40 (ux)ting vi ELSKER! - Yggdrasilkonferansen 2016 KeynoteChristian Brosstad
Her er presentasjonen min fra Yggdrasilkonferansen 2016 - Christian Brosstad, Direktør kommunikasjon og digital utvikling
mob +47 970 80 686
http://yggdrasilkonferansen.no/keynote/40-uxting-elsker/
Personas are way of describing users as fictitious individuals. The authors are highly versed in its practice and theory. As the use of personas has spread, however, they have encountered criticism. Our presentation tackles some common concerns about personas, including whether they are: fluffy; expensive to create; non-actionable;
limiting; or counterproductive for innovation.
In this presentation, we address these misconceptions and share some best practices for leveraging personas during the research and design process.
40 (ux)ting vi ELSKER! - Yggdrasilkonferansen 2016 KeynoteChristian Brosstad
Her er presentasjonen min fra Yggdrasilkonferansen 2016 - Christian Brosstad, Direktør kommunikasjon og digital utvikling
mob +47 970 80 686
http://yggdrasilkonferansen.no/keynote/40-uxting-elsker/
Personas are way of describing users as fictitious individuals. The authors are highly versed in its practice and theory. As the use of personas has spread, however, they have encountered criticism. Our presentation tackles some common concerns about personas, including whether they are: fluffy; expensive to create; non-actionable;
limiting; or counterproductive for innovation.
In this presentation, we address these misconceptions and share some best practices for leveraging personas during the research and design process.
Forankring av Skjermdialog i organisasjonen - Trondheim kommuneBjørn Fremmersvik
Presentasjon for hvordan Trondheim kommune har forankret prosjektet for digitalisering av skjema i organisasjonen. Opprinnelig holdt under Kommuneforlagets brukerkonferanse den 24. mars 2009.
Legal risk management: Hvordan styre risiko i kontrakterKjell Steffner
Legal risk management: Et raskt blikk på enhetlig risikostyring av kontrakter fra behovsverifikasjon til kravspesifikasjon, tilbud, gjennomgøring, driftsetting og terminering.
Jeg forbereder meg til en egen ringerunde/markedsundersøkelse mot norske bedrifter der jeg vil høre om hvilke tiltak de har ihverksatt siden denne rapporten i 2016. Det vil også bli mulighet for å få booket seg inn til demoer og teste selv våre løsninger, som drastisk styrker IT-sikkerheten til din organisasjon for fremtiden, uten store tiltak. Ikke bare med hensyn til utpressings/løsepengevirus, men vi ser også personvern/GDPR, datainnbrudd og identitetstyveri mm. Vil du være først? Ikke nøl med å kontakte meg.
More Related Content
Similar to Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1
Forankring av Skjermdialog i organisasjonen - Trondheim kommuneBjørn Fremmersvik
Presentasjon for hvordan Trondheim kommune har forankret prosjektet for digitalisering av skjema i organisasjonen. Opprinnelig holdt under Kommuneforlagets brukerkonferanse den 24. mars 2009.
Legal risk management: Hvordan styre risiko i kontrakterKjell Steffner
Legal risk management: Et raskt blikk på enhetlig risikostyring av kontrakter fra behovsverifikasjon til kravspesifikasjon, tilbud, gjennomgøring, driftsetting og terminering.
Jeg forbereder meg til en egen ringerunde/markedsundersøkelse mot norske bedrifter der jeg vil høre om hvilke tiltak de har ihverksatt siden denne rapporten i 2016. Det vil også bli mulighet for å få booket seg inn til demoer og teste selv våre løsninger, som drastisk styrker IT-sikkerheten til din organisasjon for fremtiden, uten store tiltak. Ikke bare med hensyn til utpressings/løsepengevirus, men vi ser også personvern/GDPR, datainnbrudd og identitetstyveri mm. Vil du være først? Ikke nøl med å kontakte meg.
Similar to Krisekonferansen+2014+13+6+2014+-+Renate+Thoreid+Sparebanken1 (20)
3. Definisjon på en krise….
Det finnes mange slags kriser og nesten like mange definisjoner på hva
en krise er. (Rapport fra 22. juli - kommisjonen NOU 2012: 14)
• Sårbarhetsutvalget definerte krise som en
– uønsket hendelse med potensial til å true viktige verdier og
svekke en organisasjonsevne til å utføre viktige funksjoner.
