Áhættustjórnun- aðferðir, umgjörð og ljónin í veginum

Viðburður er liðinn
5. maí 2021 08:45 - 10:00
Fjarfundur
Upplýsingaöryggi, Persónuvernd,

Microsoft Teams meeting

Click here to join the meeting

______________________

Örar breytingar í umhverfi fyrirtækja fela í sér aukna áhættu í rekstri, því er mikilvægt að fyrirtæki séu meðvituð um þá hættu sem ógnað getur starfsemi þeirra. Þá þurfa fyrirtæki einnig að hlíta við kröfum laga og reglugerða hvað varðar áhættustjórnun. Fyrirtæki þurfa að greina, meta, stýra, hafa eftirlit með og endurskoða áhættu í starfsemi sinni en til þess þarf að vera til staðar skýrt og skilgreint ferli.

Fyrirtækin CreditInfo og Orkuveita Reykjavíkur munu miðla reynslu sinni m.a. hvaða aðferðir og umgjörð þau hafa skapað sér við áhættustjórnun ásamt því hvaða ljón hafa orðið á vegi þeirra í vegferðinni.

Sigríður Laufey Jónsdóttir, persónuverndarfulltrúi og forstöðumaður Þjónustu- og lögfræðingasviðs Creditinfo. Laufey er lögfræðingur frá Háskóla Íslands með héraðsdómslögmannsréttindi. Áður starfaði hún sem sviðsstjóri hjá Umboðsmanni skuldara, sem sviðsstjóri hjá Motus og Lögheimtunni og sem forstöðumaður í Búnaðarbanka Íslands. Laufey hefur starfað hjá Creditinfo frá árinu 2015 og tekið þátt í að innleiða nýju persónuverndarlöggjöfina í starfsemi félagsins.

Ábyrg meðferð og vinnsla upplýsinga er hornsteinninn í starfsemi Creditinfo. Félagið hefur innleitt og fengið vottaðan ISO 27001 staðalinn um stjórnun upplýsingaöryggis. Persónuverndarfulltrúi og upplýsingaöryggisstjóri hafa unnið náið saman að gerð áhættumats. Hafin er vinna við að samþætta og samræma gerð áhættumats á upplýsingaöryggi og persónuvernd. Farið verður yfir það af hverju Creditifno telur slíkt vænlegt og hvaða skref hafa verið tekin í þá átt.  

 

Olgeir Helgason, sérfræðingur í stjórnunarkerfum og upplýsingaöryggisstjóri Orkuveitu Reykjavíkur (OR). Olgeir er með  BS í rafmagnstækifræði frá Odense Teknikum (nú SDU í Danmörku). Lauk viðskipta- og rekstrarfræði frá HÍ. Hóf störf árið 1984 hjá Rafmagnsveitu Reykjavíkur sem síðar varð að Orkuveitu Reykjavíkur og hefur gegnt 3 mismunandi störfum innan samstæðunnar á öllum þessum árum.

Orkuveita Reykjavíkur og dótturfélögin Veitur, Orka náttúrunnar, Gagnaveita Reykjavíkur og Carbfix hafa innleitt og fengið vottuð eða viðurkennd átta stjórnunarkerfi. Flest kerfanna eru lögbundin stjórnunarkerfi sem byggja á vottuðum stjórnunarkerfum og er áhættu grunduð hugsun komin inn í öll stöðluðu stjórnunarkerfin. OR reyndi að meðhöndla og skrá áhættur allra stjórnunarkerfanna eftir einu og sama kerfinu og vinna með áhættur á sama hátt hvort sem um var að ræða áhættur vegna gerlamengunar í köldu vatni, nýtingaráætlunar gufu á Hellisheiði eða bilunar í afritunarþjarki fyrir UT -  Sjáum hvernig fór!

Staðsetning viðburðar

Eldri viðburðir

19 maí 2022

Spjallborðsumræður - FRESTAÐ UM ÓÁKVEÐINN TÍMA

19. maí 2022 08:45 - 10:00 / Fjarfundur

Nú er góðum lærdómsvetri senn að ljúka þar sem við fengum til okkar frábæra fyrirlesara. Þrátt fyrir marga góða fyrirlestra undanfarin misseri eru það oft umræðurnar sem skilja hvað mest eftir sig. 

