Ett lyckat informationsklassificeringsprojekt!
Agenda Om Marginalen Om Andreas Projektet vägen fram till klassningen Bensträckare Projektet vad hände sen Frågestund Avslut
OM MARGINALENKONCERNEN Bakgrund Marginalen har rötter från 1979 och finns för närvarande i Sverige, Lettland och Litauen med cirka 620 anställda VD och ägare för Marginalenkoncernen är Ewa Glennow Marginalen Bank Fernando Miranda är VD Banklicens 2010 Förvärv Citibanks svenska konsumentverksamhet Har i Sverige ca 200.000 privatkunder och 7.000 företagskunder Vision Bidra till en bättre värld genom att skapa ekonomiskt försprång för människor som söker en bank och partner som inte bara tittar på siffror utan lika mycket på idéer och framtid.
VÅRA PRODUKTOMRÅDEN Marginalen Bank privatpersoner Marginalen Bank företag LÅN KORT SPARA FÖR- SÄKRING FINANS- IERING LEASING KONSULT INKASSO HR JURIDIK MARGINALEN CORE
VEM ÄR ANDREAS? DRIVKRAFT MARGINALEN ANDREAS ELVEBORG Nyfiken, analytisk med behov av att komma till avslut. Helhetsperspektiv Drivit bolag sedan 1992 som konsult och VD för tjänsteföretag, anställd på Marginalen sedan 2009 Verksamhetsutveckling Informationshantering Struktur: design/införa/förvalta/förbättra Styrning & kontroll, riskbaserat angreppsätt Design analys av interna förmågor & omvärld lösningar anpassat för verksamheten Uppdrag CTO lyfta plattform (infrastruktur, data warehouse/bi, integration/biztalk) & hantera förvärv Uppdrag genomlysa bankens hantering av operativa risker med fokus på informationssäkerhet Design för både grupp och bank (riskkontroll, kontinuitetshantering, CSO/CISO)
INFORMATIONSKLASSIFICERING
Projektdirektiv Syfte & mål Att identifiera skyddsnivåer för bankens information Att säkerställa efterlevnad av regulatoriska krav (Finansinspektionen, Datainspektionen) Att säkerställa förutsättningar för mer finmaskigt val av skyddsåtgärder (spara pengar) Omfattning Hela verksamheten Processperspektiv Mappar Inte system i denna fas
Projektets milstolpeplan Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri December - Januari Pilot - verklighetstest Validering Kontrollfunktioner godkännande metodik Februari Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Mars - April Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg Maj
Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg Etablering och förberedelser
Etablering & förberedelser Staffning Projektledare & projektassistent Styrgrupp 2 medlemmar ur högsta ledningen Verksamheten 15-tal affärsområden ur 3 divisioner Stödfunktioner (ekonomi, IT, marknad, juridik, etc) Kontrollfunktioner (andralinjen) Totalt drygt 25 grupperingar Processägare, övriga funktionsansvariga (specialister) Chefer (alla nivåer)
Etablering & förberedelser Kontext Informationsobjektets skyddsvärde Verksamhetskrav, Regulatoriska krav Befintliga skyddsåtgärder Hotbild & sårbarheter Incidenter Riskbedömning
Etablering & förberedelser Definitioner Sekretess Riktighet Tillgänglighet Spårbarhet Egenskap att information inte får göras tillgänglig eller avslöjas för obehöriga individer, enheter eller processer. Dvs att rätt person kommer åt rätt uppgifter, exempelvis med behörighetssystem. Egenskap hos tillgång som innebär att tillgångens exakthet och fullständighet skyddas. Dvs att information innehåller rätt datakvalité och skyddas mot förvanskning, exempelvis med arkivering eller brandväggar. Egenskapen att vara tillgänglig och användbar på begäran av en behörig enhet. Dvs att information är tillgänglig och användbar för rätt person, exempelvis med SLA-nivåer eller teknisk redundans. Möjlighet att entydigt kunna härleda dels utförda aktiviteter och dels vilken person eller systemfunktion som har utfört dessa Exempelvis genom loggning och tolkningsverktyg (SIEM) Definitionerna är baserade på ISO 27001:2006 (sv) Gallringsfrist
Etablering & förberedelser Skyddsvärde Klassningskategori Kategorier vid bedömning av konsekvens vid brister i informationens: Sekretess, Riktighet, Tillgänglighet, Spårbarhet Konsekvensanalys Bedömning av konsekvens för banken och dess kunder Konsekvensnivåer: Ingen/Försumbar Måttlig/Betydande Allvarlig/Kritisk Klassning/skyddsnivå Resulterar i klassningsnivå: 1 = Låg (publik) 2 = Medel (intern) 3 = Hög (konfidentiell) Konsekvensnivå vs klassningsnivå/skyddsnivå Undantaget tillgänglighet Konsekvens försumbar Konsekvens försumbar måttlig Konsekvens måttlig kritisk 0 - y tim y - x tim minst x tim Klass 1 - brons 2 - silver 3 - guld