• Direktoratet forsamfunnssikkerhet og beredskap (DSB) opererer med
et utvidet krisebegrep som sier at
– en virksomhet er i krise når det oppstår en situasjon som truer
eller kan true virksomhetens kjernevirksomhet og/eller
troverdighet
• Med beredskap forstås tiltak for å forebygge, begrense eller
håndtere kriser og andre uønskede hendelser
4. Rapport fra 22. juli - kommisjonen NOU 2012:
14
• Ifølge en ledende internasjonal ekspert, professor R. Arjen Boin,
utgjør en krise
”en alvorlig trussel mot grunnleggende samfunnsstrukturer –
eller mot sentrale verdier knyttet til sikkerhet, velferd, liv og
helse – som krever en rask reaksjon under stor grad av
usikkerhet.”
• Kriser kjennetegnes ved at de kommer uventet og utvikler seg raskt
og uforutsigbart. Enhver krise har sitt eget unike forløp
• Felles for de fleste er likevel at det er mange aktører involvert, at
aktørene opplever at viktige interesser står påspill, og at det haster
med å få kontroll over situasjonen, samtidig som den regulære
beslutningsprosessen ikke fungerer eller framstår som
uhensiktsmessig
5. NOU 2006:6 Når sikkerhet er viktigst
• Et effektivt, robust og sikkerhet
system for betalingsformidling
• En velfungerende og stabil
finansiell infrastruktur
• Bankene og deres leverandører
av elektronisk kommunikasjon -
tjenester er sentrale aktører i
betalingssystemet
• Betalingssystemet og den
finansielle infrastrukturen utgjør
en kritisk samfunnsfunksjon
6. Nasjonal strategi for informasjonssikkerhet
• Angir retning og prioriteringer
for myndighetenes krav til
informasjonssikkerhetsarbeid
• Flere regelverk pålegger
virksomhetene å ha et
styringssystem for
informasjonssikkerhet
• Virksomheten må ivareta
informasjonssikkerhet på en
mer helhetlig og systematisk
måte
• Hvordan?
http://www.regjeringen.no/upload/FAD/Vedlegg
/IKT-politikk/Nasjonal_strategi_infosikkerhet.pdf
7. Finanstilsynet
• Finanstilsynet foretar årlig en
risiko- og sårbarhetsanalyse
(ROS-analyse) av finanssektorens
bruk av IKT
• Rapportering av hendelser
• Årlig hendelsesseminar med
relevante temaer knyttet til
hendelseshåndtering
• Stedlige tilsyn
10. Finanstilsynet
• Forskrift om bruk av informasjons- og
kommunikasjonsteknologi (IKT)
– § 2 Planlegging og organisering
– § 3 Risikoanalyse
– § 5 Sikkerhet
– § 10 Krav til kontinuitet
– § 11 Driftsavbrudd og katastrofeberedskap
– opplæring, øvelse, test og dokumentasjon
• Tilsyn
– Etterlevelse av IKT- forskriften
11. Eier- og selskapsstrukturen i SpareBank 1-alliansen
* Selskaper som er direkte eiet av de fleste
alliansepartnerne - med ulike eierandeler:
BN Bank*
Bank 1 Oslo Akershus*
SpareBank 1 Kredittkort*
SpareBank 1 Boligkreditt*
SpareBank 1 Markets*
SpareBank 1 Næringskreditt*
Alliansesamarbeidet
SpareBank 1 DA*
* Eiet av regionbankene, SamSpar, Bank 1
OA og SpareBank 1 Gruppen
Selskapet skal utvikle og levere felles
IT- og mobilløsninger, merkevare- og
markedsføringskonsepter,
forretningskonsepter, produkter og
tjenester, kompetanse, analyser,
prosesser, beste-praksis og innkjøp.