Á þessum viðburði Faghóps um upplýsingaöryggi ætlum við að láta reyna á nýtt fyrirkomulag þar sem umræður munu leika aðalhlutverkið. Við höfum fengið með okkur marga af fyrirlesurum seinasta árs til að vera tilbúin í umræður og svara spurningum. Þetta fyrirkomulag köllum við Spjallborðsumræður - þar sem hver sem er getur spurt hvern sem er að einhverju sem þeim langar til að fræðast meira um. 

Margar af undanförnum kynningum hafa lýst hvernig fyrirlesarar stefna á eða eru að takast á við áskoranir og áhættur tengdar upplýsingaöryggi. Núna gefst okkur tækifæri til að heyra hvernig sú vegferð gengur. Þá er einnig tækifæri til að spyrja þeirra brennandi spurninga sem gafst ekki tækifæri til að spyrja seinast.

Hægt verður að senda inn spurningar eða tillögur að umræðuefni fyrir fundinn til að þau sem standa fyrir svörum hafi tækifæri til að undirbúa sig enn betur (nánari upplýsingar koma síðar). Þá verður einnig hægt að spyrja spurninga á viðburðinum sjálfum. 

Hlökkum til að sjá sem flesta! 

 

13 maí 2022

Aðalfundur faghóps um upplýsingaöryggi

13. maí 2022 09:00 - 09:30 / Fjarfundur

Stjórn faghóps um upplýsingaöryggi boðar hér til aðalfundar fyrir starfsárið 2021-2022.  Farið verður yfir ýmis málefni er varðar faghópinn ásamt því að kjósa nýja stjórn og formann. 

Dagskrá fundar:

  • Kynning á faghópnum    
  • Samantekt á starfi vetrarins
  • Kosning formanns og stjórnar 
  • Næsta starfsár faghópsins
  • Önnur mál 

Þeir sem hafa áhuga á að taka að sér formennsku stjórnar eða fara í stjórn geta haft samband við Önnu Kristínu Kristinsdóttur, formann stjórnar faghópsins, í gegnum netfang annakk86@gmail.com eða í síma 692-5252.

Fundurinn fer fram á teams, hér er beinn hlekkur á fundinn. 

28 apr. 2022

Upplýsingagjöf til stjórnenda - ábyrgð stjórnenda á upplýsingaöryggi

28. apr. 2022 08:45 - 10:00 / Fjarfundur

Fundurinn verður haldinn á Teams. Hér er hlekkur á fundinn.  

Kröfur um upplýsingagjöf og rýni stjórnenda eru fjölbreyttar, hvort sem þær eru kröfur ISO27001 um rýni stjórnenda eða leiðbeiningar um góða stjórnarhætti. Reglulega þarf að fara fram rýni á mikilvægum þáttum upplýsingaöryggis (s.s. markmiðum, eftirlitsaðgerðum, stefnum og ferlum) til að tryggja virkni og rýna hvort stjórnkerfið henti áfram í óbreyttri mynd. Þá er einnig mikilvægt að stjórnendur séu meðvitaðir um stöðu og þroskastig og þekki þær áhættur sem steðjað geta að þeirra skipulagsheild m.a. svo hægt sé að forgangsraða og veita verkefnum nauðsynlegan stuðning. 

Mörgum þykja mál tengd upplýsingaöryggi flókin, skilja ávallt ekki þær kröfur sem fara ber eftir eða þykir það ekki hafa næga tæknilega þekkingu. Það getur því verið krefjandi að kynna og upplýsa stjórnendur um svo mikilvægt málefni. Í ljósi þess þarf upplýsingagjöf til stjórnenda að vera markviss, gagnleg og tímanleg. Hægt er að nýta margvíslegar leiðir til þess!

Á þessum viðburði fáum við að kynnast því hvernig þrjú fyrirtæki hafa komið sér upp aðferðum sem notaðar eru til þess að upplýsa stjórnendur, kynnumst þeim aðferðum og fáum að heyra hvernig þær hafa virkað. 

