Erfaringer med praktisk gjennomføring av risikostyring i bank

Vi deler erfaringer med praktisk gjennomføring av verdivurdering og risikovurdering av IKT-systemer i SpareBank 1 Østlandet. Vi vil presentere metoden som ble valgt for verdivurdering, skadevurderinger og risikovurderinger. Vi vil også dele med dere hvordan vi klarte å gjennomføre en større forbedring på relativt kort tid, samt ivareta kontinuerlig risikostyring.

CISO som toppidrettsutøver: risikostyring for suksess

En toppidrettsutøver tar kalkulert risiko når de trener hardt og pusher grensene. De vet at det er en risiko for å bli skadet eller feile, men muligheten for belønningen er verdt det. En CISO tar kalkulert risiko ved vurderinger om implementering av sikkerhetstiltak. De vet at det er en risiko for en uønsket hendelse, men også at sikkerhetstiltak har en kostnad og kan gå på bekostning av forretningen.
Terje deler sine synspunkter om risikostyring i toppidrett og hvordan vi kan overføre noe av dette til sikkerhetsledelse i forretningslivet.

Sikkerhetsprat

En sikkerhetsprat kan være både forebyggende eller skadereduserende. Det kan være en autorisasjonssamtale for å autoriseres for sikkerhetsgradert informasjon eller en sikkerhetssamtale for å vurdere sikkerhetsmessig skikkethet. Det kan også være en sårbarhetssamtale for å øke sikkerhetsbevisstheten hos en medarbeider eller dialog for å redusere risiko for innsidevirksomhet. En sikkerhetsprat kan være vanskelig å planlegge og gjennomføre. Kanskje litt som å ta den vanskelige samtalen med kjæresten. Men det er ofte befriende i etterkant!

Veni, vidi, vici

Praktiske eksempler på hvordan du kan lykkes med sikkerhetsarbeidet ved å være på hugget, være i forkant, være proaktiv, være oppdatert og være modig.

Det dras paralleller til blant annet OODA-loopen (observe, orient, decide, act), PDCA-syklusen (plan, do, check, act) og etterretningsprosessen (styring, innhenting, analyse og vurdering, formidling).