Kompetansesentre:
• Betaling/Trondheim,
• Kreditt/Stavanger Læring/Tromsø
EiendomsMegler 1 Norge
SpareBank 1 Kundesenter
SpareBank 1 Verdipapirservice
Eiere og alliansepartnere:
SamSpar
19,5 % 19,5 % 19,5 % 11 %19,5 % 9,6 % 1,4 %
SpareBank 1 Skadeforsikring
ODIN Forvaltning
SpareBank 1 Medlemskort
forvaltning av LOfavør
SpareBank 1 Gruppen Finans
factoring og porteføljekjøp
SpareBank 1
Gruppen AS*
Conecto
inkasso
* Felleseid konsern med heleide
produktselskaper:
SpareBank 1 Forsikring
12. Styringsstruktur SB1 Alliansen
Alliansestyret
• KM Forsikring
• KM Org Marked
• Forsikring
• ODIN Forvaltning
• Conecto
• SB1 Gruppen Finans
• Markets
• Økonomi og
Finans
• Juridisk
• HR
• Fellestjenester
• Sikkerhet
• Innkjøp
Marked
Tore Haarberg
Produktselskaper
T. Grotmoll / R. Selmar
Forretningsutvikling
Iren Rutle
Risikostyring & Compliance
Torbjørn Martinsen
Sparing
Walter
Jacobsen
Betaling
Eldar
Skjetne
Finansiering
Iren
Rutle
Adm. direktør
Kirsten Idebøen
Virksomhetsstyring
Jarle Haug
IT
Eivind Gjemdal
Kunderåd
KunderådKunderåd
• Kanaler
• KM Kanaler
• KS Læring
• Markedsanalyse
• SB1 Kundesenter
• SB1G Kommunikasjon
• KM
Markedskommunikasj
on
• Strategi
• SB1 Medlemskort
• EM1 Norge
Kunderåd Kunderåd Kunderåd
• KM Sparing
• SPU
• SB1 Verdi-
papirservice
• KM Betaling
• KS Betaling
• SB1
Kredittkort
• KM
Finansiering
• KS Kreditt-
• modeller
15. Finanstilsynet
• Finanstilsynet rundskriv
20/2011 Økte krav til
bankene i lys av
driftsproblemene i påsken
2011
– 3.2 Kartlegging av kritiske
komponenter
– 3.3 Samordnet beredskap
– økt verdikjedefokus i
tillegg til systemfokus
16. Ernst & Young - Observasjoner vedr.
kartlegging av rundskriv 20 fra Finanstilsynet
17. Ernst & Young - Observasjoner vedr.
kartlegging av rundskriv 20 fra Finanstilsynet
19. Sluttrapport - katastrofetest
Forskrift om bruk av
informasjons- og
kommunikasjonsteknologi (IKT)
§11 Driftsavbrudd og
katastrofeberedskap
”skal det minst en gang årlig
gjennomføres opplæring, øvelse og
test i et omfang som gir tilstrekkelig
trygghet for at katastrofeløsningen
virker som forutsatt. Resultatet av
testen skal dokumenteres slik at det
er mulig å kontrollere.”
20. Overordnet IT- kriseberedskapsplan for
SpareBank 1-alliansen
En krise er en kritisk situasjon
knyttet til SpareBank 1 som
omfatter:
– Personskade/død/gisselsituasjoner
– Evakuering/relokalisering
– Sterk reduksjon eller kontrollsvikt i
forretningsprosesser og/eller
produksjon
– Omfattende materielle skader
– og som ikke kan håndteres i
SpareBank 1s ordinære
linjeorganisasjon
21. Standarder
• NS-ISO/IEC 27000 serien – IT-sikkerhet
• NS-ISO 22301:2012 Societal security - Business continuity
management
• ISO/IEC 27031:2011 Information technology Security
techniques.
– Guidelines for information and communication technology
readiness for business continuity
22. ISO/IEC 27002 Code of practice for
information security management
• En katalog med forslag til sikringstiltak
23. Øvelse CyberDawn 2013
Bakgrunn
• SpareBank 1 delta sammen med
flere aktører i beredskapsøvelse,
CyberDawn 2013, 4. september
2013.
• ”Øvelse CyberDawn 2013”
arrangeres av Telenor Norge
• Målet
– Håndtere kriser i et nasjonalt
perspektiv
– Samøve med eksterne aktører
– Drille egen organisasjon
– Kompetansebygging
24. Øvelse CyberDawn 2013 – Hva skal øves?
