Sikkerheds- og trusselsefterretninger

Hvordan baserer jeg mine analyser og vurderinger på de rigtige informationer? Og hvor finder jeg dem overhovedet?

Tomas Hellum og Michael Sjøberg diskuterer principper for god informationsindhentning i denne episode af Risiko Radio, hvor Tomas også løfter sløret for et nyt projekt, som skal styrke både risikovurderinger og trusselskatalog.

Remember to rate & review us – og 1000 tak fordi du lytter med på Risiko Radio!

Ransomware

Vi forhandler ikke med hackere (…eller gør vi?)

Hvad skal vi have på plads inden vi bliver udsat for afpresning? Hvordan minimerer vi skadens omfang? Hvor kan vi få hjælp? Og hvad er de etiske overvejelser?

Tomas Hellum og Michael Sjøberg tackler problemerne med cyber-afpresning i denne episode af Risiko Radio, hvor du bl.a. kan blive klogere på, hvad du skal have på plads INDEN det går galt.

Download materialerne til episoden om cyberangreb her:

 

 

Coronastatus

Hvordan går det (egentlig) med krisehåndteringen?

Tomas Hellum og Michael Sjøberg gør status på krisehåndtering i Danmark efter de to første ugers lockdown – hvad virker, hvad kan gøres bedre og hvad har manglet i beredskabet?

Og bare rolig – vi kommer med flere Risiko Radio opdateringer på krisehåndteringen 🙂

Tak fordi du lytter med på Risiko Radio!

Glædelig jul fra LinkGRC-teamet

LinkGRC holder juleferie fra d. 23.12.19 til d. 06.01.20. I ønskes alle en rigtig glædelig jul og godt nytår – vi ses i 2020.

 

Læring efter halvandet år med GDPR 

Forkromede juridiske rammeværker bliver nu forankret, operationaliseret og integreret meget bedre. Her cirka halvandet år efter GDPR-opstarten er mange virksomheder i gang med at gøre det smartere.

Mange virksomheder, som fik et digert juridisk rammeværk på plads omkring 25. maj sidste år, kunne glæde sig over, at de ’klarede skærene’, men nu er de i gang med en oprydning. Det store kompleks var måske nok juridisk set i fin form, men det savnede noget dynamik og noget eksekverbarhed. Jura-sprog egner sig sjældent til effektiv organisatorisk implementering, og den får man fokus på, når man står og skal opdatere og revidere sine dokumenter.

Der er mange steder hvor lovgivningen er blevet overfortolket og der dermed er brugt for mange resourcer som fx udarbejdelse af unødvendige databehandleraftaler og dataflow diagrammer.

For hvert dokument man opretter og bruger timer på, skal man allokere timer til årlig vedligeholdelse og opdatering. Mange større og forkromede overliggere skal brydes ned i helt konkrete og styrbare handlinger. Hvis man ikke har tænkt på dette dynamiske element, så står man meget hurtigt med en komplet forældet styring af persondata i sin virksomhed.

Det er den realitet, som nu banker på døren mange steder. Vi mærker den som øget efterspørgsel på at indbygge GDPR-kravene i den eksisterende risikostyring og informationssikkerhed. Og vi foreslår typisk at bruge den governance struktur og de metodikker, begreber og it-systemer, som allerede er i drift, til også at understøtte GDPR.

Datatilsynet fejrede et års fødselsdag med at indstille Taxa 4X35 til en bøde på 1,2 mio. kr for at beholde kundernes telefonnumre længere, end selskabet selv har meldt ud. På et kontrolbesøg fandt tilsynet data om op mod ni mio person-henførbare taxature, der var ældre end to år. Datatilsynet lægger altså op til at følge en linje, som flugter med intentionerne i GDPR.  En god grund til at gøre det nemt og effektivt at være compliant! Men hvordan bødestørrelsen ender må vi se.

 

Af Tomas Hellum, direktør for LinkGRC

og rådgiver inden for governance, risk og compliance

 

Sikkerhedsgodkendelser

…en røffel.

Tomas og Michael er tilbage i Risiko Radio studiet for at tale om sikkerhedsgodkendelser. Tomas er nemlig rendt i den irriterende problematik, at man fra myndighedernes side kræver at nogle medarbejdere i visse (typisk forsyningskritiske) virksomheder skal sikkerhedsgodkendes.

Problemet er, at der ikke findes en logisk og tydelig vejledning til, hvordan man skal gøre, når man har en medarbejder, som skal sikkerhedsgodkendes. Det skal der laves om på.

Du kan læse mere om Tomas og LinkGRC her: https://www.linkgrc.com
…og Michael og Human Advisor Group finder du her: https://humanadvisor.dk

Husk at dele episoden med dit netværk – og som altid 1000 tak fordi du lytter med på Risiko Radio!

Nye Cowboytricks

Simplificér dine IT-risikovurderinger.

Tomas Hellum og Michael Sjøberg taler risikovurderinger i denne uges episode af Risiko Radio – for hvordan pokker sikrer vi os, at vi får ført det løbende, effektive tilsyn med vores leverandører på IT-siden – så vi er compliant med GDPR.

Cowboy-tricksene bliver leveret af Tomas – og du kan fange ham her på Linkedin

…og Michael kan du linke op med her

Simplificér dine SOP’er!

Risiko Radio epsiode 067: Interview med Ulrich Perch-Nielsen, Danske Bank

Tomas Hellum & Michael Sjøberg er i denne episode af Risiko Radio taget på besøg hos Danske Bank for at mødes med Ulrich Perch-Nielsen, som står i spidsen for bankens “SOP Simplification Program”.

Hvis du sidder og arbejder med processer, arbejdsgange eller SOP’er er der simpelthen så mange guldkorn at hente i denne episode, hvor Ulrich deler ud af sine erfaringer med at forenkle Danske Banks enorme bagkatalog af Standard Operating Procedures.

Danmark kan håndtere it-sikkerhed smartere

Lad os dele erfaringer, trusselskataloger og risikovurderinger langt bedre. Vi har måske brug for et dansk non-profit-organ til at samle trådene.

Mærsks åbenhed om milliardomkostninger afledt af cyberkriminalitet er blot ét af mange tegn på en stor og voksende trussel inden for it-sikkerhed. Derfor er en styrket risikostyring på dagsordenen hos store og små virksomheder og hos både offentlige og private. Logisk nok arbejder vi også sammen i sektorer og brancher for at løfte vores forståelse og beredskab. Bankerne arbejder sammen for at dele erfaringer, og i den offentlige sektor går man frem sektor for sektor. Men der er stadig store muligheder for at arbejde langt mere intelligent og stringent med vores ressourcer for at få mest mulig sikkerhed for pengene. Helt overvejende er det stadig op til den enkelte virksomhed at dokumentere sin indsats inden for governance, risk og compliance (GRC), og med et så foranderligt trusselsbillede, som vi ser på it-sikkerhedsområdet, er det en frygtindgydende opgave.

Risiko på tværs af sektorer

Staten har sat gang i at gennemgå de enkelte sektorer, som udgør kritisk infrastruktur for Danmark. Logisk og fornuftigt. Umiddelbart er der stor forskel på fx sundhedssektoren og energisektoren, men i en risiko-kontekst deler de en lang række behov, som giver belæg for at samle og koordinere endnu bedre, end vi gør det idag. Sektor for sektor skal man gennemføre trusselvurderinger og risikoprofiler på leverandører, teknologier og produktionsapparat. Men mange af disse er jo fælles for sektorerne – eksempelvis Apples iPhone, Microsoft365, en server fra IBM, en generator fra ABB og mange flere. Problemer med strømforsyning er trussel for både kraftværket, hospitalet og produktionsvirksomheden. Hvorfor ikke koordinere den opdaterede risikovurdering af de største leverandører på nationalt niveau? Argumentet gælder også for trusselskataloger, for selv om der forskelle i vægt og betydning af forskellige trusler, så er der også en vis fællesmængde, som man med fordel kunne få ”forærende” udefra.

En uendelig opgave

En risikovurdering af en it-platform eller et stykke teknisk infrastruktur kan i hele træskolængder kræve hundredevis af timer af en specialist, og omkostningen løber hurtigt op. Og det skal så ganges med antallet af produkter, hvor man skal gennemføre en sådan vurdering. En stor byrde for den enkelte virksomhed, en dråbe i havet for samfundet. Ikke mindst set i relation til de enorme omkostninger, som er forbundet med at blive ramt af nedbrud og angreb.

Præmissen på it-sikkerheds-området er, at opgaven aldrig bliver løst. At tegne sit risikobillede, udforme politikker og designe et kontrolregime er måske en femtedel af GRC-opgaven. Det afgørende er den løbende opdatering, den jævnlige kontrol og den konsekvente operationelle opfølgning. Er det, vi har aftalt stadig det, som er operationelt? At definere, hvad vi skal have styr på, er nu engang noget nemmere, end rent faktisk at have styr på det. Derfor er GRC først og fremmest en stor operationel opgave, hvis man seriøst vil afdække sig for de største risici. Vi har alle glæde af at få lettet opgaven ved at dele, pulje og genbruge dele af risikovurderingen på generiske elementer.

Farvel til nulfejlstænkning

En samlende enhed må nødvendigvis være non-profit, fordi afhængigheden af dens ydelser bliver ganske stor. Der skal også fintænkes på, hvor grænsen for denne ydelse går, så den ikke tager brødet ud af munden på den base af ekspertkonsulenter, som i dag bidrager til at løfte GRC-området. I den sammenhæng må man bare huske, at opgaven er stor og stadig voksende. Der er rigeligt at tage fat på for et lille land som Danmark.

Af samme grund kan vi roligt vinke farvel til tanken om nul fejl. Virksomhederne – i hvert fald de største – har indset, at man ikke kan opnå 100 pct it-sikkerhed. Her arbejder vi metodisk med løbende risikovurderinger og fleksible kontrolregimer under løbende optimering. Målet er, at risikotænkningen bliver indlejret i kulturen, så vi har risikoelementet med i forretningsmæssige beslutninger på alle niveauer.

Det politiske system med ministeransvar kan føre til, at fejl og risici er ganske forældreløse. Måske er det ligefrem karrierehæmmende at sætte spot på risikoen og arbejde med den. På den baggrund er det nok mere perspektivrigt at lægge en non-profit-organisation midt mellem den offentlige og den private sektor med en finansiering og en målsætning, som ikke giver en minister ansvaret for at skabe Danmarks ”databank” af trusselsvurderinger og risikoanalyser.

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

 

Blød sikkerhed – interview med Martin Falck-Hansen og Nicolai Elberling

Martin Falck-Hansen og Nicolai Elberling er gæster hos Michael Sjøberg i Risiko Radio studiet i denne episode.

Martin er chef for intern revision i KMD og Nicolai er selvstændig konsulent. Og sammen har de udviklet en ny tilgang til at øge medarbejdernes risikoadfærd og sikkerhedsforståelse.

Hør mere om, hvorfor det er vigtigt at lytte og forstå medarbejdernes hverdag og motivation – og ikke bare docere og skælde ud. Og find ud af, hvordan en modenhedstrappe endte som et timeglas i stedet.

LINKS:

Martin Falck-Hansen på LinkedIn: https://www.linkedin.com/in/mfalck/
Nicolai Elberling på LinkedIn: https://www.linkedin.com/in/nicolaielberling/

Timeglasmodellen for modenhed: https://elberling.uk/security-culture-maturity-model/

BØGER:
Nancy Durate: Resonate
https://www.amazon.com/Resonate-Present-Stories-Transform-Audiences/dp/0470632011

Switch: How to change things when change is hard
by Chip & Dan Heath
https://amzn.to/2TWdhup

Made to Stick: Why some ideas take hold and others come unstuck
by Chip & Dan Heath
https://amzn.to/2NeuP2d

Skin in the Game: Hidden Asymmetries in Daily Life
by Nicholas Nassim Taleb
https://amzn.to/2IzRun7