Slik jobber norgesmesterne i sikkerhet 2016


Hvorfor har Skandiabanken så stor tillit hos folket og hvor ligger fokuset i informasjonssikkerhetsarbeidet for å oppnå denne tillitten?

Fidusprisen gikk i år til Skandiabanken. Juryens begrunnelse peker på at Skandiabanken gjennom flere år har hatt stor tillit i befolkningen og etterlever en modell for sikkerhetsarbeid som involverer kundene i stor grad, samt ivaretar deres behov for sikre tjenester på en svært god måte. Vinneren har også arbeidet aktivt med sikkerhetskultur, som omfatter informasjon og opplæring av sine ansatte og kunder.

I etterkant av prisutdelingen har vi i NorSIS tatt en ekstra prat med sikkerhetsfolket i Skandiabanken for å få deres tanker om hvorfor nettopp de har så stor tillit blant befolkningen hva gjelder informasjonssikkerhet og personvern.

Her er hva skandiabanken setter høyest i sitt arbeid på området:

Skandiabanken har vært en heldigital bank helt fra oppstarten i år 2000. Vi utvikler selv nettbank og mobile løsninger og alle bankens tjenester er kun tilgjengelig på internett.  Vi har gjennom dette fulgt den digitale utviklingen og måtte forholde oss til stadig nye trusler.

For å sikre våre tjenester og at kunden har tillit til oss har vi stort fokus på informasjonssikkerhet og ser på dette som en integrert del av forretningen og daglig drift av banken. Sikkerhetsarbeidet er solid forankret i bankens styre og ledelse, og bankens medarbeidere sørger for at:

  • kundene får enkle og sikre løsninger og gode råd om informasjonssikkerhet
  • vi samler inn, oppbevarer og sletter personopplysninger på en god måte
  • risiko vurderes regelmessig og ved endringer
  • beslutningstakere får oppdatert informasjon om hendelser, risiko og status på tiltak
  • sikkerhetskompetansen vedlikeholdes og utvikles internt i banken
  • krav til sikkerhet utarbeides og følges opp i leverandørkjeder

For oss er det viktig å være i forkant. Trusselbildet endres ofte og vi må hele tiden være tilpasset det som skjer rundt oss. Vi vurder både regelmessig og ved større endringer hva som kan gå galt, og treffer tiltak der det er nødvendig. Resultatet fra risikovurderinger følges opp over tid, og presenteres for beslutningstakere. Det er viktig å ha fokus på informasjonssikkerhet på alle nivåer, i alle våre prosesser, i og rundt alle våre systemer, og hos alle som arbeider i banken.  Vi har et eget personvernombud som bidrar til å sikre at vi oppfyller kravene i personvernlovgivningen.

Koordinering og dialog mellom ulike roller er viktig for å se til at de rette områdene prioriteres og sikre effektivitet. En gang i måneden møtes sentrale medarbeidere i et eget sikkerhetsforum for å samhandle og utveksle erfaringer. Her møtes tverrfaglige ressurser fra hele verdikjeden,  blant annet IT-arkitekt, systemansvarlig, produktansvarlig,  fagansvarlig fra kundesenter og prosess, personvernombud og informasjonssikkerhetsansvarlig. Banken bygger og vedlikeholder høy kompetanse innen informasjonssikkerhet og relaterte emner, for å sikre at våre løsninger er trygge, robuste og tilgjengelige. Medarbeidere og ledere med ulike sikkerhetsrelaterte ansvarsområder bidrar i eksterne sammenhenger. Dette kan være som foredragsholdere, samtalepartnere eller ildsjeler i bransjeorienterte eller faglige foreninger. På den måten bidrar vi aktivt til erfaringsutveksling og forbedringer innen fag og bransje.

Det finnes alltidnoen med onde hensikter ute i verden som ønsker å stjele penger eller informasjon fra våre kunder, ansatte eller direkte fra bankens systemer. Derfor har vi også stort fokus på å håndtere hendelser der banken løsninger blir angrepet eller noen blir lurt. I dette arbeidet er åpenhet, prinsippet om å ivareta kunden først og samarbeid med andre banker og leverandører det viktigste. FinansCERT bidrar her med utveksling av informasjon og håndtering av hendelser mot finanssektoren som er av stor verdi for oss.

Skandiabanken jobber kontinuerlig med sikkerhetskulturen blant de ansatte i banken og bankens leverandører. Dette gjør vi blant annet gjennom obligatoriske e-læringskurs, arrangere Sikkerhetsdag hver oktober og opplæring av nyansatte. Vi har en åpen og engasjerende sikkerhetsorganisasjon og det har alltid vært lav terskel for ansatte å ta kontakt vedrørende sikkerhetsspørsmål.

Oppsummert så er arbeidet i Skandiabanken med informasjonssikkerhet fundamentert på følgende:

  • Ivareta kundene først
  • Sikkerhet del av bankens verdikjeder
  • Enkelhet
  • Tilgjengelighet
  • Utnytte teknologi
  • Samarbeid
  • Beredskap

Informasjon fra Sikkert.no er hentet fra flere kilder. Sikkert.no vurderer informasjon før publisering, men Sikkert.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.