Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Vår cyberbudget ökar, gör det oss säkrare?
Nicklas AndreassonKunskapsdagarna 26-27 november 2019
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
”Det skall bara funka”eller
är kvalitet viktigare än så för din verksamhet?
En kostnadseffektiv och affärsutvecklande digitalisering- vad är det för dig?
2
PwC
Cybersäkerhet i kontext
3
Ökad digitalisering
Växande cyberrisk
Nya regleringar
Moln Uppkopplade enheter Big dataDigital
valuta
Nya utvecklade hot
Fler anslutningar
Kompetens-brist Kapprustning
Dataskydds-Förodningen
(GDPR)
NIS-direktivet
Säkerhets-skyddslagen
Sektorsspecifika regleringar
Kunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Hotlandskapet och dess påverkan
4
Operationell Risk
Strategisk Risk
Compliance Risk
Bristande produktdesign
Tvister
Konsekvenser för Top-line
Konsekvenser för Bottom-line
Kostnad för reparation och underhåll
Kostnad hantering och återställning
Produktivitetsförlust
Rättegångskostnader
Regulatoriska påföljder
Finansiell Risk
Dataintrång
Avbrott/Drift-
störningar
Stöld/ Bedrägeri
Insiderbrott
Läckta affärs-
hemligheter
Pådrivande reglering
Ineffektiv supply chain
Förlust av intäkter
Förlust av kundernas förtroende
Erosion av marknadsvärde
Strategisk nackdel
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Cyberhotlandskapet
Antagonister
Motiv
Mål
Påverkan på verksamheten
Påverkan på samhället
Ökande uppkoppling
Framväxande teknik
Cyber-hot
National-stat
Terrorist Organiserad brottslighet
Hacktivist Insider
Driva social eller
affärsmässig förändring
Finansiellt Patriotism Ekonomisk och/eller
militär fördel
Hämd
Företags-hemligheter
Ideologiska följare
Kritisk infrastruktur
Ny teknologi Konfidentiell information
5
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
6
När krisen inträffar – Norsk Hydro i mars 2019
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
7
När krisen inträffar – Norsk Hydro i mars 2019
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
8
När krisen är ett faktum – Norsk Hydro i april 2019
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Digital pandemi – Hur illa kan det egentligen gå?
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Säkerhetspolischefen har ordet
10
• ”Vi är ett av världens mest digitaliserade länder men det finns brister i säkerhetsarbetet hos myndigheter och företag. Det gör att gapet mellan hot och säkerhet växer, något som (främmande) statliga aktörer utnyttjar.”
• ”Samtidigt ser vi att svensk skyddsvärd verksamhet har sårbarheter bland annat kopplat till brister i upphandling och kontroll av exempelvis utkontraktering av it-drift.”
• ”Att minska sårbarheterna är något som alla, hela samhället, måste prioritera högre och ta ansvar för.”
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Incidenter
Kriser
i ofasKompetensbristen inom
Cyber Security är akut hos många företag och organisationer!
11
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Självutvärdering digital kompetensHar ni följande förmågor? Vilken är viktigast? Vilken är ni själv bäst på?
12
01
02
03
04
Kunna förstå hur digitaliseringen påverkar samhället och individen
Kunna använda och förstå digitala verktyg och medier
Ha ett kritiskt och ansvarsfullt förhållningssätt till digital teknik
Kunna lösa problem och omsätta idéer i handling på ett kreativt sätt med användning av digital teknik
(https://www.skolverket.se/getFile?file=4206)(Reviderad läroplan för grundskolan 2019, sidan 7)
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Mer än bara teknik och policydokument…
13
Policy, riktlinjer, rutiner och standards
Övervakning, kontroll, revision och förbättringar
Utbildning Attityd och medvetenhet Övningar
IT- och nätverks-säkerhet
Fysisk säkerhet
ADMINISTRATIV SÄKERHET
BETEENDEMÄSSIG SÄKERHET
TEKNISK SÄKERHET
INFORMATIONSSÄKERHET
Bättre att ”vänta” med digitaliseringens möjligheter?
