Vår cyberbudget ökar, gör det oss säkrare? · 2019. 11. 21. · 10 • ”Vi är ett av världens mest digitaliserade länder men det finns brister i säkerhetsarbetet hos myndigheter

Vår cyberbudget ökar, gör det oss säkrare?

Nicklas AndreassonKunskapsdagarna 26-27 november 2019

PwCKunskapsdagarna Göteborg 2019

#PwCkunskapsdagar

”Det skall bara funka”eller

är kvalitet viktigare än så för din verksamhet?

En kostnadseffektiv och affärsutvecklande digitalisering- vad är det för dig?

2

PwC

Cybersäkerhet i kontext

3

Ökad digitalisering

Växande cyberrisk

Nya regleringar

Moln Uppkopplade enheter Big dataDigital

valuta

Nya utvecklade hot

Fler anslutningar

Kompetens-brist Kapprustning

Dataskydds-Förodningen

(GDPR)

NIS-direktivet

Säkerhets-skyddslagen

Sektorsspecifika regleringar

Kunskapsdagarna Göteborg 2019

#PwCkunskapsdagar


#PwCkunskapsdagar

Hotlandskapet och dess påverkan

4

Operationell Risk

Strategisk Risk

Compliance Risk

Bristande produktdesign

Tvister

Konsekvenser för Top-line

Konsekvenser för Bottom-line

Kostnad för reparation och underhåll

Kostnad hantering och återställning

Produktivitetsförlust

Rättegångskostnader

Regulatoriska påföljder

Finansiell Risk

Dataintrång

Avbrott/Drift-

störningar

Stöld/ Bedrägeri

Insiderbrott

Läckta affärs-

hemligheter

Pådrivande reglering

Ineffektiv supply chain

Förlust av intäkter

Förlust av kundernas förtroende

Erosion av marknadsvärde

Strategisk nackdel


#PwCkunskapsdagar

Cyberhotlandskapet

Antagonister

Motiv

Mål

Påverkan på verksamheten

Påverkan på samhället

Ökande uppkoppling

Framväxande teknik

Cyber-hot

National-stat

Terrorist Organiserad brottslighet

Hacktivist Insider

Driva social eller

affärsmässig förändring

Finansiellt Patriotism Ekonomisk och/eller

militär fördel

Hämd

Företags-hemligheter

Ideologiska följare

Kritisk infrastruktur

Ny teknologi Konfidentiell information

5


#PwCkunskapsdagar

6

När krisen inträffar – Norsk Hydro i mars 2019


#PwCkunskapsdagar

7

När krisen inträffar – Norsk Hydro i mars 2019


#PwCkunskapsdagar

8

När krisen är ett faktum – Norsk Hydro i april 2019


#PwCkunskapsdagar

Digital pandemi – Hur illa kan det egentligen gå?


#PwCkunskapsdagar

Säkerhetspolischefen har ordet

10

• ”Vi är ett av världens mest digitaliserade länder men det finns brister i säkerhetsarbetet hos myndigheter och företag. Det gör att gapet mellan hot och säkerhet växer, något som (främmande) statliga aktörer utnyttjar.”

• ”Samtidigt ser vi att svensk skyddsvärd verksamhet har sårbarheter bland annat kopplat till brister i upphandling och kontroll av exempelvis utkontraktering av it-drift.”

• ”Att minska sårbarheterna är något som alla, hela samhället, måste prioritera högre och ta ansvar för.”


#PwCkunskapsdagar

Incidenter

Kriser

i ofasKompetensbristen inom

Cyber Security är akut hos många företag och organisationer!

11


#PwCkunskapsdagar

Självutvärdering digital kompetensHar ni följande förmågor? Vilken är viktigast? Vilken är ni själv bäst på?

