Stöðugar umbætur í rekstri Símans og

samspil við áhættustýringu

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Hlíting gagnvart eftirlitsaðilumSíminn hlítir ýmsum reglugerðum og lögum, meðal annars:

• Persónuverndarlög nr. 77/2003 ásamt reglugerðum PV

• Fjarskiptalög nr. 81/2003 ásamt reglugerðum PFS

• Tilmæli Fjármálaeftirlitsins nr. 2/2014 og 6/2014

• Samkeppnislög nr. 44/2005

• Hlíting við PCI-DSS

• Hlíting við ISO 27001:2013

Vottað stjórnunarkerfi í 14 ár

Apríl 2002

Anza sameinast Símanum

2007

Fyrirtækjasvið Símans

Varan VIST innan vottunar

Upplýsingatæknisvið stofnað innan Símans

Vorið 2014

Upplýsingatæknisvið sameinast Sensa

Áramót 2015 Vor 2015 Júní 2007 Vor 2016

Undirbúningur fyrir vottun hefst

Síminn vottaður skv. ISO 27001:2013

Míla vottað skv. ISO 27001:2013

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Hvers vegna vottun?

• Viðskiptavinir á fyrirtækjamarkaði gera auknar kröfur um vottun

- Lykill að markaði

• Hún hámarkar öryggi upplýsinga og búnaðar í eigu og vörslu félagsins

• Ógn af netárásum og upplýsingaleka fer vaxandi

• Hún styður við sterka ímynd fyrirtækisins og gildið áreiðanleg

• Hún styður við stefnu Símans um stöðugar umbætur

• Hún tryggir óháða úttekt á innra verklagi

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Hvað er undir í vottun Símans?

• Afhendingu á tal- og farsímaþjónustu að meðtöldum gagnaflutningi

• Virðisaukandi þjónustu

• Internetþjónustu

• Sjónvarpsþjónustu

• Gagnaflutningsþjónustu

• Samtengingar

• Heildsölu og smásölu

• Þjónustuver

• Viðskiptastýringu

• Reikningagerð

• Innheimta

Stjórnunarkerfi Símans um upplýsingaöryggi nær til starfsmanna, innri starfsemi og þjónustu sem Síminn veitir frá höfuðstöðvum og hýsingarsölum. Stjórnunarkerfið gildir um öll upplýsinga- og fjarskiptakerfi sem eru í eigu Símans og nær yfir:

CERTIFICATE NUMBERIS 648473

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

MARKAÐSÁHÆTTA (M) REKSTRARÁHÆTTA (R) HLÍTINGARÁHÆTTA (H) FJÁRHAGSÁHÆTTA (F)Áhætta sem getur ógnað því að Síminn nái tekju- eða arðsemimarkmiðum eða hindrar innleiðingu á stefnu.

Áhætta sem getur truflað samfellda afhendingu á vörum og þjónustu til viðskiptavina og ógnað öryggi upplýsinga sem Síminn varðveitir. Einnig ef öryggi starfsfólks, viðskiptavina og umhverfis er ógnað.

Áhætta sem getur ógnað því markmiði að starfa ávallt í samræmi við lög, reglur og staðla sem um starfsemina gilda og brjóta ekki mikilvæga samninga sem fyrirtækið hefur gert.

Áhætta sem getur skaðað fjáreignir eða takmarkað fjárfestingargetu eða aðgengi að fjármögnun. Einnig áhætta sem tengist reikningsskilum og skattalegum álitaefnum.

• M1 SamkeppniÁhætta vegna hegðunar keppinauta og samkeppnis-hömlum stjórnvalda

• R1 Samfelldur reksturÁhætta vegna bilana í fjarskiptakerfum, tækniumhverfi, upplýsingakerfum eða vegna annarrar stöðvunar á afhendingu vöru eða þjónustu til viðskiptavina

• H1 Fjarskiptamarkaður og ákvarðanir PFSÁhætta tengd hlítingu við lög og reglur á fjárskiptamarkaði, ákvarðanir PFS og viðhaldi starfsleyfa frá PFS.

• F1 LausafjárstaðaÁhætta tengd lausafjárstöðu og skammtímafjármögnun

• M2 Viðskiptavinir, tekjur og arðsemiÁhætta vegna brottfalls og nýliðunar viðskiptavina, verðþróunar, tekjusamsetningar og framlegðar

• R2 UpplýsingaöryggiÁhætta vegna hverskonar leka á trúnaðarupplýsingum í eigu Símans eða viðskiptavina

• H2 Samkeppnisreglur, sátt við SE og ákvarðanir SEÁhætta tengd hlítingu við samkeppnis-lög, ákvarðanir SE og skilyrðum í sátt við SE

• F2 FjármögnunÁhætta tengd endurfjármögun skulda eða aðgengi að lánsfé til fjárfestinga eða rekstrar

• M3 Vörumerki og markaðsstaðaÁhætta tengd virði vörumerkis og viðhaldi á sérstöðu

• R3 UpplýsingatækniÁhætta sem tengist miðlægum upplýsingakerfum, hug- og vélbúnaði eða netkerfi innri kerfa

• H3 Breytingar og ósamræmiÁhætta tengd aðlögun að breytingum á lögum og reglum. Áhætta vegna ósamræmis milli ákvarðana PFS og SE

• F3 FjármálamarkaðurGjaldeyrisáhætta, vaxtaáhætta, verðbólguáhætta og áhætta tengd fjárfestingu í fjármálagerningum.

• M4 Flækjustig samstæðuÁhætta vegna innbyrðis flækjustigs og takmarkana

• R4 Sviksamlegt athæfiÁhætta vegna sviksamlegs athæfis starfsfólks, viðskiptavina eða þriðja aðila

• H4 Verndun greiðslukortaupplýsingaÁhætta tengd kröfum PCI-DSS um verndun greiðslukortaupplýsinga

• F4 Reikningsskil og skattskil Áhætta tengd reikningsskilum, virðisrýrnun óefnislegra eigna og framkvæmd skattskila

• M5 MarkaðsaðstæðurÁhætta vegna stöðu markaða, hagkerfis og óstöðugleika í stjórnmálum

• R5 ÚtvistunÁhætta tengd rekstri og ábyrgð á útvistaðri starfsemi og kerfum

• H5 Persónuvernd • F5 Veltufjármunir og uppgjörTapsáhætta viðskiptakrafna, áhætta vegna birgða og uppgjörsáhætta vegna mobile payments • H6 Önnur lög og reglur, ágreinings- og dómsmál

• R6 MannauðurÁhætta tengd starfsmannaveltu, viðhaldi þekkingar, vinnuvernd, heilsuvernd og raunöryggi starfsfólks.

• H7 ISO vottun • F6 Eignir og skuldbindingar utan efnahagsreiknings

• R7 Húsnæði og leigusamningarÁhætta tengd húsaleigusamningum, yfirráðum yfir húsnæði undir mikilvæg kerfi og viðhaldi eigin fasteigna

• H8 Innri starfsreglur

• R8 Fjarskipti • H9 Samningar vegna hugbúnaðar og þjónustu

Áhættusnið og viðmið

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Aðferðafræði

Áhættuflokkur / snið Áhrif Lýsing

MarkaðsáhættaÁhætta sem getur ógnað því að fyrirtækið nái markmiðum eða hindrað innleiðingu stefnu, t.d. er þróun hagkerfis meðal þess sem getur orsakað markaðsáhættu.

1 – Óveruleg Minniháttar áhrif á ímynd

2 – Minniháttar Hefur áhrif á samskipti við viðskiptavini og/eða almenning

3 – Miðlungs Töluverð áhrif á samskipti við viðskiptavini og/eða almenning

4 – Veruleg Veruleg áhrif á samskipti við viðskiptavini og/eða almenning

5 – Háskaleg Stefnir framtíð stofnunarinnar í hættu

FjárhagsáhættaÁhætta sem getur skaðað fjáreignir eða takmarkað fjárfestingargetu eða aðgengi að fjármögnun. Einnig áhætta sem tengist reikningsskilum og skattalegum álitaefnum.

1 – Óveruleg Fimm hundruð þúsund til ein milljón kr.

2 – Minniháttar Ein til fimm milljónir kr.

3 – Miðlungs Fimm til tíu milljónir kr.

4 – Veruleg Tíu til tuttugu milljónir kr.

5 – Háskaleg Meira en tuttugu milljónir kr.

RekstraráhættaÁhætta sem getur truflað samfellda afhendingu þjónustu til viðskiptavina og ógnað öryggi upplýsinga. Einnig ef öryggi starfsfólks, viðskiptavina og umhverfis er ógnað.

1 – Óveruleg Lítil eða engin truflun á rekstri

2 – Minniháttar Einhver áhrif á rekstur

3 – Miðlungs Talsverð áhrif á rekstur

4 – Veruleg Veruleg áhrif á rekstur

5 – Háskaleg Möguleg rekstrarstöðvun

HlítingaráhættaÁhætta sem getur ógnað því markmiði að Síminn starfi eftir lögum, reglum og staðla sem gilda um starfssemina.

1 – Óveruleg Engin viðskiptaleg áhrif

2 – Minniháttar Hugsanlegt brot á lögum

3 – Miðlungs Mögulegar sektir

4 – Veruleg Meiriháttar brot

5 – Háskaleg Gæti valdið lokun

Tíðni / Líkur Lýsing / Dæmi

1 – Hugsanlegt Litlar líkur á að raungerist, ef nokkurn tímann 5%

2 – Ólíklegt Ekki talið líklegt, kannski einu sinni á þriggja ára fresti 25%

3 – Fátítt Gæti gerst einu sinni á ári 55%

4 – Líklegt Talið líklegt, gæti gerst nokkrum sinnum á ári 75%

5 – Mjög líklegt Gæti gerst einu sinni í mánuði eða oftar 95%

Stýring Lýsing / Dæmi

1 – Frammúrskarandi Stýring er eins góð og getur verið. Ekki hægt að gera betur 80-100% virkni

2 – Góð Stýring er góð og sinnir hlutverki að mestu 60-80% virkni

3 – Ásættanleg Stýring er til staðar og sinnir hlutverki að mestu leyti 40-60% virkni

4 – Ófullnægjandi Stýring sinnir ekki hlutverki nema að mjög litlu leyti 20-40% virkni

5 – Óviðunandi Stýring sinnir ekki hlutverki sínu eða er ekki til staðar 0-20% virkni

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Fjöldi áhætta eftir yfirflokkum (hlutfallslega)

Markaðsáhætta Rekstraráhætta Hlítingaráhætta Fjárhagsáhætta

Áhætta sem getur ógnað því að Síminn nái tekju-

eða arðsemismarkmiðum eða hindar innleiðingu á

stefnu

Áhætta sem getur truflað semfellda afhendingu á vörum og þjónustu til

viðskiptavinar og ógnað öryggi upplýsinga,

starfsfólks eða viðskiptavina

Áhætta sem getur ógnað því markmiði að starfa

ávallt í samræmi við lög, reglur og staðla sem um

starfsemina gilda og brjóta ekki mikilvæga

samninga

Áhætta sem getur skaðað fjáreignir eða takmarkað

fjárfestingargetu eða aðgengi að fjármögnun.

Einnig áhætta sem tengist reikningsskilum og

skattalegum álitaefnum

11 63 21 5

4 26 11 1

2 12 5 1

Áhættuflokkur

Lýsing á áhættuflokki

Fjöldi áhætta

Fjöldi áhætta á aðgerðarbili alls

Fjöldi áhætta yfir áhættuviðmiðum

100

20

42

{ Hlutfall eftir nýlega lækkun á viðmiðum – ekki rauntölur }Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Nokkrir áhættuvísarAf áhættum sem lækka:

• Meðal lækkun áhættustigs er: 22% yoy

• Meðal hækkun gæði stýringa eykst um: 24% yoy

Fyrir allar áhættur:

• Áhættustig lækkar um: 2,5% yoy

• Gæði stýringar eykst um: 1,5% yoy

{ Hlutfall – ekki rauntölur }

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

Öryggisatburðir – meðal mánuður

7,5 milljón 3 milljón

1 milljón

Blocked4 þúsund

ATVIK!1-2

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

DDOS áhætta – tölfræði seinustu 6 mán.

Lengsta árás: 36 mín. Stærsta árás: 33 GB Mesta pakkamagn: 4,1M pk/sek.

32%

51%

10%7%

1%

Tímalengd

< 1 mín. > 1 mín. > 5 mín. > 10 mín. > 30 mín.

13%

61%

16%

9%

1%

Gagnamagn

< 1GB/sek. > 1GB/sek. > 5GB/sek. > 10GB/sek. > 30GB/sek.

63%

32%

4% 1%

Pakkamagn

< 100k pk/sek. > 100k pk/sek. > 1M pk/sek. > 4M pk/sek.

272 árásir

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans

TAKK FYRIR!

security@siminn.is

Óli

Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans