Riskhantering & Informationssäkerhet Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16
Agneta Syrén CISM,CISM, CAMS Tfn. +46 739641558, E-post: agneta.syren@lansforsakringar.se Jur.kand. Stockholms Universitet Fil.kand. Uppsala Universitet Säkerhetschef, informationssäkerhetschef Länsförsäkringar AB Certifieringar: CISM ISACA Certified Information Security Manager CISM Critical Stress Incident Manager CAMS Certified Anti-Money Laundering Specialist CRISC Certified in Risk and Informations Systems Control DNV Revisor i informationssäkerhet, kvalitet & miljö Publicerade böcker: Smygande hot en bok om stalkning Svarta pengar en handbok om penningtvätt På egen risk en handbok om informationssäkerhet På bar gärning att förebygga brott På mänsklig grund aktiv krishantering På minerad mark en handbok om stalkning Stora säkerhetshandboken en praktisk årskalender Bonnier ledarhandböcker, m.fl. 2 2
Agenda En föränderlig värld Nya krav och roller Riskhantering och säkerhet Organisation Ansvar Säkerhet & informationssäkerhet 3
Länsförsäkringsgruppens vision är att skapa trygghet
I en föränderlig värld utgör informationssäkerheten en viktigt del av företagets riskhantering
Nya krav och roller 6
Nya krav och roller Risker ska styras, följas upp och rapporteras till styrelse och företagsledning Riskrapporten ska omfatta riskområden där risker kvantifieras, bedöms och kommenteras Operativ risk har länge varit det glömda riskområdet Med operativ risk menas: Risk för förluster till följd av icke ändamålsenliga eller felaktiga interna processer, mänskliga fel, felaktiga system eller externa händelser, inklusive legal risk 7
Operativ risk Strategisk risk Affärsrisk Juridisk risk Koncentrationsrisk Placeringsrisk Försäkringsrisk Finansieringsrisk Ryktesrisk Kreditrisk Annan risk Efterlevnadsrisk
Operativ risk? 9
Arbetsprocess operativ risk Identifiering Mätning Hantering Övervakning Rapportering 10
Riskhantering och säkerhet 11
Risk management Handlar om att identifiera och ta fram ett för företaget lämpligt riskhanteringssystem Systemet ska bidra till att risker hanteras strukturerat Ett effektivt system för hantering av risk, anpassat till varje organisation, integrerat med beslutsprocesserna, bidrar till att verksamhetsmålen kan uppnås med högre grad av säkerhet Säkerhet/informationssäkerhet bidrar till en god risk management inom delriskområdet operativ risk 12
Om risker i verksamheten Risker ska identifieras, mätas, hanteras, övervakas och rapporteras Risktagandet i ett bolag ska styras Riskerna ska styras medvetet Risker ska kvantifieras Risker ska beskrivas 13
Organisation 14
Riskkontroll, säkerhet och styrelse Styrelsen - är ytterst ansvarig för att det finns ett effektivt system för att hantera bolagets risker. - ansvarar för att kontroll av efterlevnaden görs genom granskning som genomförs av Internrevision Riskkontrollfunktion Säkerställer att den rapportering av risker som görs i verksamheten sammanställs till en samlad riskbild till vd och styrelse Säkerhet, informationssäkerhet Ansvarar i första linjen tillsammans med chefer och medarbetare för delriskområdet operativ risk 15
Ansvar 16
Ansvarsområden inom 1:a, 2:a och 3:e linjen Intern styrning och kontroll Affärsverksamheten Kontrollfunktioner Internrevision Första försvarslinjen Ägande av risker Verksamheten Andra försvarslinjen Hantering av risker Tredje försvarslinjen Risksäkring Säkerhet/ informations-säkerhet Riskkontroll Compliance Internrevision 17
Övriga kontrollfunktioner Bolagets styrelse Vd Ledningsgrupp Externa revisorer Granskande myndigheter 18
Säkerhet & informationssäkerhet 19
Första linjens säkerhetsarbete Genom förebyggande arbete och ändamålsenlig riskhantering minska sannolikheten för att operativa risker materialiseras I verksamheten, verka för att införa ett ledningssystem för informationssäkerhet regelverk policyer, instruktioner, rutiner Genomföra utbildningar chefer medarbetare Kontinuitetsplanering Leda, följa upp och kontrollera arbetet med operativ risk Hantera incidenter M.m. 20
21
Frågor? 22