Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag

Transkript

1 Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag af Senior Rådgiver Hans Henrik Berthing, Statsautoriseret Revisor, CIA, CGEIT, CRISC, CISA

2 IT specifikke risici (ISA 315 A63) IT medfører specifikke risici for en virksomheds interne kontrol: Tillid til systemer eller programmer, som behandler data unøjagtigt, og/eller behandler unøjagtige data Uautoriseret adgang til data Mange brugere har adgang til en fælles database, It-medarbejderes adgangsrettigheder Manglende funktionsadskillelse Uautoriserede ændringer af data i stamfiler eller af systemer eller programmer, Manglende nødvendige ændringer af systemer eller programmer, Upassende manuel indgriben, Tab af data eller manglende mulighed for at få adgang til data 2

3 Generelle IT-kontroller (ISA 315 A104) Generelle IT-kontroller er politikker og processer Mange applikationer Understøtter, at applikationskontroller fungerer effektivt Generelle it-kontroller, som bibeholder informationers integritet og sikkerheden af data, omfatter normalt kontroller med: Drift af datacentre og netværk anskaffelse, ændringer og vedligeholdelse af systemsoftware programændring adgangssikkerhed anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Generelt er de implementeret for at imødegå de risici omtalt i afsnit A63 i ISA 315 3

4 Bestyrelsens opfattelse af Risici ved Cybersikkerhed IIA undersøgelse Pulse of the Profession

5 Bestyrelsens involvering ved Cybersikkerhed beredskab IIA undersøgelse Pulse of the Profession

6 Fem principper for ledelsen 1. Ledelsen skal forstå og tilgå cybersikkerhed som et ERM forhold. Det er ikke blot et IT forhold 2. Ledelsen skal forstå de retslige konsekvenser af cyber risici, som vedrører selskabets specifikke forhold 3. Bestyrelsen skal have tilstrækkelig adgang til cybersikkerheds eksperter. Håndtering af cyber risici skal ske regelmæssigt og med tilstrækklig tid på bestyrelsesmøder 4. Ledelsen skal sætte forventning om at establere et ERM framework med tilstrækkelig with passende antal medarbeidere og budget. 5. Drøftelser i bestyrelsen om cyber risici skal medtage identifikation af hvilke ricisi der skal undgås, forsikres, håndteres eller accepteres. Med tilhørende handlingsplaner. The National Association of Corporate Directors (NACD), in conjunction with the American International Group (AIG) and the Internet Security Alliance (ISA),

7 Seks spørgsmål til bestyrelsen 1. Anvender virksomheden et sikkerheds framework, fx ISO 2700x? 2. Hvad er virksomhedens top fem risici ved cyber sikkerhed? 3. Hvordan er awareness blandt medarbejderne, om deres ansvar ved cyber sikkerhed? 4. Bliver interne og eksterne trusler overvejet ved cybersikkerheds aktiviteter? 5. Hvordan bliver Sikkerheds Governance håndteret i virksomheden? 6. Har ledelsen etableret robuste (og afprøvede) handlingsplaner ved et væsentligt sikkerhedsbrud? Cybersecurity what the Board of Directors need to ask, IIARF Research Report,

8 Bestyrelsen og Cybersikkerhed A primary responsibility of every board of directors is to secure the future of the organization. The very survival of the organization depends on the ability of the board and management not only to cope with future events but to anticipate the impact those events will have on both the company and the industry as a whole. Tom Horton 8

9 Spørgsmål Hans Henrik Aabenhus Berthing Seniorrådgiver Statsautoriseret revisor CGEIT CRISC CISA CIA Tlf Mobil CVR-nr Verifica Statsautoriseret Revisionsvirksomhed 9