Dokkufundur - 4. okt. 2016 - Síminn - final - til afhendingar
-
Upload
gudbjoern-sverrir-hreinsson -
Category
Documents
-
view
53 -
download
1
Transcript of Dokkufundur - 4. okt. 2016 - Síminn - final - til afhendingar
Stöðugar umbætur í rekstri Símans og
samspil við áhættustýringu
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Hlíting gagnvart eftirlitsaðilumSíminn hlítir ýmsum reglugerðum og lögum, meðal annars:
• Persónuverndarlög nr. 77/2003 ásamt reglugerðum PV
• Fjarskiptalög nr. 81/2003 ásamt reglugerðum PFS
• Tilmæli Fjármálaeftirlitsins nr. 2/2014 og 6/2014
• Samkeppnislög nr. 44/2005
• Hlíting við PCI-DSS
• Hlíting við ISO 27001:2013
Vottað stjórnunarkerfi í 14 ár
Apríl 2002
Anza sameinast Símanum
2007
Fyrirtækjasvið Símans
Varan VIST innan vottunar
Upplýsingatæknisvið stofnað innan Símans
Vorið 2014
Upplýsingatæknisvið sameinast Sensa
Áramót 2015 Vor 2015 Júní 2007 Vor 2016
Undirbúningur fyrir vottun hefst
Síminn vottaður skv. ISO 27001:2013
Míla vottað skv. ISO 27001:2013
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Hvers vegna vottun?
• Viðskiptavinir á fyrirtækjamarkaði gera auknar kröfur um vottun
- Lykill að markaði
• Hún hámarkar öryggi upplýsinga og búnaðar í eigu og vörslu félagsins
• Ógn af netárásum og upplýsingaleka fer vaxandi
• Hún styður við sterka ímynd fyrirtækisins og gildið áreiðanleg
• Hún styður við stefnu Símans um stöðugar umbætur
• Hún tryggir óháða úttekt á innra verklagi
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Hvað er undir í vottun Símans?
• Afhendingu á tal- og farsímaþjónustu að meðtöldum gagnaflutningi
• Virðisaukandi þjónustu
• Internetþjónustu
• Sjónvarpsþjónustu
• Gagnaflutningsþjónustu
• Samtengingar
• Heildsölu og smásölu
• Þjónustuver
• Viðskiptastýringu
• Reikningagerð
• Innheimta
Stjórnunarkerfi Símans um upplýsingaöryggi nær til starfsmanna, innri starfsemi og þjónustu sem Síminn veitir frá höfuðstöðvum og hýsingarsölum. Stjórnunarkerfið gildir um öll upplýsinga- og fjarskiptakerfi sem eru í eigu Símans og nær yfir:
CERTIFICATE NUMBERIS 648473
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
MARKAÐSÁHÆTTA (M) REKSTRARÁHÆTTA (R) HLÍTINGARÁHÆTTA (H) FJÁRHAGSÁHÆTTA (F)Áhætta sem getur ógnað því að Síminn nái tekju- eða arðsemimarkmiðum eða hindrar innleiðingu á stefnu.
Áhætta sem getur truflað samfellda afhendingu á vörum og þjónustu til viðskiptavina og ógnað öryggi upplýsinga sem Síminn varðveitir. Einnig ef öryggi starfsfólks, viðskiptavina og umhverfis er ógnað.
Áhætta sem getur ógnað því markmiði að starfa ávallt í samræmi við lög, reglur og staðla sem um starfsemina gilda og brjóta ekki mikilvæga samninga sem fyrirtækið hefur gert.
Áhætta sem getur skaðað fjáreignir eða takmarkað fjárfestingargetu eða aðgengi að fjármögnun. Einnig áhætta sem tengist reikningsskilum og skattalegum álitaefnum.
• M1 SamkeppniÁhætta vegna hegðunar keppinauta og samkeppnis-hömlum stjórnvalda
• R1 Samfelldur reksturÁhætta vegna bilana í fjarskiptakerfum, tækniumhverfi, upplýsingakerfum eða vegna annarrar stöðvunar á afhendingu vöru eða þjónustu til viðskiptavina
• H1 Fjarskiptamarkaður og ákvarðanir PFSÁhætta tengd hlítingu við lög og reglur á fjárskiptamarkaði, ákvarðanir PFS og viðhaldi starfsleyfa frá PFS.
