Riskhantering och riskkontroll Hans E Peterson M.Sc., Senior Security Advisor
Omegapoint säkrar din utveckling Rådgivare och experter: IT- och informationssäkerhet IT-arkitektur IT-ledning Seniora konsulter (Civ. ing., MBA, Tekn. Dr. + erfarenhet) Kunder: stora organisationer offentliga och privata alla branscher Grundat 2001, ägs av medarbetarna Lönsamt sedan start, omsättning ca 100 Mkr Kontor i Stockholm, Göteborg, Falun och Kalmar
Den stora frågan Hur Vem bygger ansvarar man för ett ledningssystem för att hantera och kontrollera våra risker???
Produktansvar Processansvar Systemansvar Produktionsansvar Kanalansvar Marknadsansvar Kundansvar
Vem är säkerhetsansvarig? Den som har verksamhetsansvar och därmed ansvar för kvalitet, lönsamhet och funktion har också ansvar för säkerhet och riskhantering. Vad ingår i ansvarsområdet? Ansvarsområdet omfattar den egna verksamheten och dess konsekvenser för kunder, personal, egendom, processer, information och rykte. Med andra ord Din mamma jobbar inte här! Någon Annan finns inte i personalregistret! Säkerhetschefen är inte säkerhetsansvarig!
Roller och ansvar FFFS 2005:1 m fl regelverk Hantering Kontroll Granskning Risk Regelefterlevnad Verksamheten Verksamheten CSO CISO CRO CCO Revisorn Revisorn
Tre risktyper Strategiska risker Kännetecken Förändringar i marknader, dvs främst i kundgruppers och konkurrenters beteenden Förenade med intäkter och kostnader Åtgärder Strategi Affärsrisker Kännetecken Variationer i motparters egenskaper och beteenden Förenade med intäkter och kostnader Åtgärder Produktutformning Aktivitetsplanering Kontinuerlig uppföljning och anpassning Operativa risker Kännetecken Situationer med oönskade konsekvenser Förenade med kostnader Åtgärder Processutformning Fysiskt skydd Informationsskydd Beredskap
Vad är skyddsvärt? Internt Externt Liv Vi vill inte orsaka skada Vi vill inte råka ut för r skada Hälsa Processer Tillgångar Information Rykte
Orsaker till oönskade situationer riktigt allvarliga Internt Externt Människor Medvetet, med skadesyfte Slarv, ignorans, okunnighet, otur 0.5 / år 0.3 / år 2.5 / år Teknik Miljö Källor: Gartner m. fl.
Riskhantering Sårbarheter Orsak Situation Konsekvenser Incident Risk (Upptäck) Begränsa konsekvenser Återställ funktion Rapportera Eliminera orsak/er Reducera sårbarheter Möjliggör upptäckt Planera aktiviteter
The Complete Risk Handling Model
Vad kan du Risk påverka? Sannolikhet Konsekvenser Hot Sårbarheter Företag Vilja Förmåga Spelplan Angripare Terminologin beror på orsakerna till situationen
Risk och Cash Flow Fördelar av att acceptera risk (inbetalningar) Investering i riskminskning (dvs. skydd) Nackdelar relaterade till risk (utbetalningar) Nuvärde? Större riskutfall
Ekonomi = Risk - Säkerhet? Systematisk utvärdering Kostnader" för f r incidenter ( skada) Kostnader" för f r skydd Lägsta totala kostnad" skada skydd Skyddsnivå
Riskmedvetande Riskmatris 1. Who me worry?? Höga skadekostnader 2. Best Practice Höga skyddskostnader Osäkerhet och budgetrestriktioner betyder prioritering utan relevant underlag, vilket kan medföra höga skadekostnader 3. Balanserat skydd Låga totala kostnader för skador och skydd Okända Sannolikhet Genuin osäkerhet Ø Kända Osäkerhet Risk Okänd Skada Känd Konsekvenser Skydd Skyddsnivå
Mognad Från Alfred till Albert eller från Galen till Geni Oj då! Nu d sätters vi fart!! Who me worry? 25 Processer och teknik 35 30 Säkerhetsledning Säkerhetspolicy Säkerhetsgranskning Nu kan vi det här h 10 Förvaltning Åtgärdsprogram Riskanalys Omvärldsanalys Kontinuitetsplan Tid Källor: Gartner m. fl.
Vägen till beslut: Tre frågor, två världar Säkerhet: 1. Vilken situation vill vi inte hamna i? Varför? 2. Vad gör vi då? 3. Vad gör vi i förväg för att undvika situationens konsekvenser? Ledning: 1. Vad är problemet? 2. Vilket beslut behövs? 3. Hur säkerställa genomförande?
Keep it simple!! Hans E Peterson Säkerhetsrådgivare hans.e.peterson@omegapoint.se