Etablering & förberedelser Konsekvensnivåer Konsekvensnivå 1 - Ingen eller försumbar 2 - Måttlig/Betydande 3 - Allvarlig/Kritisk Verksamhetsförmåga Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * orsaka en minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påvisbart/påtagligt reducerad Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * orsaka en allvarlig till kritisk begränsning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter Tillgångar Ekonomi (kvalitativ) Ekonomi (kvantitativ) Individ och hälsa Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * resultat i skador på verksamhetens tillgångar Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * resultat i ekonomiska förluster. Motsvarar konsekvensnivå 1-3 i Bankens riskmodell Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * möjlighet att förorsaka negativ påverkan på enskild individs rättigheter eller hälsa Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i måttliga till betydande skador på verksamhetens tillgångar Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i måttliga till betydande ekonomiska förluster Motsvarar konsekvensnivå 4-6 i Bankens riskmodell Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * förorsakar måttliga till betydande negativ påverkan på enskild individs rättigheter eller hälsa Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i omfattande skador på verksamhetens tillgångar Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i stora ekonomiska förluster Motsvarar konsekvensnivå 7-9 i Bankens riskmodell Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa
Sannolikhet Etablering & förberedelser Operativ risk Riskmodell för operativ risk Synergi BIA och befintliga konsekvensnivåer Vänta med sannolikhet till riskbedömningen 9 9 18 27 36 45 54 63 72 81 8 8 16 24 32 40 48 56 64 72 7 7 14 21 28 35 42 49 56 63 6 6 12 18 24 30 36 42 48 54 5 5 10 15 20 25 30 35 40 45 4 4 8 12 16 20 24 28 32 36 3 3 6 9 12 15 18 21 24 27 2 2 4 6 8 10 12 14 16 18 1 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 Konsekvens Ingen/ Försumbar Måttlig/ Betydande Allvarlig/ Kritisk
Etablering & förberedelser Klassningsnivå Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög
Etablering & förberedelser Klassningsnivå - exempel Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 Låg/publik Information som är avsedd för allmänheten och kan komma till allmänhetens kännedom utan att någon person eller organisation lider skada. Spridning av information bedöms inte ge någon negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Information som publiceras på Bankens publika hemsida - Den publicerade årsredovisningen, - Olika produktblad, marknadsinformation och tjänstebeskrivningar. Skyddsnivå 1 Låg Information som, på grund av otillräcklig riktighet, bedöms innebära en ej negativ eller försumbar negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Mindre felaktigheter i informationen på intranätet - Arbetsdokument som inte utgör interna regler Skyddsnivå 1 Låg Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en liten eller försumbar negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. När konsekvensen vid otillgänglighet blir måttlig eller kritisk efter x timmar anses nivån som 1 (låg). Exempel: - Informationen på intranätet, ledningssystemet eller fysiskt lagrad information (pärmar) Skyddsnivå 1 Låg Brister i spårbarheten bedöms innebära en ej negativ eller måttlig negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: Se vem som genomfört en viss aktivitet Följa en transaktion Se vem som loggat in och ut med angivande av tidpunkter. Exempel: - Information av tillfällig karaktär på Skyddsnivå 2 Medel/intern Information som endast är avsedd för anställd och inhyrd personal vid Banken samt för behöriga externa intressenter. Information som, om den sprids utanför avsedd grupp, kan resultera i en måttlig eller betydande negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Kunduppgifter (privat och företag) inklusive personuppgifter - Information om vilka vi samarbetar med (uppdragstagare, samarbetspartners, leverantörer) - Intern analysinformation som scoringmodeller, volymer trender men även kommande kampanjer och andra marknadsaktiviteter Skyddsnivå 3 Hög/konfidentiell Information som endast är avsedd för vissa medarbetare vid Banken och i undantagsfall för behöriga externa intressenter. Medarbetaren eller intressenten ska, för att få behörighet till denna information, ha ett uttalat behov av åtkomst för att kunna utföra sina arbetsuppgifter eller åtaganden. Information som, om den sprids utanför avsedd grupp, kan resultera i en allvarlig eller kritisk Skyddsnivå 2 