ISACAkvällseminarium Granskning av kontinuitetsplaner Quentin Authelet Informationssäkerhet och IT-governance 2015-06-01
Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 1
Kontinuitetsbegrepp Kontinuitetsramverk Kontinuitetsramverk (process, mallar, roller och mandat, samt rutinbeskrivningar) Beslutsramverk och kommunikationsplan Kontinuitetsplan En plan för att säkra verksamhetens leveransförmåga. Krisplaner/beredskapsplaner Dokumenterad plan utgående från specifika scenarier innehållande åtgärder som bör vidtas vid akuta situationer för att så fort som möjligt kunna återställa verksamheten. Återställningsplan Checklistor för IT vid för att återställa verksamheten till normal drift. 2
Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 3
BCM-ramverk BC-policy BIA RA Strategi Kontinuitetsplan Krisplaner Utbildning Övning Revision & granskning 4
Kontinuitetspolicy Krav och standard Riskhantering Krisorganisation Beslutsgång, eskaleringsvägar, roller och ansvar Hantering av incidenter, kriser och katastrofer Kommunikation med kunder, myndigheter, media och samarbetspartner Genomgång 5
Standard och regulatoriska krav Exempel på standard och krav SS-ISO/ISO 27001, standarden för informationssäkerhet SS-ISO/IEC 27031, standarden för kontinuitetshantering SS-ISO/IEC 22301, standarden för ledningssystem för kontinuitet FFFS 2014:4, Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker 6
BCM-organisation Styrelse Sponsring av BCM-ramverk Finansiering Awareness Policy/strategi BC-process Koordinering av resurser Ledningsgruppen Krishantering Vägledning/roadmap Initial respons Åberopa kontinuitets- /krisplan Implementering Implementering Hantering av planer Koordinering av övningar Underhållning av planer Kontinuitetsteam Verkställa planer Rapportering Rapportering Verksamhet IT 7
Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 8
Konsekvensanalys Processteg och stödsystem (ex: löneprocess) Registration of salary data Time management Preliminary payroll run Final payroll run Disbursement epayroll Populum Time Report Account PR Email Analyst Bank Business critical Important Low impact 9
Likelihood of occurrence Riskanalys Almost Certain 61 Risks 63 Time report down before payroll run Likely Moderate 86 59 63 59 epayroll not available 86 Receiving inaccurate information 61 Internal and external communication not working Unlikely 62 88 88 Lower workers' loyalty Rare 60 60 Not able to pay salaries due to IT system/integration disruption 62 Bank dependency Insignificant < 1.000 Minor < 5.000 Moderate < 10.000 Magnitude of impact Major < 50.000 High >100.000 10
Second phase Level of risk (impact *likelihood) First phase Prioritering av mitigeringsaktiviteter High Suggested prioritization of mitigation activities 63a Investigate possibilities of implementing system redundancy. 63a 63c 59b 59c 63b 59a 63c 59b Review the time reporting process to identify possible improvements and increase flexibility in relation to the Payroll process. Establish a plan for the recruitment of temporary work force to assisting in handling extra work load after an outage. 59c Keep a local copy of the latest salary records. Low Small <50 K Medium 50-200 K Large 200 K 1 M Cost of implementation Extra large >1 M 63b 59a Formalise internal and external communication and action plans, in the context of the development of an incident management process. Evaluate application support options in cooperation with service providers/vendors. 11
Kontinuitetsstrategi Aktiviteter Q3-4 2015 2016 2017 framtid Risk process för säk Informationslivscykel Kontinuitets process Etablera kontinuitetsramverk Utb. plan Kommunikationsplan Info klassning Utb. RA/BIA Hot, sårbarhet, omvärldsanalys Uppd. risk DB Riskåtgärder Utb. RA/BIA Uppd. risk DB Riskåtgärder Temps. rekruteringsplan Löneprocess Lokal kopia Förbättra TR-process Redundans IT-processer Lokal AD-replika Incidenthanteringsprocess SSO-integration Logganalys IT kontroll övervakning 12