14Kunskapsdagarna Göteborg 2019PwC
#PwCkunskapsdagar
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
15
PSD2NIS
Drivkraft 1 - Nya lagkrav för informations- och cybersäkerhet
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
16
Drivkraft 2 - En ökad medvetenhet leder till nya, ökade kundkrav
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
17
Drivkraft 3 - Incidenter och kriser
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
18
Toppfrågor från styrelser och ledningsgrupper angående cyberrisk
1. Vilka är våra främsta cyberrisker och hur mycket exponering motsvarar de?
2. Var fördelar vi pengar och resurser?
3. Hur effektivt reducerar våra investeringar risk?Investerar vi för lite eller för mycket?
#PwCkunskapsdagar
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Påverkan
Frågor att överväga i bedömningen av cyberrisk
19
Varför skulle det hända oss?
Om det händer, kommer det vara framgångsrikt?
Om det är framgångsrikt,
vad blir konsekvenserna?
Hur mycket och i vad ska vi investera i säkerhet?
Hot Sårbarhet Cyberrisk
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Cyberriskhantering
20
1. Analysera risklandskapet2. Kontinuerlig
riskbedömning och rapportering
3. Implementera, underhålla och rapportera om
kontroller
4. Definiera och övervaka acceptabel mängd risk
AffärspåverkanKronjuveler
Hotprofil IT, Säkerhet & Reselisens kontrollramverk
Identifiera Värdera Övervaka och rapportera
Definiera och övervaka
risktolerans
Kontinuerliga förbättringar
1. Vad är våra största cyberrisker och hur mycket exponering representerar de?
2. Vart fördelar vi resurser och pengar?
3. Hur effektiva är våra investeringar i riskreduktion? Investerar vi för lite eller för mycket?
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Verklig exponering av cyberrisker
Förlust-Scenario 1
Förlust-Scenario 2
Illustrativt Värde som riskeras
Värde som riskeras = 260 miljoner från scenario
Direkta finansiella värden
Intäktsförlust
Avhjälpande kostnader
Anställdas reaktion
Minskad produktivitet
Minskad tillfredsställelse
Verksamhet
Avbrott
Kvalitetsförsämring
Kundkvalitet
Minskad upplevd service
Kunddata
Persondata
Intressenters uppfattning
Affärspartners
Regulatorer
NGOs
Media
Etc.
100M 50M 10M 55M 30M 15M
21
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
● Kategorisering av cyberrisk
● Kontinuerlig bedömning cyberrisk
● Definiera risktolerans
● Övervaka och rapportera genom
mät- och gränsvärden
● Styrelsen och ledningen förstår
tydligt affärsverkan av cyberrisker
● Rätt prioritering av investeringar i
Cybersäkerhet
Säkrare verksamhet
22
Cyberrisk kopplat till affärsmål
Enterprise RiskLevel 1
Level 2
Level 3
Level 4
Finansiell Risk Strategisk Risk Operationell Risk Compliance Risk
Cyberrisk
Affärsmål 1
Affä
rsm
ål Affärsmål 2
Affärsmål 3
Affärsmål 4
Internt intrång/händelse
Externtintrång Intrång via tredjepart Fysiskt
säkerhetsintrång
Grön Gul Röd Grön
Gul Röd Gul Grön
Gul Gul Röd Gul
Röd Grön Gul Röd
22
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Styrelsens principer för översikt av Cyber
23
Ett företagsövergripande perspektiv
Styrelseledamöter behöver förstå och närma sig cybersäkerhet som en
företagsövergripande utmaning, inte bara en IT-fråga
Kravställ och erbjud stöd
Styrelseledamöter bör kravställa ett systematiskt företagsövergripande
arbetssätt för hantering och rapportering av cyberrisker
Identifiera och hantera risker med tredje part
Hantering av cyberrisk behöver sträcka sig bortom företaget till affärspartners
(tredje part)
Säkerställ tillräcklig tid för diskussion
Diskussioner om hantering av cyberrisk bör ges regelbunden och tillräcklig tid på
styrelsens mötesagenda.Styrelsen bör ha tillgång till kompetens
inom cybersäkerhet.