Medel Information som, på grund av otillräcklig riktighet, bedöms innebära en måttlig eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Bankens medarbetares löneuppgifter, personalakt - Kunduppgifter offline (avier, kundengagemang, brev) - Interna regler (policys, instruktioner, processbeskrivningar) Skyddsnivå 3 Hög Information som, på grund av otillräcklig riktighet, bedöms innebära ett krisläge eller en allvarlig negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Rapporter till Myndigheter - Pressmeddelanden och övrig information till media - Kunduppgifter för bearbetning såsom de - Bankens medarbetares löneuppgifter Skyddsnivå 2 Medel Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en måttligt negativ eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. När konsekvensen vid otillgänglighet går från försumbar till måttlig inom 0-x timmar och går från måttlig till kritisk inom y-x timmar anses nivån som 2 (medel). Exempel: - Dokument på gemensamma kataloger. - Information som behövs för att de vardagliga processerna ska fungera - Rapporter till myndigheter Skyddsnivå 3 Hög Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en allvarlig eller kritisk negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. När konsekvensen vid otillgänglighet blir kritisk inom y timmar är nivån 3 (hög). Exempel: - Kunders åtkomst till Bankens digitala intranätet. Skyddsnivå 2 Medel Brister i spårbarheten bedöms innebära en måttlig eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: Se vem som genomfört en viss aktivitet Följa en transaktion Se vem som loggat in och ut med angivande av tidpunkter. Exempel: - Dokument på gemensamma kataloger - Information på intranätet som inte är av tillfällig karaktär. Skyddsnivå 3 Hög Brister i spårbarheten bedöms innebära en allvarlig eller kritisk negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: Se vem som genomfört en viss aktivitet Följa en transaktion Se vem som loggat in och ut med angivande av tidpunkter. Exempel:
Etablering & förberedelser Stöd för verksamheten Mall för informationsklassning Vägledning för informationsklassning Processperspektiv Standardnivå för klassning = 2 Fokus på avvikelser
Etablering & förberedelser Sammanfattning: Etablering & förberedelser Att fastslå är viktigare än vad Anpassa nivå efter förmåga 3 nivåer även om det skulle finnas behov av fler Återanvänd kriterier som finns i verksamheten Riskanalyser, operativ risk, riskaptit Kontinuitetshantering BIA Skapa förutsättningar för verksamheten att göra jobbet själv!
Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg VALIDERING
Validering Pilot Urval pilot Många dokumenttyper Tillgång till kompetent personal Delaktig i metodik och vägledning Vad funkar i praktiken, test av metodik och vägledning Direkt återföring av feedback i projektet (ingen prestige) Framtagning av workshopmaterial
Validering Kontrollfunktioner Nålsöga test på de bråkigaste först Granskning av regelefterlevnad Granskning riskmetodik (operativ risk) Granskning kompabilitet ledningssystem Resultat: Ytterligare förenkling Accept styrgrupp
Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg GENOMFÖRANDE
Genomförande Upplägg med verksamheten WS1 WS2 WS3 Första presentation Inventering -> ifyllnad mall Uppdrag att genomföra inventeringen (1 vecka) Klassning exempel från ifylld mall Vägledning (utbildning) Uppdrag att genomföra klassningen (2 veckor) Fysiskt möte för uppföljning Stickprovskontroll validera verksamhetens svar Extra stöd vid behov
Genomförande Upplägg med verksamheten WS1 Första presentation Inventering & klassning -> ifyllnad mall, stöd av vägledning Uppdrag att genomföra inventeringen & klassning (3 veckor) WS2 Behövdes inte Validering Stickprovskontroll validera verksamhetens svar elektroniskt Anpassat stöd vid behov: telefon, mejl, möte
Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg PROJEKTAVSLUT
Projektavslut Förvaltning Intranätet och ledningssystemet kanaler för kommunikation Tydligt projektavslut och överlämning Mallar, styrdokument, vägledningar lättillgängliga Ansvar för förvaltning chefer I praktiken delegerat till funktionsansvariga Främst processägare och systemägare
Projektavslut Key Success Factors Projektets bemanning Diametrala motsatser! Kommunikation och kontakt med verksamheten Ledningens godkännande & engagemang Vägledningen verktyg för verksamheten Fastställande av kriterier Buy-in kontrollfunktioner Piloten
Projektavslut Nästa steg Klassningen gjord och? http://www.youtube.com/watch?v=patapiobiso 1:14
BENSTRÄCKARE! NOW WHAT?
PRINCIPER!
Verksamhetsnytta Klassningen är gjord hur ska vi använda den? Informationsobjektets skyddsvärde Verksamhetskrav, Regulatoriska krav Befintliga skyddsåtgärder Klassningsprofil Skyddsvärde Säkerhetsprinciper Skyddsåtgärd Hotbild & sårbarheter Incidenter Riskbedömning Riskbedömning
Entitetsrisk Info obj Doktyp Filarea System Sekretess Riktighet Tillgänglighet Spårbarhet Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 Skyddsnivå 2 Skyddsnivå 3 Princip 1 Princip 5 Princip 7 Vidtagen åtgärd Planerad åtgärd Åtgärd 2 Åtgärd 3 Hotbild Sårbarhet Hotbild 1 Hotbild 2 Hotbild 3 Sannolikhet H Sannolikhet M Sannolikhet L Konsekvens H Konsekvens M Konsekvens L Entitetsrisk x
Klassningsprofil Klassningsprofil Summering Drygt 800 dokumenttyper 32 unika mönster av 81 möjliga (3 skyddsnivåer ^ 4 säkerhetskategorier) Kodifiering & reducering Resultat: 7 unika mönster = klassningsprofiler 12 standardiserade dokumenttyper Informationsobjektets identitet och innehåll Känsligt och kvalitetskritiskt rapport till myndighet Känsligt och kvalitetskritiskt dokument från kund Inkommande /utgående/icke applicerbart Förvaring/ lagring av dokument Utgående System A Avgränsad grupp intern Inkommande System A Avgränsad grupp intern Nivå 3 Konfidentiell Nivå 3 Konfidentiell Behöriga Sekretess Riktighetsnivå Tillgänglighetsnivå Spårbarhetsnivå Nivå 3 Hög Nivå 2 Medel Nivå 2 Medel Nivå 3 Hög Nivå 2 Medel Nivå 2 Medel
Säkerhetsprinciper Skyddsåtgärder & säkerhetsprinciper Skyddsåtgärder Varierar med informationsobjektets art En åtgärd kan påverka allt från hantering av fysiska dokument till enskilda system till verksamhetsförändringar Säkerhetsprinciper Förenkla och staka ut staketet How-to för efterlevnad av externa och interna regelverk Utgångspunkt i branschpraxis Anpassat för banken
Säkerhetsprinciper Säkerhetsprinciper Säkerhetsprinciper Totalt: 62 Prioriterade: 25 ISO 27002:2014 14 områden 35 mål 114 kontroller (drygt) Princip 1 Princip 2 Princip 3 Princip 4 Säkerhetsområde: Styrning av åtkomst Säkerhetskategori: Sekretess Skyddsnivå: 3 (konfidentiell information) Innehåll: Extern åtkomst förutsätter stark autentisering Säkerhetsområde: Drifts- och kommunikationssäkerhet Säkerhetskategori: Riktighet Skyddsnivå: 1 Innehåll: Trådlöst internt nät endast för kontrollerade enheter Säkerhetsområde: Drifts- och kommunikationssäkerhet Säkerhetskategori: Tillgänglighet Skyddsnivå: 3 (guld) Innehåll: Jour 24/7/365 Säkerhetsområde: Drifts- och kommunikationssäkerhet Säkerhetskategori: Spårbarhet Skyddsnivå: 1 Innehåll: Alla system ska tidssynkronieras mot extern källa Analysunderlaget
Sammanfattning Skyddsvärde vs skyddsåtgärder Klassningsprofil Skyddsvärde Säkerhetsprinciper Skyddsåtgärd Riskbedömning Oacceptabel risk Förhöjd risk Acceptabel risk Riskbedömning
Nästa steg Samverka med verksamhet (inkl IT) Förståelse för principer Identifiera gap Lösningar för ändamålsenliga åtgärder Standardiserade dokumenttyper Gallringsfrister Mäta KRI/KPI Initial Managed Defined Quantitatively Managed Optimizing
FRÅGOR?
TACK FÖR IDAG! Kontaktuppgifter: Andreas Elveborg andreas.elveborg@marginalen.se 010-495 16 60 / 070-572 53 20 Finns på linked-in