• F1 LausafjárstaðaÁhætta tengd lausafjárstöðu og skammtímafjármögnun
• M2 Viðskiptavinir, tekjur og arðsemiÁhætta vegna brottfalls og nýliðunar viðskiptavina, verðþróunar, tekjusamsetningar og framlegðar
• R2 UpplýsingaöryggiÁhætta vegna hverskonar leka á trúnaðarupplýsingum í eigu Símans eða viðskiptavina
• H2 Samkeppnisreglur, sátt við SE og ákvarðanir SEÁhætta tengd hlítingu við samkeppnis-lög, ákvarðanir SE og skilyrðum í sátt við SE
• F2 FjármögnunÁhætta tengd endurfjármögun skulda eða aðgengi að lánsfé til fjárfestinga eða rekstrar
• M3 Vörumerki og markaðsstaðaÁhætta tengd virði vörumerkis og viðhaldi á sérstöðu
• R3 UpplýsingatækniÁhætta sem tengist miðlægum upplýsingakerfum, hug- og vélbúnaði eða netkerfi innri kerfa
• H3 Breytingar og ósamræmiÁhætta tengd aðlögun að breytingum á lögum og reglum. Áhætta vegna ósamræmis milli ákvarðana PFS og SE
• F3 FjármálamarkaðurGjaldeyrisáhætta, vaxtaáhætta, verðbólguáhætta og áhætta tengd fjárfestingu í fjármálagerningum.
• M4 Flækjustig samstæðuÁhætta vegna innbyrðis flækjustigs og takmarkana
• R4 Sviksamlegt athæfiÁhætta vegna sviksamlegs athæfis starfsfólks, viðskiptavina eða þriðja aðila
• H4 Verndun greiðslukortaupplýsingaÁhætta tengd kröfum PCI-DSS um verndun greiðslukortaupplýsinga
• F4 Reikningsskil og skattskil Áhætta tengd reikningsskilum, virðisrýrnun óefnislegra eigna og framkvæmd skattskila
• M5 MarkaðsaðstæðurÁhætta vegna stöðu markaða, hagkerfis og óstöðugleika í stjórnmálum
• R5 ÚtvistunÁhætta tengd rekstri og ábyrgð á útvistaðri starfsemi og kerfum
• H5 Persónuvernd • F5 Veltufjármunir og uppgjörTapsáhætta viðskiptakrafna, áhætta vegna birgða og uppgjörsáhætta vegna mobile payments • H6 Önnur lög og reglur, ágreinings- og dómsmál
• R6 MannauðurÁhætta tengd starfsmannaveltu, viðhaldi þekkingar, vinnuvernd, heilsuvernd og raunöryggi starfsfólks.
• H7 ISO vottun • F6 Eignir og skuldbindingar utan efnahagsreiknings
• R7 Húsnæði og leigusamningarÁhætta tengd húsaleigusamningum, yfirráðum yfir húsnæði undir mikilvæg kerfi og viðhaldi eigin fasteigna
• H8 Innri starfsreglur
• R8 Fjarskipti • H9 Samningar vegna hugbúnaðar og þjónustu
Áhættusnið og viðmið
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Aðferðafræði
Áhættuflokkur / snið Áhrif Lýsing
MarkaðsáhættaÁhætta sem getur ógnað því að fyrirtækið nái markmiðum eða hindrað innleiðingu stefnu, t.d. er þróun hagkerfis meðal þess sem getur orsakað markaðsáhættu.
1 – Óveruleg Minniháttar áhrif á ímynd
2 – Minniháttar Hefur áhrif á samskipti við viðskiptavini og/eða almenning
3 – Miðlungs Töluverð áhrif á samskipti við viðskiptavini og/eða almenning
4 – Veruleg Veruleg áhrif á samskipti við viðskiptavini og/eða almenning
5 – Háskaleg Stefnir framtíð stofnunarinnar í hættu
FjárhagsáhættaÁhætta sem getur skaðað fjáreignir eða takmarkað fjárfestingargetu eða aðgengi að fjármögnun. Einnig áhætta sem tengist reikningsskilum og skattalegum álitaefnum.
1 – Óveruleg Fimm hundruð þúsund til ein milljón kr.
2 – Minniháttar Ein til fimm milljónir kr.
3 – Miðlungs Fimm til tíu milljónir kr.
4 – Veruleg Tíu til tuttugu milljónir kr.
5 – Háskaleg Meira en tuttugu milljónir kr.
RekstraráhættaÁhætta sem getur truflað samfellda afhendingu þjónustu til viðskiptavina og ógnað öryggi upplýsinga. Einnig ef öryggi starfsfólks, viðskiptavina og umhverfis er ógnað.
