SIS tre produktområden Standardisering SIS, Swedish Standards Institue En kund till SIS kan: påverka standarders inriktning och innehåll få tillgång till och kunskap om standarder och deras tillämpning Standarder och handböcker SIS Förlag AB Standarder, kundanpassade handböcker och skräddarsydda e-tjänster. Nya och pågående standardiseringsprojekt - europeiska, globala och nationella. Samordning av bransch- och företagsstandarder samt rådgivning. Utbildningar och konsultjänster SIS Forum AB Öppna och kundanpassade utbildningar kring innehåll och tillämpning av standarder i Sverige och internationellt. 2008-12-02 2
Stora säkerhetshandboken En praktisk årskalender Agneta Syrén 081202 2008-12-02 3
CISM,CISM, CAMS Tel. +46 8 588 41 558, E-post: agneta.syren@lansforsakringar.se Agneta Syrén Jur.kand. Stockholms Universitet Fil.kand. Uppsala Universitet Koncernsäkerhetschef Länsförsäkringar AB Certifieringar: CISM ISACA Certified Information Security Manager CISM, Critical Stress Incident Manager CAMS Certified Anti-Money Laundering Specialist DNV revisor i informationssäkerhet, kvalitet & miljö Publikationer: Smygande hot- En handbok om penningtvätt tre separata utgåvor Svarta pengar - En handbok om penningtvätt På egen risk- En handbok om informationssäkerhet På bar gärning - Att förebygga brott På mänsklig grund - Vinnande krishantering På minerad mark En handbok om stalkning Stora säkerhetshandboken en praktisk årskalender Kommande böcker Svarta pengar En handbok om penningtvätt våren 2009 (uppdatering i samband med att det III:e penningtvättsdirektivet träder ikraft som svensk lag) Den virtuella chefen Ledarskap i informationsåldern ht-09 2008-12-02 4
Agenda Ledningens engagemang Säkerhet och riskhantering Stora säkerhetshandboken = ett praktiskt verktyg 2008-12-02 5 copyright Agneta Syrén 5
Tid är en ändlig resurs 2008-12-02 6
Computer Sweden 2008-11-26 2008-12-02 7
Kriser kommer och går Kostnader för säkerhetsincidenter orsakar tunga ekonomiska förluster Dålig status på det dagliga säkerhetsarbetet IT-systemen är ofta inte det största problemet Medarbetarnas kunskap och medvetenhet i säkerhet utgör den största utmaningen Riskerna kan minimeras först när medarbetarnas kunskapsnivå i säkerhetsfrågor ökar Investering i säkerhet är lönsamt för alla företag, verksamheter och organisationer 2008-12-02 8
Ledningens engagemang en stor utmaning Ledning och styrelse är också medarbetare Vilken utbildning och medvetenhet har ledning och styrelse när det gäller säkerhet? Ledningens engagemang är beroende av ledningens kunskapsnivå Om man inte har kunskap kan det vara svårt att ställa krav och styra säkerhetsarbetet Ledningen måste därför få riktad utbildning så att de medvetandegörs om sin viktiga roll i det operativa riskarbetet 2008-12-02 9
Ledningens engagemang krav Ledningen skall: Sätta tydliga mål för säkerheten Säkerställa att resurser och kompetens finns till hands i organisationen Regelbundet följa upp resultatet av säkerhetsarbetet Genomföra korrigerande åtgärder där det behövs Säkerställa att säkerhetsarbetet styrs långsiktigt, dvs. upprättar planer för säkerheten ett treårsplaner samt säkerställer plan för målstyrning på längre sikt femårsplaner 2008-12-02 10
Säkerhet styrs multidisciplinärt Med multidisciplinära team menas: Säkerhet bearbetas på olika plan av olika medarbetare som var och en arbetar inom ett eller flera specifika områden inom säkerhet Multidisciplinära team styrs som projekt Projektstyrning misslyckas ofta därför att: man tar sig helt enkelt vatten över huvudet, i stället för att börja med nåt enkelt och genomförbart börjar man plocka in allt möjligt, vilket leder till kaos 2008-12-02 11