Cybersäkerhet som en viktig del av kulturen
Styrelse och ledning behöver sätta tonen för säkerhet som en viktig komponent i
företagskulturen.
Förstå legala konsekvenser
Styrelseledamöter behöver förstå de regulatoriska och juridiska
konsekvenserna av cyberrisker relaterat till företaget och IT miljön
Källor: NACD and PwC
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Hantering av cyberrisk - Styrelsens resa
24
Förm
ågan
att
hant
era
cybe
rris
k so
m e
n de
l av
affä
ren
Ägare: CISO
Medvetenhet
Ägare: CISO
Förståelse
Ägare: ExCo
Bra styrning
Ägare: Styrelsen
Effektivt ledarskap
Förnekelse?
Medvetenhet och ledarskap
Styrelsens involvering
"Vi leder ett företag i den digitala tiden. Cyberrisk är en integrerad del av innovation och tillväxt, risken är ledd från toppen och hanteras av alla chefer "
"Vi hanterar cyberrisk aktivt, gör välinformerade val om hur vi driver vår verksamhet och ställer tydliga krav på chefer i linje med vår strategi.
"Vi har etablerat en förståelse för vår riskexponering men saknar styrningen för effektiv hantering"
"Vi förstår att cyber är ett relevant ämne och våra chefer informerar oss regelbundet"
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
Exempel: Executive Dashboard
25
Cyberssäkerhet mognadsgrad
1 2 3 4 5
2021 mål(3.8)
Nuvarande(1.8)
Baserat på NIST ramverket
Affärspåverkan
Externt intrång
Fysiskt säk.intrång
60
Cyberhygien
Accesshantering
Sårbarhetshantering
Incidenter
50Säkerhetsmedvetenhet
Phishing
Utbildning och medvetenhet
Rapporterade överträdelser
60
Investeringsprestation
70De högsta orosmolnen för risk
Avbrott i kritisk verksamhet
Förlust av konfidentiell data
Phishing försök
Non-compliance med privacy regelverk
Applikationssårbarheter
Internt intrång/händ.
Intrång via tredjepart
Multifaktorsautentisering
Kameraövervakning
Awarenessprogram
Due diligence program
PwCKunskapsdagarna Göteborg 2019
#PwCkunskapsdagar
När krisen inträffar – MAERSK i juni 2017
26
PwCPresentation Title [View > Master and edit/delete on very top slide master] Date [View > Master and edit/delete on very top slide master]
27
Denna presentation har tagits fram endast som allmän information och/eller generell vägledning. Den utgör således inte någon professionell rådgivning. Du bör därför inte förlita dig på presentationen eller vidta några åtgärder på grundval av den utan att dessförinnan ha gjort avstämningar med en professionell rådgivare utifrån de förutsättningar som gäller i din situation. Med hänsyn härtill lämnar Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB ingen utfästelse eller garanti (uttrycklig eller underförstådd) för att informationen i presentationen är korrekt och/eller fullständig för dina syften och ändamål. Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB tar således inte något som helst ansvar för eventuella konsekvenser av att du väljer att förlita dig på eller agera utifrån informationen i denna presentation.
© 2019 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, “PwC” refers to Öhrlings PricewaterhouseCoopers AB or PricewaterhouseCoopers AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.
Tack!pwc.se
PwCKunskapsdagarna Göteborg 2019
Kontaktinfo
28
Nicklas Andreasson
Mobil: +46 (0)728 [email protected]