Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner
Ca 50% av de beslut som fattas görs på underlag som är otillräckliga och med en för kort eller en för lång beslutsprocess. Konsekvenserna av felaktiga beslut kostar idag svenska företag och myndigheter många miljarder per år
Vår närvaro och kapacitet Bildades 2000 Ca 50 medarbetare (juni 2009) Ägarna bland medarbetarna Omsättning 2008, ~50 miljoner Omsättning 2009, >60 miljoner Expectations. Exceeded. Lidköping Göteborg (huvudkontor) Växjö Stockholm Västerås Linköping
Varför arbeta aktivt med säkerhet?
De klassiska argumenten för säkerhetsarbete Säkerställa affärskontinuitet med katastrofskydd; Ökad motståndskraft för olika incidenter; Efterleva externa krav (Lag, förordning, föreskrifter, branschkrav. etc.); Möjliggöra certifiering mot ISO 9001, 14001, 20000, 27001, 28000; Förbättra affärsmöjligheter och marknadsposition, stärka varumärket; Möjliggöra mätbarhet och mätning inom området; Minska kostnader för säkerhetsåtgärder; Skydda de tillgångar som är av strategiskt värde; Skapa en god miljö för internkontroll med effektiva säkerhetsåtgärder Varje framgångsrikt företag eller framstående myndighet har tillgång till värdefull information - sin egen, eller någon annans
Nyttor inom säkerhetsområdet, finns det?
Enkel nyttovärdering Del i hållbarhet och socialt ansvarstagande, anseende/rykte Bättre internkontroll, effektiv mätning, högt säkerhetsmedvetande Stoppat intrång, förhindrad stöld, snabb återstart, minskad premie En nytta är ett resultat av en förändring som upplevs som positivt av en intressent
Nyttopotentialen för olika säkerhetskrävande lösningar Potentiellt värdeskapande WWW Komplexitet
Från värdering till realisering Projekt och aktivitets leaning Business Case Ett Business Case är ett beslutsstöds- och planeringsverktyg som beskriver resultatet av en investering eller ett beslut i både ekonomiska och andra mått. Eliminera resursslöseri och bra att ha funktionalitet genom att koppla projektets aktiviteter eller systemets funktionalitet till den nytta man planerat att uppnå. Nyttorealisering En process för att styra och följa upp så att en investerings planerade nyttor verkligen realiseras.
Utmana det traditionella tankesättet Avhåll Motverka Motverka eller Upptäck Åtgärda Återhämta Tillåt
Traditionellt tankesätt IT-säkerhetsprojekt = Installation av ett IDS/IDP-system Handhållna PC s till incident samordnare System för analys av intrång System för övervakning av nätverk Projektet ska leverera funktionalitet enligt kravspecifikation + viss utbildning av användare. Databas med tillåten eller oönskad trafik
Effektivt tankesätt Möjliggörare Verksamhetsförändringar Nyttor Mål Handhållna PC s till incident samordnare Utbilda incident samordnare Samma fakta vid incidentplatsen Analysera fakta från incidentplatsen Ökad kunskap om hot och hotagenter Rätt åtgärd vid rätt tid Reducerat antal återhämtande aktiviteter System för analys av intrång System för övervakning av nätverk Utbilda system- och nätverksadministratörer Genomför åtgärder mot kända brister Analysera resultatet av genomförda åtgärder Effektiva och anpassade åtgärder Reducerade kostnader för återhämtning Databas på tillåten eller oönskad trafik
Anpassning till verklighet och strategiska mål Övergripande mål Minskad kostnad för skydd av tillgångar Ökad kostnadskontroll Minskade kostnader Strategiskt mål Reducerat antal anställda eller konsulter Ökad försäljning till kunder Ökad produktion Ökad kundnöjdhet/lojalitet Attrahera nya kundgrupper Reducerade kostnader för återhämtning Ökad lönsamhet Reducerat antal eller inga tvister/ stämningar Reducerade kostnader för försäkringar Ökade intäkter
Jämför, vikta och prioritera rätt mål Minskade kostnader 60% Ökad försäljning till befintliga kunder 15% Ökad lönsamhet 100% Ökad försäljning till nya kunder 25%
Designa alla säkerhetsåtgärder för att stödja effektiv/modern verksamhetsstyrning Fastigheter/ Servicefunktioner Skydd av övriga tillgångar Nödberedskap/ Krisledning Operativ säkerhet/ Incidenthantering Hur går det just nu? Styrkort & Dashboards Varför? Analys & Rapportering Intellektuella tillgångar (Patent-, varumärkes-, design- och upphovsrätt) IS/IT Vad borde vi göra? Budget, Planering & Prognostisering Personalsäkerhet/ Personskydd
Frigör kapital genom att minska antalet säkerhetsinvesteringar till förmån för operativa kostnader. Kapital som bättre kan användas till att utveckla och expandera kärnverksamhet
Se helheten, öka omfattningen och ta kommandot över framtiden
Se helheten SOX/ Euro-SOX Internkontroll/ERM SBK/ Organisatorisk elasticitet ISO/PAS 22399 Samhällssäkerhet FISK 2007:603 ISO/IEC 9001, 14001, 18001, 20000, 27001, 28000 Kod för bolagsstyrning BS 25999-1 PCI DSS FKHB 2006:942
Öka omfattningen Risker, externa/ verksamhetskrav Lokaler, servicefunktioner Idéer Information Relationer Varumärke Fasta tillgångar, logistikflöden Processer, arbetssätt Medarbetare Produkter/tjänster Nätverk/ infrastruktur IS/IT Kunder, leverantörer, myndigheter Naturtillgångar Klimat Rätt och styrd säkerhet, beredskap och kontinuitet
Tydiggör och sätt prioriteringar 1. Liv och hälsa; 2. Skydd av tillgångar; 3. Förebygg fortsatt spridning av störande incidenter; 4. Minska längden på störande incidenter för verksamheten; 5. Återställ kontinutet för kritisk verksamhet; 6. Återställ normal verksamhet (inklusive utvärdering av förbättringar), och 7. Skydda anseende och rykte (inklusive hantering av media och relationer med intressenter)
Värdet av en välgenomtänkt strategi är noll om den inte kan förverkligas effektivt
Frågor och svar fredrik.rehnstrom@actea.se Kungsgatan 56, Stockholm + 46 706 250125