Ragna Elíza Kvaran, Upplýsingaöryggisstjóri hjá VÍS. Ragna hefur unnið í tíu ár hjá VÍS og hefur sinnt þar gæðamálum, verið skjalastjóri og persónuverndarfulltrúi en er nú upplýsingaöryggisstjóri og hefur sinnt því hlutverki frá árinu 2014. Ragna er með meistaragráðu í Electronic Information Management og B.A. í bókasafns- og upplýsingafræði. Ragna segir frá innleiðingu á verklagi í samskiptum sínum við innri nefndir og nefndir á vegum stjórnar. Hvernig VÍS hefur með einföldu skipulagi tryggt nauðsynlega upplýsingagjöf til nefnda og stjórnar. Einnig tryggt að upplýsingaöryggi sem málaflokkur sé reglulega á dagskrá, að umræður og ákvarðanir séu skjalaðar með réttum hætti og verið sé að fylgja því stjórnskipulagi sem stjórn setur. 

Ragnar F. Magnússon, Upplýsingaöryggisstjóri hjá Landsvirkjun. Ragnar er menntaður rafmagnsverkfræðingur frá KTH í Stokkhólmi og er með SANS vottanir í GCIH, GPEN og GCFA. Hann hefur víðtæka reynslu af upplýsingaöryggi og hefur m.a. starfað sem tæknilegur öryggisstjóri hjá Arion Banka og sérfræðingur í upplýsingaöryggi hjá Nýherja. 

Arnar S. Gunnarsson, Director of IT Security hjá Controlant. Arnar hefur unnið við hönnun og rekstur tölvukerfa í tæp 20 ár og hefur sérhæft sig í öryggismálum í meira en 12.ár. Hann hefur haldið erindi á fjölda ráðstefna erlendis um öryggismál og hefur unnið með stærstu fyrirtækjum landsins á þeim vettvangi. Áður starfaði hann sem Innviðahönnuður Arion Banka og Tæknistjóri hjá Origo. Arnar er með fjölda af alþjóðlegum öryggisgráðum en þar má t.d. nefna "Hacking Forensic Investigator" og ,,Ethical Hacker". Arnar er þessa dagana að ljúka við MBA gráðu hjá HR. 

 

 

 

23 mar. 2022

Öryggi í aðfangakeðjunni - næstu skref / Vendor Risk Management

23. mar. 2022 14:00 - 15:00 / Fjarfundur/Virtual meeting

Fundurinn fer fram í formi fjarfundar á Teams. Hér er hlekkur á fundinn.   

English Version below. 

Síðasta haust hélt faghópur um upplýsingaöryggi hjá Stjórnvísi viðburð um öryggi í aðfangakeðjunni, 
sá viðburður veitti góða yfirsýn yfir mikilvægi þess að ná betri stjórn á aðfangakeðjunni.  

Á þessum viðburði verður farið  yfir skilvirka aðferð um hvernig hægt er að stíga fyrstu skref til að ná 
betri stjórn á þessu mikilvæga málefni.  

Aðferðin sem farin verður yfir er einföld í innleiðingu og notkun fyrir fyrirtæki af öllum stærðargráðum.  

Við munum fá til okkar Brian Haugli sem er stofnandi og meðeigandi á fyrirtækinu SideChannel. Hann hefur innleitt öryggisstjórnkerfi til fjölda ára og mun koma með praktíska nálgun á viðfangsefnið. 

Fundurinn fer fram í formi fjarfundar á Teams. Hér er hlekkur á fundinn.   

 ___________________________________________________________________________________

 Last fall the group of Information Security Management at Stjórnvísi held an event about Vendor Risk Management, a high level approach was provided of how that could be done.  

This time we want to provide more detailed and practical approach of how Vendor Risk Management could be performed in coordination with Brian Haugli.   

Brian Haugli is the Managing Partner and Founder of SideChannel. He has been driving security programs for two decades and brings a true practitioner's approach to the industry. He has led programs for the DoD, Pentagon, Intelligence Community, Fortune 500, and many others. Brian is the contributing author for the latest book from Wiley, “Cybersecurity Risk Management: Mastering the Fundamentals Using the NIST Cybersecurity Framework“. 
 
