Case

Finansiel virksomhed skabte best practice inden for informationssikkerhed

Case Finansiel virksomhed skabte best practice inden for informationssikkerhed

Et påbud fra Finanstilsynet blev startskuddet til et større program om etablering af it-risikostyring i finansiel virksomhed. Peaks konsulent agerede programleder og subject matter expert på implementeringen.

Problem

Efter inspektion fra Finanstilsynet fik en dansk finansiel virksomhed påbud om at etablere it-risikostyring, der lever op til gældende krav om informationssikkerhed. Det betød blandt andet, at der skulle etableres en ny risikoorganisation, en kortlægning af it-arkitektur og en samlet risikovurdering af alle systemer. Opgaven gik på tværs af lande og forretningsområder, og skulle binde det it-tekniske personale sammen med topledelsen og ISO 27001 ekspertiser. Endelig var der behov for, at den nye risikoorganisation kunne overgå til virksomheden og virke operationelt i forretningen.

Til opgaven var der behov for en programleder, der både kunne arbejde i et SAFe-rammeværk, navigere i topledelsens behov og udøve forandringsledelse på alle niveauer i organisationen.

Denne case er anonymiseret

Vi respekterer, at ikke alle kunder ønsker at fremgå ved navn. Derfor er denne case beskrevet i overordnede termer.

Løsning

Peaks konsulent trådte til som programleder på påbud vedrørerende it-risikostyring samt Subject Matter Expert for design og implementering af ISO27001. Her var der først og fremmest behov for at styre og dokumentere projektets aktiviteter, budget og fremdrift på tværs af lande og forretningsområder. Samtidig stod programlederen for at udarbejde kommunikations- og uddannelsesmateriale samt undervise it-udviklere, arkitekter, product managers og scrum masters m.m. i de nye it-sikkerhedsprocesser. Derudover skulle der foretages risikovurderinger på samtlige it-systemer og platforme, samt tilhørende risikovurderingsworkshops der skulle sikre compliance i og på tværs af afdelingerne. Endelig stod konsulenten for opbygningen af en ny afdeling for risikostyring, og definition af jobroller og arbejdsgangsbeskrivelse samt den nødvendige oplæring af medarbejderne hertil.

Resultatet blev en organisation, der nu er rustet til at bestå compliance kravene fra Finanstilsynet, og alle påbud om informationssikkerhed er løftet.

Resultater

risikovurderinger foretaget

medarbejdere involveret

risikoworkshops afholdt

Skal vi hjælpe jer med compliance og it-sikkerhed?

Vi har ISO 27001 helt inde under huden, og ved, hvor stor en rolle it-sikkerhed spiller for de fleste organisationer. Samtidig ved vi, at it-sikkerhed handler lige så meget om de mennesker, der arbejder med det, og derfor sikrer vi altid nøje dokumentation og forankring blandt de mennesker, der skal arbejde med sikkerhed.