• Beslutningsprosessene på ulike
nivåer - både sentralt og lokalt
• Samhandlingen mellom bankene
/selskapene og sentrale fagmiljøer i
SB1
• Ekstern- og internkommunikasjonen
- både sentralt og lokalt
• Den praktiske krisehåndteringen på
ulike nivåer – både sentralt og lokalt
• Erfaringer fra IKT08
• http://www.youtube.com/watch?
v=OW3pMscYPJ4&feature=youtu
.be&desktop_uri=%2Fwatch%3F
v%3DOW3pMscYPJ4%26feature
%3Dyoutu.be&app=desktop
25. 04.09.2013
09:00
04.09.2013
06:00
Spb1
DnB
Telenor
EVRY
NorCERT
CYFOR
04.09.2013
07:00
DDoS Alle
IP’er
Malwareanaly
se ferdig
SMS-utfall
Stort (fullt
utfall)
SMS-tjeneste
faller ut 0725
04.09.2013
08:00
(Adgangskont
roll utfall)
FIBER
utfall
KRAFT
utfall
EVRY IRT
ringer TSOC
vedr. DDoS
APT
(DnB)
Phishing-
epost
Corp-kunde
kundekontakt
kompromitter
t
Tn del-
mitigerer
DDoS til <10
Gb/s
EVRY
Arbor for
resten av
angrepet
Overspenning
pga. feil
tilkobl. av
aggregat til
basest. / site
APT (DnB)
Logg
+ Intell
Fra NorCERT:
Svar fra
malvware-
analyse
Nye APT søk
proxy
E-post m/
pdf-exploit
0830
APT
(DnB)
VDI ex fil
NorCERT
APT
(DnB)
VDI data
ip til DnB
APT
(DnB)
VDI
intell + e
Anmodning til
NorCERT:
Ta ned botnet
(DDoS)
CYFOR:
Anmodning
om bistand
med
aggregater
Utfall
basestasjoner
(utvalgte
områder)
26. Meldinger og mediespill
Meldinger som spilles inn /dialog
– Spillstab spiller inn til aktørene: ”ØVELSE ØVELSE ØVELSE – Nedetid i
nettbank – vi har satt teknisk personell til å undersøke årsak”
– IRT- teamet får beskjed fra Telenor om årsaker til nedetiden klokken
08:00
FRA TIL MELDING
Telenor SOC (TSOC) IRT-vakt ØVELSE – ØVELSE - ØVELSE: vi ser massivt DDoS-angrep mot deres
nettverk. Dette omfatter en hoster på 193.212.175.0/28. Vi arbeider
med å lage et filter for dette, men ser at mye trafikk kommer fra Norske
IP-adresser. Foreløpig ser vi gjentagende nedlastinger av større filer
innen adresseområdet, samt massenedlasting av BankID-klient
(javakode). Et filter vil muligens skape problemer for legitime brukere
også.
27. Øvelse CyberDawn 2013
Viktig lærdom – og forbedringspunkter
• Øvelsen har vist hvor viktig det er å være forberedt på å håndtere
kriser. Det gjør oss bedre rustet til å håndtere uforutsette hendelser
på en bedre måte, mener Eivind Gjemdal, leder av
virksomhetsområde IT i Alliansesamarbeidet - og ansvarlig for
informasjonssikkeret i SpareBank 1
• Vi fikk synliggjort hvordan samhandlingen og beslutningsprosessene
i alliansen fungerte. Samtidig fikk vi et godt grunnlag for å justere
vår samhandlingsmodell for håndtering av felles kriser
• Samhandling og koordinering med de andre sektorene og sentrale
samfunnsinstitusjonene gav oss nyttige erfaringer
• Viktig å følge opp forbedringsområder
28. Sentrale aktiviteter
• Styringssystem for informasjonssikkerhet, ISMS
• Policy for krise og kontinuitet i SpareBank 1
• Øvelser
– Varslingsøvelser 2014
– Øvelse «Hurricane» 2014
– Øvelse «Pain» 2014
– Felles varslingssystem, CIM for SpareBank 1 alliansen
29. Sentrale aktiviteter forts.
• Driftsleverandører
– Nets, Evry og Basefarm
• Forum for krise og kontinuitet
– Nordea, DNB, Terra, SpareBank1, Evry mf.
