Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?



Relevanta dokument
Hur kan krav på spel- och lotterisäkerhet driva fram ISO certifieringar?

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Administrativ säkerhet

Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

Kontinuitetshantering i vård och omsorg

Informationssäkerhetspolicy inom Stockholms läns landsting

Nationell strategi för skydd av samhällsviktig verksamhet

Ledningssystem för tillgångar (Asset Management) SS-ISO 55000, och 55002

Stabilitet och lönsamhet Systematiskt säkerhetsarbete, SSA. Efterlevnad Stabilitet Lönsamhet

Affärsjuridik enligt Lindahl

Riktlinje Robusthet- kontinuitet Landstinget Sörmland beslutad LS 12/13

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Policy för informations- säkerhet och personuppgiftshantering

Bilaga Från standard till komponent

Implementering av ISO 26000

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Informationssäkerhetspolicy för Ånge kommun

Strategic Health Consultants. Seminarium 23 september Välkomna!

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

ISO 31000, ny standard i Trafikverket? Lennart Romin

BROSCHYR. Coromatic Operations Vi hanterar driften av era verksamhetskritiska anläggningar

Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Process 8 Skyddsstrategi

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Strategiska förutsättningar

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Myndigheten för samhällsskydd och beredskaps författningssamling

Syfte Mål Värderingar

Nyttorealisering Anna Pegelow, SKL

Talent Management i konsultföretag - 8 framgångsfaktorer för ökad lönsamhet

Agenda Frukostmöte Nyttorealisering 16/

Policy och riktlinjer för skyddsoch säkerhetsarbete

Informationssäkerhetspolicy. Linköpings kommun

Effektrealisering på SJ

Nya regler om styrning och riskhantering

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Samlat resultat för Säkerhet och arbetsmiljöenkät

Ledningssystem för tillgångar (Asset Management) SS-ISO 5500x-serien

Informationssäkerhetspolicy för Ystads kommun F 17:01

IT-säkerhet och Juridik

Verksamhetsstyrning VBEN01

TOYOTA I_SITE Mer än fleet management

Ledningssystem för hållbar utveckling

Miljö- och Hållbarhetspolicy. Fastställd av styrelsen i Orusts Sparbank

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Utbildning i marknadsföring och digitala media 4 dagar

Accelererad tillväxt och nya framtidssatsningar

Varför behövs sociala investeringar och hur kan man som region arbeta med det?

IT-plan för Söderköpings kommun

Policy för informationssäkerhet

Copyright 2008 RADAR GROUP AB All rights reserved Copyright 2008 RADAR GROUP AB All rights reserved

Myndigheten för samhällsskydd och beredskaps författningssamling

Varför är vår uppförandekod viktig?

KARTLÄGGNING: Så ser vardagen ut för IT-CHEFER. Du förtjänar bättre. Gör slut med dålig it.

Vi strävar efter att bli bättre....alltid - vad vi än gör

Donator. Partnerprogram. Från produkt till molntjänst.

Syfte Mål Värderingar

10 tips för den ansvarsfulla entreprenören

Bilaga 3 Säkerhet Dnr: /

Din kommuns väg till kostnadseffektiv IT-verksamhet

bättre kategoristyrning

Företagspresentation

Kommunikationspolicy för Växjö kommunkoncern

Policy för Miljö och hållbarhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

DMC. Nyttorealisering. Digitaliseringsdagen Skövde. Daniel Jafaris Consulting & Services

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

ISO/IEC och Nyheter

Presentation av. Vårt uppdrag. Sammanfattning Varför utvärdering

Business Model Transformation. Banbrytande affärsmodeller genom transformation av affärsarkitektur

HÅLLBAR AFFÄRSPLAN VÄRDSKAPET SVERIGE AB

Reglemente för internkontroll

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Effektivt underhåll. Vad är det? SKOGSINDUSTRIDAGARNA Mars Per Möller Idhammar AB

Polisens incidenthantering

Väsentlighets- och riskanalys samt internkontrollplan 2019 för kommunstyrelsen

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Verksamhetsplan Länsturismen. Effektivitet genom samverkan

Vårt viktiga arbete med: Miljö Kvalitet och Säkerhet

Uppförandekod för vindkraftprojektörer

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

En ansvarsfull fastighetsägare

Serotonin Gåshud Kittlar i magen Skratt Uppskattad

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Hur resonerar fastighetsägare kring sina effektiviseringar?

Internrevisionsdagarna 2011 Sociala Medier möjligheter och risker, men för vem?

Sociala medier B2B. KunskapsAvenyn "kunskaps tisdagar" Peter Tilling 2011

W HIT E PA P ER. Vanliga frågor om Hybrid datacenter som tjänst. Hur kan jag veta att investeringen blir lönsam? t e xt : Johan Bentzel

Läs mer på

Dataföreningens Systemförvaltningsnätverk. Systemförvaltning 2.0

SPP skapar möjligheter. Hållbara pensionslösningar för företag och anställda

Transkript:

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner

Ca 50% av de beslut som fattas görs på underlag som är otillräckliga och med en för kort eller en för lång beslutsprocess. Konsekvenserna av felaktiga beslut kostar idag svenska företag och myndigheter många miljarder per år

Vår närvaro och kapacitet Bildades 2000 Ca 50 medarbetare (juni 2009) Ägarna bland medarbetarna Omsättning 2008, ~50 miljoner Omsättning 2009, >60 miljoner Expectations. Exceeded. Lidköping Göteborg (huvudkontor) Växjö Stockholm Västerås Linköping

Varför arbeta aktivt med säkerhet?