Projekt misslyckas därför att Beslutsfattare och genomförare har helt olika bilder av syftet Alltför storskaliga mål Arbetet är inte förankrat För många kockar i styrning och ledning Övertro på färdiga ramverk och modeller Man gör sig beroende av saker utifrån som "snart ska vara klara Detaljerna tar över det viktiga strategiska arbetet Detaljstyrning från ledningen som inte har tillräcklig kompetens i sakfrågorna 2008-12-02 12
Projekt misslyckas därför att Möteshysteri Management by Excel hell" Interna religionskrig Oanträffbara beslutsfattare Dålig resursplanering Nyckelkompetenser försvinner" och lämnar kompetenshål Området är komplicerat Källa: CIO Sweden, 08-09-09 artikel; IT-projektmissar: Läsarnas egna erfarenheter, av Jon Röhne 2008-12-02 13
10 punkter som får ledningen engagerad 1. Nyttan och kostnader med säkerhet måste identifieras och analyseras genomförs med hjälp av Return on Security Investment ROSI 2. Lagkrav, krav från standarder och föreskrifter eller allmänna råd 3. Peka på storleken av de alternativa kostnaderna i form av böter, förlust av goodwill, förlust av kunder 4. Peka på de områden där ledningen bör, måste och skall vara involverade i säkerhetsarbetet 5. Marknadsföring bottom-up ställer krav på cheferna inom verksamheten 2008-12-02 14
10 punkter som får ledningen 6. engagerad Marknadsföring till företagets samtliga intressenter (tryck på företagets ledning och styrning utifrån-in) 7. Skapa intresse för säkerhetsfrågor genom riktad utbildning av en aktuell säkerhetsfråga, exempelvis hot & våld, bedrägerier och incidenthantering 8. Upprätta en karta över vilka funktioner som ingår i det multidisciplinära säkerhetsteamet 9. Upprätta en modell och process för framgångsrikt säkerhetsarbete inom den egna verksamheten 10. Se tiden som en resurs se till att samtliga säkerhetsområden bearbetas på ett konstruktivt sätt genom att etablera ett säkerhetsår 2008-12-02 15
Säkerhetsåret - omfattar alla väsentliga områden inom säkerhet Jan Hotbild + Organisation Feb Fysisk & miljörelaterad säkerhet Juli Efterlevnad Mars April Maj Juni Incidenthantering Styrning av kommunikation & drift Åtkomst Säkerhetspolicy Aug Sep Okt Nov Dec Personalresurser & säkerhet Tillgångar Anskaffning, utveckling & underhåll av informationssystem Riskanalyser Kontinuitetsplanering 2008-12-02 16
Operativ risk Riskkartan visar risker i verksamheten Affärsrisker Legala risker Ryktesrisk Placerings risk Försäkringsrisk Finansieringsrisk Koncentrationsrisk Kreditrisk 2008-12-02 17
Operativ risk kan medföra konsekvenser Goodwillförlust Ryktesrisk Allvarliga direkta ekonomiska förluster Tillkommande kostnader för åtgärder som måste vidtas Förluster av medarbetare & nyckelpersoner Tappade affärsmöjligheter Företagets aktier tappar i värde Styrelsen får ej ansvarsfrihet vid årsstämma Styrelse och ledning drabbas av stämningar 2008-12-02 18
Affärsprocesser Ständiga förbättringar Riskvärdering Säkerhetsarbetet Ledningens engagemang Lagstiftning & andra krav Policys, instruktioner, regelverk samt standarder Målsättning säkerhet Regel - uppfyllnad Incidenthantering Löpande utvärdering 2008-12-02 19
Q &As? agneta.syren@lansforsakringar.se Tfn: 08-588 41558 Mobil: 073-9641558 2008-12-02 20