12

01

02

03

04

Kunna förstå hur digitaliseringen påverkar samhället och individen

Kunna använda och förstå digitala verktyg och medier

Ha ett kritiskt och ansvarsfullt förhållningssätt till digital teknik

Kunna lösa problem och omsätta idéer i handling på ett kreativt sätt med användning av digital teknik

(https://www.skolverket.se/getFile?file=4206)(Reviderad läroplan för grundskolan 2019, sidan 7)


#PwCkunskapsdagar

Mer än bara teknik och policydokument…

13

Policy, riktlinjer, rutiner och standards

Övervakning, kontroll, revision och förbättringar

Utbildning Attityd och medvetenhet Övningar

IT- och nätverks-säkerhet

Fysisk säkerhet

ADMINISTRATIV SÄKERHET

BETEENDEMÄSSIG SÄKERHET

TEKNISK SÄKERHET

INFORMATIONSSÄKERHET

Bättre att ”vänta” med digitaliseringens möjligheter?

14Kunskapsdagarna Göteborg 2019PwC

#PwCkunskapsdagar


#PwCkunskapsdagar

15

PSD2NIS

Drivkraft 1 - Nya lagkrav för informations- och cybersäkerhet


#PwCkunskapsdagar

16

Drivkraft 2 - En ökad medvetenhet leder till nya, ökade kundkrav


#PwCkunskapsdagar

17

Drivkraft 3 - Incidenter och kriser


#PwCkunskapsdagar

18

Toppfrågor från styrelser och ledningsgrupper angående cyberrisk

1. Vilka är våra främsta cyberrisker och hur mycket exponering motsvarar de?

2. Var fördelar vi pengar och resurser?

3. Hur effektivt reducerar våra investeringar risk?Investerar vi för lite eller för mycket?

#PwCkunskapsdagar


#PwCkunskapsdagar

Påverkan

Frågor att överväga i bedömningen av cyberrisk

19

Varför skulle det hända oss?

Om det händer, kommer det vara framgångsrikt?

Om det är framgångsrikt,

vad blir konsekvenserna?

Hur mycket och i vad ska vi investera i säkerhet?

Hot Sårbarhet Cyberrisk


#PwCkunskapsdagar

Cyberriskhantering

20

1. Analysera risklandskapet2. Kontinuerlig

riskbedömning och rapportering

3. Implementera, underhålla och rapportera om

kontroller

4. Definiera och övervaka acceptabel mängd risk

AffärspåverkanKronjuveler

Hotprofil IT, Säkerhet & Reselisens kontrollramverk

Identifiera Värdera Övervaka och rapportera

Definiera och övervaka

risktolerans

Kontinuerliga förbättringar

1. Vad är våra största cyberrisker och hur mycket exponering representerar de?

2. Vart fördelar vi resurser och pengar?

3. Hur effektiva är våra investeringar i riskreduktion? Investerar vi för lite eller för mycket?


#PwCkunskapsdagar

Verklig exponering av cyberrisker

Förlust-Scenario 1

Förlust-Scenario 2

Illustrativt Värde som riskeras

Värde som riskeras = 260 miljoner från scenario

Direkta finansiella värden

Intäktsförlust

Avhjälpande kostnader

Anställdas reaktion

Minskad produktivitet

Minskad tillfredsställelse

Verksamhet

Avbrott

Kvalitetsförsämring

Kundkvalitet

Minskad upplevd service

Kunddata

Persondata

Intressenters uppfattning

Affärspartners

Regulatorer

NGOs

Media

Etc.

100M 50M 10M 55M 30M 15M

21


#PwCkunskapsdagar

● Kategorisering av cyberrisk

● Kontinuerlig bedömning cyberrisk

● Definiera risktolerans

● Övervaka och rapportera genom

mät- och gränsvärden

● Styrelsen och ledningen förstår

tydligt affärsverkan av cyberrisker

● Rätt prioritering av investeringar i

Cybersäkerhet

Säkrare verksamhet

22

Cyberrisk kopplat till affärsmål

Enterprise RiskLevel 1

Level 2

Level 3

Level 4

Finansiell Risk Strategisk Risk Operationell Risk Compliance Risk

Cyberrisk

Affärsmål 1

Affä

rsm

ål Affärsmål 2

Affärsmål 3

Affärsmål 4

Internt intrång/händelse

Externtintrång Intrång via tredjepart Fysiskt

säkerhetsintrång

Grön Gul Röd Grön

Gul Röd Gul Grön

Gul Gul Röd Gul

Röd Grön Gul Röd

22


#PwCkunskapsdagar

Styrelsens principer för översikt av Cyber

23

Ett företagsövergripande perspektiv

Styrelseledamöter behöver förstå och närma sig cybersäkerhet som en

företagsövergripande utmaning, inte bara en IT-fråga

Kravställ och erbjud stöd

Styrelseledamöter bör kravställa ett systematiskt företagsövergripande

arbetssätt för hantering och rapportering av cyberrisker

Identifiera och hantera risker med tredje part

Hantering av cyberrisk behöver sträcka sig bortom företaget till affärspartners

(tredje part)