De klassiska argumenten för säkerhetsarbete Säkerställa affärskontinuitet med katastrofskydd; Ökad motståndskraft för olika incidenter; Efterleva externa krav (Lag, förordning, föreskrifter, branschkrav. etc.); Möjliggöra certifiering mot ISO 9001, 14001, 20000, 27001, 28000; Förbättra affärsmöjligheter och marknadsposition, stärka varumärket; Möjliggöra mätbarhet och mätning inom området; Minska kostnader för säkerhetsåtgärder; Skydda de tillgångar som är av strategiskt värde; Skapa en god miljö för internkontroll med effektiva säkerhetsåtgärder Varje framgångsrikt företag eller framstående myndighet har tillgång till värdefull information - sin egen, eller någon annans

Nyttor inom säkerhetsområdet, finns det?

Enkel nyttovärdering Del i hållbarhet och socialt ansvarstagande, anseende/rykte Bättre internkontroll, effektiv mätning, högt säkerhetsmedvetande Stoppat intrång, förhindrad stöld, snabb återstart, minskad premie En nytta är ett resultat av en förändring som upplevs som positivt av en intressent

Nyttopotentialen för olika säkerhetskrävande lösningar Potentiellt värdeskapande WWW Komplexitet

Från värdering till realisering Projekt och aktivitets leaning Business Case Ett Business Case är ett beslutsstöds- och planeringsverktyg som beskriver resultatet av en investering eller ett beslut i både ekonomiska och andra mått. Eliminera resursslöseri och bra att ha funktionalitet genom att koppla projektets aktiviteter eller systemets funktionalitet till den nytta man planerat att uppnå. Nyttorealisering En process för att styra och följa upp så att en investerings planerade nyttor verkligen realiseras.

Utmana det traditionella tankesättet Avhåll Motverka Motverka eller Upptäck Åtgärda Återhämta Tillåt

Traditionellt tankesätt IT-säkerhetsprojekt = Installation av ett IDS/IDP-system Handhållna PC s till incident samordnare System för analys av intrång System för övervakning av nätverk Projektet ska leverera funktionalitet enligt kravspecifikation + viss utbildning av användare. Databas med tillåten eller oönskad trafik

Effektivt tankesätt Möjliggörare Verksamhetsförändringar Nyttor Mål Handhållna PC s till incident samordnare Utbilda incident samordnare Samma fakta vid incidentplatsen Analysera fakta från incidentplatsen Ökad kunskap om hot och hotagenter Rätt åtgärd vid rätt tid Reducerat antal återhämtande aktiviteter System för analys av intrång System för övervakning av nätverk Utbilda system- och nätverksadministratörer Genomför åtgärder mot kända brister Analysera resultatet av genomförda åtgärder Effektiva och anpassade åtgärder Reducerade kostnader för återhämtning Databas på tillåten eller oönskad trafik

Anpassning till verklighet och strategiska mål Övergripande mål Minskad kostnad för skydd av tillgångar Ökad kostnadskontroll Minskade kostnader Strategiskt mål Reducerat antal anställda eller konsulter Ökad försäljning till kunder Ökad produktion Ökad kundnöjdhet/lojalitet Attrahera nya kundgrupper Reducerade kostnader för återhämtning Ökad lönsamhet Reducerat antal eller inga tvister/ stämningar Reducerade kostnader för försäkringar Ökade intäkter

Jämför, vikta och prioritera rätt mål Minskade kostnader 60% Ökad försäljning till befintliga kunder 15% Ökad lönsamhet 100% Ökad försäljning till nya kunder 25%

Designa alla säkerhetsåtgärder för att stödja effektiv/modern verksamhetsstyrning Fastigheter/ Servicefunktioner Skydd av övriga tillgångar Nödberedskap/ Krisledning Operativ säkerhet/ Incidenthantering Hur går det just nu? Styrkort & Dashboards Varför? Analys & Rapportering Intellektuella tillgångar (Patent-, varumärkes-, design- och upphovsrätt) IS/IT Vad borde vi göra? Budget, Planering & Prognostisering Personalsäkerhet/ Personskydd

Frigör kapital genom att minska antalet säkerhetsinvesteringar till förmån för operativa kostnader. Kapital som bättre kan användas till att utveckla och expandera kärnverksamhet

Se helheten, öka omfattningen och ta kommandot över framtiden

Se helheten SOX/ Euro-SOX Internkontroll/ERM SBK/ Organisatorisk elasticitet ISO/PAS 22399 Samhällssäkerhet FISK 2007:603 ISO/IEC 9001, 14001, 18001, 20000, 27001, 28000 Kod för bolagsstyrning BS 25999-1 PCI DSS FKHB 2006:942

Öka omfattningen Risker, externa/ verksamhetskrav Lokaler, servicefunktioner Idéer Information Relationer Varumärke Fasta tillgångar, logistikflöden Processer, arbetssätt Medarbetare Produkter/tjänster Nätverk/ infrastruktur IS/IT Kunder, leverantörer, myndigheter Naturtillgångar Klimat Rätt och styrd säkerhet, beredskap och kontinuitet

Tydiggör och sätt prioriteringar 1. Liv och hälsa; 2. Skydd av tillgångar; 3. Förebygg fortsatt spridning av störande incidenter; 4. Minska längden på störande incidenter för verksamheten; 5. Återställ kontinutet för kritisk verksamhet; 6. Återställ normal verksamhet (inklusive utvärdering av förbättringar), och 7. Skydda anseende och rykte (inklusive hantering av media och relationer med intressenter)

Värdet av en välgenomtänkt strategi är noll om den inte kan förverkligas effektivt

Frågor och svar fredrik.rehnstrom@actea.se Kungsgatan 56, Stockholm + 46 706 250125