At SideChannel, we match companies with an expert virtual CISO (vCISO), so your organization can assess cyber risk and ensure cybersecurity compliance — all without jeopardizing your financial assets. https://www.sidechannel.com   

 

23 feb. 2022

Stafræn vegferð - er hægt að hlaupa hratt með öruggum hætti?

23. feb. 2022 08:45 - 10:00 / Fjarfundur

 

Click here to join the meeting 

Fjölmörg fyrirtæki hafa lagt af stað í stafræna vegferð með það markmið að einfalda og besta ferla, auka skilvirkni og bæta þjónustu við viðskiptavini sína. En hvernig er hugað að upplýsingaöryggi þegar markmið slíkra vegferða er oft að reyna að hlaupa sem hraðast? Mikið af þeim ferlum sem verið er að bæta snúast m.a. um trúnaðarupplýsingar starfsfólks eða viðskiptavina og þess vegna er sérstaklega mikilvægt að vel sé staðið að málum þegar þegar slíkar breytingar eru gerðar á tengdum ferlum. 

Á þessum viðburði mun faghópur um upplýsingaöryggi leitast við að skoða hvernig fyrirtæki og stofnanir sem eru framarlega og hafa verið sýnileg í stafrænni vegferð sinni tryggja öryggi upplýsinga. 

Þröstur leiðir Stafræna Reykjavík hjá Reykjavíkurborg. Hann hóf störf hjá borginni 2017 eftir að hafa starfað í 7 ár hjá Vinnumálastofnun sem ráðgjafi og þjónustustjóri. Helstu verkefni Stafrænnar Reykjavíkur snúa að stafrænni verkefna- og vörustýringu, innleiðingu hugbúnaðar, stafrænum leiðtogum og vefmálum. Þröstur er með BA gráðu í Tómstunda- og félagsmálafræði frá HÍ, hefur meðal annars lokið PMD stjórnunarnámi frá HR og námi í Digital Innovation Leadership frá Harvard Kennedy School.   

Þröstur mun fjalla um almennt um stafræna vegferð og reynslu Reykjavíkurborgar í þeim efnum og hvaða skrefum þarf að huga að þegar fyrirtæki og skipulagsheildir hefja sína vegferð. 

Linda Kristín Kristmannsdóttir starfar sem forstöðumaður upplýsingatæknideildar hjá Festi hf. Hún er með B.Sc. í Tölvunarfræði frá HR og hefur starfað sem forstöðumaður upplýsingatæknideildar hjá Festi frá árinu 2014 en Festi er eignarhaldsfélag fimm rekstrarfélaga m.a. Krónunnar, N1 og ELKO.  Linda starfaði áður sem upplýsingatækistjóri hjá Norvik og þar á undan sem forritari og verkefnastjóri hjá TMSoftware.

Linda mun fara yfir vegferð Krónunnar við þróun á Snjallverslun og þær áskoranir sem fólust í því við að komast hratt út með góða og örugga lausn. 

Andri Heiðar Kristinsson, framkvæmdarstjóri Starfrænt Ísland. Andri er með BS í rafmagns- og tölvuverkfræði frá Háskóla Íslands og MBA gráðu frá Stanford háskóla í Kaliforniu þar sem hann lagði áherslu á frumkvöðlafræði, tækni og leiðtogafærni. Andri var einn af stofnendum Icelandic Startup og starfaði um árabil sem þróunarstjóri hjá LinkedIn. 

Markmið ríkisstjórnarinnar er að stafræn samskipti verði megin samskiptaleið fólks og fyrirtækja við hið opinbera. Stafrænt Ísland vinnur að margvíslegum verkefnum sem öll stuðla að því að gera opinbera þjónustu skilvirkari og notendavænni. Andri mun fara yfir vegferð Stafræns Íslands og hvernig hugað er að öryggi upplýsinga í þeirra vegferð. 

 

 

Fannst þér efnið á síðunni hjálplegt?