1 – Óveruleg Lítil eða engin truflun á rekstri
2 – Minniháttar Einhver áhrif á rekstur
3 – Miðlungs Talsverð áhrif á rekstur
4 – Veruleg Veruleg áhrif á rekstur
5 – Háskaleg Möguleg rekstrarstöðvun
HlítingaráhættaÁhætta sem getur ógnað því markmiði að Síminn starfi eftir lögum, reglum og staðla sem gilda um starfssemina.
1 – Óveruleg Engin viðskiptaleg áhrif
2 – Minniháttar Hugsanlegt brot á lögum
3 – Miðlungs Mögulegar sektir
4 – Veruleg Meiriháttar brot
5 – Háskaleg Gæti valdið lokun
Tíðni / Líkur Lýsing / Dæmi
1 – Hugsanlegt Litlar líkur á að raungerist, ef nokkurn tímann 5%
2 – Ólíklegt Ekki talið líklegt, kannski einu sinni á þriggja ára fresti 25%
3 – Fátítt Gæti gerst einu sinni á ári 55%
4 – Líklegt Talið líklegt, gæti gerst nokkrum sinnum á ári 75%
5 – Mjög líklegt Gæti gerst einu sinni í mánuði eða oftar 95%
Stýring Lýsing / Dæmi
1 – Frammúrskarandi Stýring er eins góð og getur verið. Ekki hægt að gera betur 80-100% virkni
2 – Góð Stýring er góð og sinnir hlutverki að mestu 60-80% virkni
3 – Ásættanleg Stýring er til staðar og sinnir hlutverki að mestu leyti 40-60% virkni
4 – Ófullnægjandi Stýring sinnir ekki hlutverki nema að mjög litlu leyti 20-40% virkni
5 – Óviðunandi Stýring sinnir ekki hlutverki sínu eða er ekki til staðar 0-20% virkni
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Fjöldi áhætta eftir yfirflokkum (hlutfallslega)
Markaðsáhætta Rekstraráhætta Hlítingaráhætta Fjárhagsáhætta
Áhætta sem getur ógnað því að Síminn nái tekju-
eða arðsemismarkmiðum eða hindar innleiðingu á
stefnu
Áhætta sem getur truflað semfellda afhendingu á vörum og þjónustu til
viðskiptavinar og ógnað öryggi upplýsinga,
starfsfólks eða viðskiptavina
Áhætta sem getur ógnað því markmiði að starfa
ávallt í samræmi við lög, reglur og staðla sem um
starfsemina gilda og brjóta ekki mikilvæga
samninga
Áhætta sem getur skaðað fjáreignir eða takmarkað
fjárfestingargetu eða aðgengi að fjármögnun.
Einnig áhætta sem tengist reikningsskilum og
skattalegum álitaefnum
11 63 21 5
4 26 11 1
2 12 5 1
Áhættuflokkur
Lýsing á áhættuflokki
Fjöldi áhætta
Fjöldi áhætta á aðgerðarbili alls
Fjöldi áhætta yfir áhættuviðmiðum
100
20
42
{ Hlutfall eftir nýlega lækkun á viðmiðum – ekki rauntölur }Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Nokkrir áhættuvísarAf áhættum sem lækka:
• Meðal lækkun áhættustigs er: 22% yoy
• Meðal hækkun gæði stýringa eykst um: 24% yoy
Fyrir allar áhættur:
• Áhættustig lækkar um: 2,5% yoy
• Gæði stýringar eykst um: 1,5% yoy
{ Hlutfall – ekki rauntölur }
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
Öryggisatburðir – meðal mánuður
7,5 milljón 3 milljón
1 milljón
Blocked4 þúsund
ATVIK!1-2
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
DDOS áhætta – tölfræði seinustu 6 mán.
Lengsta árás: 36 mín. Stærsta árás: 33 GB Mesta pakkamagn: 4,1M pk/sek.
32%
51%
10%7%
1%
Tímalengd
< 1 mín. > 1 mín. > 5 mín. > 10 mín. > 30 mín.
13%
61%
16%
9%
1%
Gagnamagn
< 1GB/sek. > 1GB/sek. > 5GB/sek. > 10GB/sek. > 30GB/sek.
63%
32%
4% 1%
Pakkamagn
< 100k pk/sek. > 100k pk/sek. > 1M pk/sek. > 4M pk/sek.
272 árásir
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans