Codans It-sikkerhed

Man må ikke råbe ”ulven kommer” hele tiden

Metodisk, jordnær og nøgtern er dækkende ord for arbejdet med it-mæssig risikostyring i et af Skandinaviens største og ældste forsikringsselskaber. Cyber-risikoen er voksende og trækker flere ressourcer til sig hos Codan.

Metodisk, jordnær og nøgtern er dækkende ord for arbejdet med it-mæssig risikostyring i et af Skandinaviens største og ældste forsikringsselskaber. Cyber-risikoen er voksende og trækker flere ressourcer til sig hos Codan. Forsikringsselskaberne digitaliserer dybere og bredere år for år. Det betyder, at risikoen forbundet med selskabernes it-sikkerhed vokser. Samtidig bliver it-kriminelle globalt set også mere avancerede, og derfor er den it-mæssige risiko generelt voksende i disse år. Hos Codan arbejder man metodisk og it-understøttet med 69 nøgle-risikoindikatorer, som samlet giver et overblik over, hvordan selskabet lever op til sine it-politikker.

”Vi står generelt over for et mere kompliceret og truende risikobillede på it-området, end vi har gjort tidligere. Man må ikke råbe ”ulven kommer” hele tiden, for så mister man sin troværdighed, men selvfølgelig arbejder vi hele tiden på at skærpe sikkerheden og minimere risici,” siger it-sikkerhedschef Frank Andersen fra Codan, hvor 1.200 danske medarbejdere hjælper 340.000 husstande og 50.000 virksomheder med årligt omkring 200.000 skader. Codan er en del af RSA Group, som er et af verdens største forsikringsselskaber med omkring 19.000 medarbejdere og 17 millioner kunder.

STYR PÅ RISIKOAPPETITTEN

Codan har en defineret it-sikkerhedspolitik, som udmønter sig i et sæt af målinger og kontroller. ”Risk Appetite Framework” samler de mange indikatorer, og Codan understøtter dette arbejde med en it-løsning fra LinkGRC. 150 medarbejdere og 400 personer i alt, hvis man tæller underleverandører med, arbejder med it i koncernen på skandinavisk plan. Ansvaret for kontroller og procedurer ligger hos cirka 50 medarbejdere, som skal udføre kontrollen og rapportere i LinkGRC-systemet.

”Opgaven er for stor og uoverskuelig til at klare med regneark. LinkGRC-løsningen er blevet et nøgleværktøj for os, fordi den gør det nemt at rapportere og følge op,” siger Frank Andersen. ”LinkGRC’s konsulenter var med til at udvikle hele vores opfølgning på it-sikkerhedspolitikken, og rådgivningen fra den side er både konkret og beroligende. Det handler om konkrete tiltag og faktisk adfærd i vores organisation, og det har vi fokus på i arbejdet med it-sikkerhed. En basal kontrol er eksempelvis, at en bestemt server har den seneste og sikreste software. Sikkerhed handler jo om noget helt nede på jorden.”

TRANSPARENS I RISIKOSTYRING

Trusselsbilledet på it-området har mange facetter, og tanken om nul fejl og nul risiko hører fortiden til. Derfor skal man ifølge Codan hele tiden arbejde med det vigtigste, og man skal gøre det nemt for flest mulige at gøre det rigtige.

”Helt overordnet skal vi dokumentere, hvad vi gør, og vi skal hele tiden kunne redegøre for, hvordan vi prioriterer. Denne transparens er meget vigtig, fordi den giver os mulighed for at korrigere. For selvfølgelig kunne vi komme et skridt videre, hvis vi målte på flere end de 69 af de 170 risikoindikatorer, vi har identificeret i forhold til it,” siger Frank Andersen.

På samme måde er det vigtigt, at procedurer og kontroller bliver så letforståelige som muligt og så nemme at gennemføre som muligt. Risikostyringen
må aldrig blive en paradedisciplin.

NEMT AT BRUGE

”Nogle af it-systemerne og koncepterne til at understøtte governance, risk og compliance ude på markedet er blevet meget funktionstunge og dermed sværere at bruge. Vi synes, at LinkGRC gør det simpelt og pædagogisk. F.eks. kan man kopiere sit svar tidligere på en given kontrol, hvis der ikke er nogle ændringer. Det vigtige er, at kontrollen bliver gennemført og rapporteret. LinkGRC er blevet et nøgleværktøj for Codan især på it-området, men også i den operationelle risikostyring på skadesområdet,” siger Codans it-sikkerhedsansvarlige.

Den konkrete tilgang bruger Codan også i forhold til netværket af underleverandører, som jo altså så møder krav til sikkerhedsniveauer for deres bygninger, overvågning og versionskontrol.

”Vi kan godt blive mødt med irritation, når vi stiller firkantede krav. Men når selskabets samlede it-sikkerhed afhænger af sikkerhedsniveauet hos tredjepart, så er vi nødt til at gå i den retning,” siger Frank Andersen.

På længere sigt forventer Codans it-sikkerhedschef, at den digitale teknologi vil udvikle og tage en større plads, og at Codan kommer til at udvikle bedre mekanismer til at håndtere alle aspekter af digitaliseringen. Automatisering, maskinovervågning og cloud-services bliver vigtige elementer fremover, og derfor får man også bedre check på partnerlandskabet i forhold til it-sikkerhed. Selv om forsikringsselskaber er verdensmestre til at levere risikoanalyser, før de tager en kunde ind i forretningen og dermed påtager sig risikoen for kundens hændelser, mener den
erfarne it-mand fra Codan, at forsikringsselskaber selv kan blive bedre til at vurdere deres egen operationelle risici.

“Nogle af it-systemerne og koncepterne til at understøtte
governance, risk og compliance ude på markedet er blevet
meget funktionstunge og dermed sværere at bruge. Vi synes,
at LinkGRC gør det simpelt og pædagogisk”

– Frank Andersen, it-sikkerhedschef hos Codan.

 

 

 

 

Download som PDF

Kom godt i gang med dit GRC-projekt nu. Vi står klar til at hjælpe i alle faser. Send os en besked og vi kontakter dig hurtigst muligt.

Skriv til os her

Behandlingen og opbevaringen af dine oplysninger er beskrevet i vores privatlivs- og cookiepolitik, som du finder her.