avancerad säkerhetsutbildning Utvecklingsprogram för projektledare Ernst & Young Core Skills, kurser i revisionsmetodik Seminarium i krishantering Diverse nätverkskurser, fokus på säkerhetsutrustning Ultimate Hacking, avancerad säkerhetsutbildning KOMPETENSOMRÅDEN (NYCKELORD) Informationssäkerhet, Risk Management, IT Governance, ITsäkerhet, Risk- och konsekvensanalyser, projekt- och gruppledning, säkerhetsgranskning, IT-revision, LIS, ISO 27000, incidenthantering, IAM. 8

9 REFERENSPERSONER Tillhandahålles vid önskemål. SPRÅK Engelska: flytande i tal och skrift Tyska: mycket goda kunskaper i tal och skrift Franska: vissa kunskaper (5 års studier på högstadie och gymnasium) PERSONLIGA EGENSKAPER Jag är utåtriktad och social, tycker om att lära känna och jobba tillsammans med nya människor. Jag samarbetar väl med andra, och är en god samordnare och ledare. Under min tid som projektledare och chef har jag fått många bevis på att jag är bra på att få en grupp människor att jobba tillsammans mot ett mål. Jag har alltid varit mycket motiverad att lära mig nya saker; lärande och utveckling är mina starkaste drivkrafter, och jag trivs bäst när jag kontinuerligt ställs inför nya utmaningar. Snabb att ta till mig ny information och lära mig nya saker. Jag tycker om att uttrycka mig i skrift; skriver oftast med en koncis stil och har en förmåga att beskriva komplexa sammanhang på ett förståeligt och överskådligt sätt. Jag är också mycket noggrann i allt jag företar mig. Jag engagerar mig alltid helhjärtat i de projekt eller aktiviteter jag är inblandad i, är alltid mycket mån om att saker ska fungera, och fungera i tid. Arbetar, och trivs, bäst under press. FRITIDSINTRESSEN Till vardags umgås jag med min familj och mina vänner. Jag läser mycket, såväl skönlitteratur som facklitteratur, och intresseområdena spänner över en lång, snirklande rad ämnen (med en viss övervikt mot historia). Fysisk aktivitet och träning har alltid varit viktigt för mig; att hålla kroppen i hyfsad trim är en livslång passion. Jag försöker också få några minuter över då och då för att klinka på min gitarr. I det lite större perspektivet reser jag så ofta tillfälle ges, och då gärna till platser jag inte tidigare besökt. Jag tar alla chanser som erbjuds att åka snowboard och skidor, eller att överhuvudtaget få vistas i berg! 9