Agenda Varför kontinuitetsplanering? Vanliga risker & konsekvenser Begrepp Business Continuity Management Ramverk Organisation Riskapproach Revision av BCP Utvärdera kontinuitetsplanering Utvärdera kris-/katastrofplanering Granska förvaltning och efterlevnad 13
Krisplaneringsbegrepp Nödrutin Vidtas när en händelse upptäcks Reservrutin Eventuellt flytta funktionens verksamhet eller stödfunktioner till alternativa, tillfälliga lokaler/processer Temporär rutin Fortgå utan systemstöd/process för att säkerställa fortsatt verksamhet Återställningsrutin Återhämtning och återställning av verksamheten vid återupptaget drift/funktion 14
Kontinuitetsplan Förvaltningsförmåga = preventiva kontroll Beredskapsscenarier Kristeam Eskaleringsvägar Roller och ansvar Verktyg 15
Kris- och katastrofplaner Krisberedskapsförmåga = återställande kontroll Kontaktlista Krisledningsgrupp för risken Kommunikationsplan Nödrutin Reservrutin Temporär driftsrutin Återställanderutin 16
Kristyper Normal accidents Abnormal accidents Natural Accidents Economic Crisis Physical Crisis Personnel Crisis Criminal Crisis Information Crisis Reputation Crisis Natural disasters Recessions Industrial accidents Strikes Product tampering Theft of proprietary information Rumour mongering or slander Earthquakes Stock Market Crashes Supply breakdowns Exodus of key personnel Kidnapping or hostage situations Tampering with company records Logo tampering Floods Hostile Takeovers Product failures Workplace violence or vandalism Acts of terrorism Cyber attacks Fires From Preparing for Evil by Ian Mitroff and Murat Alpaslan 17 17
Tester Testmodeller Skrivbordsövning Krisledare går igenom krisplanen stegvis tillsammans med verksamhetsrepresentanter för att säkerställa planens giltighet. Simulering Hela krisgruppen samlas med representanter från verksamheten och eventuella samarbetspartners för genomgång av krisplanen i ett tänkt scenario där processens frånvaro simuleras. Fullt test Krisgruppen förbereder och genomför ett avbrottsscenario där avbrotten genomförs fysiskt (dock planerat) för att testa krisplanerna i ett så realistiskt scenario som möjligt. 18
Förvaltning och efterlevnad: Underhåll av krisplan Treårig underhållsplan Uppdatering och förbättring av kontinuitetsplaner 2013 2014 2015 Vår Höst Vår Höst Vår Höst Genomgång av mätvärden Genomgång av kontinuitetsplanen, förmedlande av ändringar i mallarna. Skrivbordsövning med representanter från enheten samt krisledare. Simulering av kontinuitetsplaner för affärsprocess X. Utvärdering. Simulering av kontinuitetsplaner för affärsprocess Y. Utvärdering. Simulering av kontinuitetsplaner för infrastruktur och IT-processer. Utvärdering. 19
Förvaltning och efterlevnad: Mätvärden och uppföljning Mätvärden för krisberedskap och återhämtningsförmåga 1. Procent av verksamhetskritiska processer som täcks av kontinuitetsplaner 2. Procent av verksamhetskritiska processer som täcks av årliga kontinuitetstester Förändring 2013 2014 2015 % 3. Antal kontinuitetstester som fallerar 4. Antal tredjepartsleverantörer där överenskommelse om kontinuitetsplanering saknas 5. Antal revisioner som sker av kontinuitetsplanerna 6. Antal incidenter i verksamheten som eskalerats till krisledningen 7. Andel av personal som har gått kontinuitetsutbildning 20
Förvaltning och efterlevnad: Förvaltningsorganisation Vem ansvarar för att ramverket och krisplanerna hålls uppdaterade? Vem inför identifierade förbättringar? Vem ansvarar för att testerna genomförs och utvärderas? Hur ofta träffas kontinuitetskommittén för att diskutera och klargöra ändringar i kontinuitetsplanen? Utvärderas även uppföljning av genomförda tester och målstyrningen utifrån etablerade mätvärden? 21
Tack! Presenterad av Quentin Authelet
2015 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.