Säkerställ tillräcklig tid för diskussion

Diskussioner om hantering av cyberrisk bör ges regelbunden och tillräcklig tid på

styrelsens mötesagenda.Styrelsen bör ha tillgång till kompetens

inom cybersäkerhet.

Cybersäkerhet som en viktig del av kulturen

Styrelse och ledning behöver sätta tonen för säkerhet som en viktig komponent i

företagskulturen.

Förstå legala konsekvenser

Styrelseledamöter behöver förstå de regulatoriska och juridiska

konsekvenserna av cyberrisker relaterat till företaget och IT miljön

Källor: NACD and PwC


#PwCkunskapsdagar

Hantering av cyberrisk - Styrelsens resa

24

Förm

ågan

att

hant

era

cybe

rris

k so

m e

n de

l av

affä

ren

Ägare: CISO

Medvetenhet

Ägare: CISO

Förståelse

Ägare: ExCo

Bra styrning

Ägare: Styrelsen

Effektivt ledarskap

Förnekelse?

Medvetenhet och ledarskap

Styrelsens involvering

"Vi leder ett företag i den digitala tiden. Cyberrisk är en integrerad del av innovation och tillväxt, risken är ledd från toppen och hanteras av alla chefer "

"Vi hanterar cyberrisk aktivt, gör välinformerade val om hur vi driver vår verksamhet och ställer tydliga krav på chefer i linje med vår strategi.

"Vi har etablerat en förståelse för vår riskexponering men saknar styrningen för effektiv hantering"

"Vi förstår att cyber är ett relevant ämne och våra chefer informerar oss regelbundet"


#PwCkunskapsdagar

Exempel: Executive Dashboard

25

Cyberssäkerhet mognadsgrad

1 2 3 4 5

2021 mål(3.8)

Nuvarande(1.8)

Baserat på NIST ramverket

Affärspåverkan

Externt intrång

Fysiskt säk.intrång

60

Cyberhygien

Accesshantering

Sårbarhetshantering

Incidenter

50Säkerhetsmedvetenhet

Phishing

Utbildning och medvetenhet

Rapporterade överträdelser

60

Investeringsprestation

70De högsta orosmolnen för risk

Avbrott i kritisk verksamhet

Förlust av konfidentiell data

Phishing försök

Non-compliance med privacy regelverk

Applikationssårbarheter

Internt intrång/händ.

Intrång via tredjepart

Multifaktorsautentisering

Kameraövervakning

Awarenessprogram

Due diligence program


#PwCkunskapsdagar

När krisen inträffar – MAERSK i juni 2017

26

PwCPresentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]

27

Denna presentation har tagits fram endast som allmän information och/eller generell vägledning. Den utgör således inte någon professionell rådgivning. Du bör därför inte förlita dig på presentationen eller vidta några åtgärder på grundval av den utan att dessförinnan ha gjort avstämningar med en professionell rådgivare utifrån de förutsättningar som gäller i din situation. Med hänsyn härtill lämnar Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB ingen utfästelse eller garanti (uttrycklig eller underförstådd) för att informationen i presentationen är korrekt och/eller fullständig för dina syften och ändamål. Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB tar således inte något som helst ansvar för eventuella konsekvenser av att du väljer att förlita dig på eller agera utifrån informationen i denna presentation.

© 2019 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, “PwC” refers to Öhrlings PricewaterhouseCoopers AB or PricewaterhouseCoopers AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

Tack!pwc.se


Kontaktinfo

28

Nicklas Andreasson

Mobil: +46 (0)728 [email protected]

Documents

Vår cyberbudget ökar, gör det oss säkrare? · 2019. 11. 21. · 10 • ”Vi är ett av världens mest digitaliserade länder men det finns brister i säkerhetsarbetet hos myndigheter