Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

Transkript

1 Riskhantering och riskkontroll Hans E Peterson M.Sc., Senior Security Advisor

2 Omegapoint säkrar din utveckling Rådgivare och experter: IT- och informationssäkerhet IT-arkitektur IT-ledning Seniora konsulter (Civ. ing., MBA, Tekn. Dr. + erfarenhet) Kunder: stora organisationer offentliga och privata alla branscher Grundat 2001, ägs av medarbetarna Lönsamt sedan start, omsättning ca 100 Mkr Kontor i Stockholm, Göteborg, Falun och Kalmar

3 Den stora frågan Hur Vem bygger ansvarar man för ett ledningssystem för att hantera och kontrollera våra risker???

4

5 Produktansvar Processansvar Systemansvar Produktionsansvar Kanalansvar Marknadsansvar Kundansvar

6 Vem är säkerhetsansvarig? Den som har verksamhetsansvar och därmed ansvar för kvalitet, lönsamhet och funktion har också ansvar för säkerhet och riskhantering. Vad ingår i ansvarsområdet? Ansvarsområdet omfattar den egna verksamheten och dess konsekvenser för kunder, personal, egendom, processer, information och rykte. Med andra ord Din mamma jobbar inte här! Någon Annan finns inte i personalregistret! Säkerhetschefen är inte säkerhetsansvarig!

7 Roller och ansvar FFFS 2005:1 m fl regelverk Hantering Kontroll Granskning Risk Regelefterlevnad Verksamheten Verksamheten CSO CISO CRO CCO Revisorn Revisorn

8

9 Tre risktyper Strategiska risker Kännetecken Förändringar i marknader, dvs främst i kundgruppers och konkurrenters beteenden Förenade med intäkter och kostnader Åtgärder Strategi Affärsrisker Kännetecken Variationer i motparters egenskaper och beteenden Förenade med intäkter och kostnader Åtgärder Produktutformning Aktivitetsplanering Kontinuerlig uppföljning och anpassning Operativa risker Kännetecken Situationer med oönskade konsekvenser Förenade med kostnader Åtgärder Processutformning Fysiskt skydd Informationsskydd Beredskap

10 Vad är skyddsvärt? Internt Externt Liv Vi vill inte orsaka skada Vi vill inte råka ut för r skada Hälsa Processer Tillgångar Information Rykte

11 Orsaker till oönskade situationer riktigt allvarliga Internt Externt Människor Medvetet, med skadesyfte Slarv, ignorans, okunnighet, otur 0.5 / år 0.3 / år 2.5 / år Teknik Miljö Källor: Gartner m. fl.

12 Riskhantering Sårbarheter Orsak Situation Konsekvenser Incident Risk (Upptäck) Begränsa konsekvenser Återställ funktion Rapportera Eliminera orsak/er Reducera sårbarheter Möjliggör upptäckt Planera aktiviteter

13 The Complete Risk Handling Model

14 Vad kan du Risk påverka? Sannolikhet Konsekvenser Hot Sårbarheter Företag Vilja Förmåga Spelplan Angripare Terminologin beror på orsakerna till situationen

15

16 Risk och Cash Flow Fördelar av att acceptera risk (inbetalningar) Investering i riskminskning (dvs. skydd) Nackdelar relaterade till risk (utbetalningar) Nuvärde? Större riskutfall

17 Ekonomi = Risk - Säkerhet? Systematisk utvärdering Kostnader" för f r incidenter ( skada) Kostnader" för f r skydd Lägsta totala kostnad" skada skydd Skyddsnivå

18 Riskmedvetande Riskmatris 1. Who me worry?? Höga skadekostnader 2. Best Practice Höga skyddskostnader Osäkerhet och budgetrestriktioner betyder prioritering utan relevant underlag, vilket kan medföra höga skadekostnader 3. Balanserat skydd Låga totala kostnader för skador och skydd Okända Sannolikhet Genuin osäkerhet Ø Kända Osäkerhet Risk Okänd Skada Känd Konsekvenser Skydd Skyddsnivå

19

20 Mognad Från Alfred till Albert eller från Galen till Geni Oj då! Nu d sätters vi fart!! Who me worry? 25 Processer och teknik Säkerhetsledning Säkerhetspolicy Säkerhetsgranskning Nu kan vi det här h 10 Förvaltning Åtgärdsprogram Riskanalys Omvärldsanalys Kontinuitetsplan Tid Källor: Gartner m. fl.

21 Vägen till beslut: Tre frågor, två världar Säkerhet: 1. Vilken situation vill vi inte hamna i? Varför? 2. Vad gör vi då? 3. Vad gör vi i förväg för att undvika situationens konsekvenser? Ledning: 1. Vad är problemet? 2. Vilket beslut behövs? 3. Hur säkerställa genomförande?

22 Keep it simple!! Hans E Peterson Säkerhetsrådgivare hans.e.peterson@omegapoint.se