Mapning af forretningsprocesserne og IAM

Transkript

1 Mapning af forretningsprocesserne og IAM 1

2 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 2

3 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 3

4 Kort om LinkGRC Stiftet i 2006 af Tomas Hellum tidligere it-chef (del af TUI koncernen), management konsulent og it-revisor (PwC) LinkGRC s vision er at hjælpe virksomheder og offentlige organisationer med simple og operationelle initiativer og værktøjer og linke dem sammen for at sikre bedre governance. LinkGRC s kunder er inden for forsikring og pension, finans, kommuner og andre regulerede sektorer LinkGRC har lang erfaring med at hjælpe med risikominimerende tiltag, herunder governance frameworks, udarbejdelse af dokumentation og kontrolmiljøer samt operationelle it-værktøjer og systemer. Vi hjælper vores kunder med at kunne fokusere på deres værdiskabende processer inden for governance, enterprise risk management og compliance. Tomas Hellum er medlem as SC27 (bla. ISO27001/2 udarbejdelse), bestyrelsesmedlem i den skandinaviske del af thebci.org, Professionelt medlem af IOR (Institute of Operational Risk i UK, og er ved at hjælpe med at starte den skandinaviske del af instituttet. Tomas Hellum har assisteret ISACA med følgende publikationer internationalt: Security Incident Management Audit / Assurance program (SME) Access Management Audit / Assurance program (SME) Configuration management using Cobit 5 (SME) Risk Scenarios using Cobit 5 for Risk (SME) Q1/Q Basel and Cobit book (Contributor) 4

5 Kort om LinkGRC Virksomheds strategi HVAD ER DET VI VIL? Salgs Strategi IT Strategi Compliance & IT- Governance Strategi BASEL II Gramm Leach Bliley 71 Finanstilsynet GLBA FFIEC HVAD SKAL VI GØRE? Directive EC Persondataloven OECD EU Safe Harbor Markedsandele ISA 315 RS315 PCAOB IFAC EBIT GxP Annex 11 PAL HIPAA Nye markeder HVORDAN GØR VI DET? Politikker Forretningsgange Arbejdsinstruktioner Andre HVORDAN SIKRER VI AT VI GØR DE RIGTIGE TING RIGTIGT? Check af efterlevelse Måling på effektivitet Performance indikatorer 5

6 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 6

7 Omfanget af præsentationen Fokuseret på at forklare hvordan risikostyringen, herunder gennemgang af forretningens hovedaktiviteter, kan give værdifulde informationer til IAM Typiske processer der kan indeholdes i et IAM governance setup Dokumentations niveau og omfang Hvordan krav kan identificeres og hvordan de kan sikres (assurance) 7

8 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 8

9 Overordnet metodik 9

10 Overordnet metodik Hovedaktivitet Underaktivitet og processer Systemer Risici Kontroller Udbedringer Personer Volume of process- /business Informationsaktiver 10

11 Udbytte Afhold risikoworkshops på hovedaktiviteter og bearbejd hver underaktivitet / proces Identificer nøgle attributter som specificeret Implementer governance processer til periodisk opdatering af risikoworkshops 11

12 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 12

13 Kravstyring 13

14 Kravstyringsproces Fortolkning Manuelt / UCF Workshops Legal, Compliance, Risk Ekstern advokat Byg strategi Policy A Policy A Policy C Policy D Policy E Policy F Standard A Standard A Procedure B Procedure C Standard B 14

15 Kravstyring forklar hvorfor Forklar Hvorfor POLICY General management statements A policy is written in clear, simple statements of how organization intends to conduct its services, actions or business. Policies provide a set of guiding principles to help with decision making. Policies must be approved my board of management or board of directors. PROCEDURES Overall description of who, what, where, when and why in relation to activities A procedure is a document written to support a policy areas collection of statements. A procedure is designed to describe who, what, where, when, and why in relation to activities by means of establishing corporate accountability in support of the implementation of a policy or policy area. Procedures must be approved by management. INSTRUCTIONS Specific step-by-step instructions in relation to activities An instruction present a sequence of steps to execute a task or activity. The format is typically text, but a visual depiction of the steps can also constitute instructions. A mix of text, hyperlinks, and pictures are typically included in documenting the process steps. Instructions must be approved by the Subject Matter Expert (SME) for the area described. CONTROLS Specific mandatory key controls A control must be designed to provide reasonable assurance that the information security setup by organization operates as intended, that data is reliable and that organization is in compliance with applicable laws, regulation, standards and good practice. Controls must be approved by the management. 15

16 Eksempel på kravstyring 16

17 Udbytte Identificer krav, fortolkninger o.a. Beskriv metoden og start proces for governance af fortolkninger Grupper krav til dokumentation (politikker) for at sikre at vi kun beskriver hvad der er krævet. Byg et dokumentations hieraki og sørg for fx at krav er implementeret i politikker, som så de underliggende niveauer skal beskrive og sikre de efterlever Skub det ud i organisationen, så efterlevelsen skal sikres et niveau tilbage. 17

18 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 18

19 Implementering af krav i organisationen Hvor mange flere dokumenter tror du vi skal udarbejde 19

20 Implementering af krav i organisationen POLICY General management statements PROCEDURES Overall description of who, what, where, when and why in relation to activities INSTRUCTIONS Specific step-by-step instructions in relation to activities a) Skabeloner til understøttelse af framework b) Procedure omkring udarbejdelse af dokumentation c) Strategi for hvor dokumentation gemmes d) Implementer oppe fra og ned gerne med understøttelse fx i form af review, interview eller eksempler CONTROLS Specific mandatory key controls 20

21 Udbytte Byg et dokumentations hierarki fx Politikker/Retningslinjer, Standarder, Forretningsgange og arbejdsbeskrivelser Definer hvor styret dokumentation er placeret, og beskriv processen Forsøg så vidt muligt at relatere dokumentation til interne processer Forsøg så vidt muligt at relatere dokumentations hierarki og krav Anvend simple værktøjer som fx SharePoint workflows til at sikre ejerskab i virksomheden og at dokumentationen opdateres og godkendes Skab et overblik over hvad der ikke er godkendt, og hvornår det skal godkendes. 21

22 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 22

23 IAM relateret processer Definitions Access Concept Role types Role Assignment Calculated Role Assignments Role scopes Who can request it Role risk assessment and control Naming concept Application role naming and descriptions Enterprise role naming and description Daily administration User lifecycle Internals Externals Service accounts Secondary user accounts Envelope users Assignment of roles Self service Governance Access Matrix Audit of access management life cycle Assigned to users Maintenance of roles New or changes to organization New or changes to business applications New or changes to functionality New or changes to process Control and follow-up of assignments Attestation Approval of CRAs Control and follow-up of roles, role content and descriptions Maintenance processes of access management environments Roles and responsibilities Resource ownerships and responsibilities Business applications Roles CRAs Role scopes Organizational ownerships and responsibilities Internal Audit Access Administration IAM application and role Maintenance Operational Risk Appendix - Access model 23

24 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 24

25 Assurance Væbnet røveri?, jeg sidder inde for ikke at efterleve offentlige krav 25

26 Assurance Never in all history have we harnessed such formidable technology. Every scientific advancement known to man has been incorporated into its design. The operational controls are sound and foolproof! 26

27 Assurance Never in all history have we harnessed such formidable technology. Every scientific advancement known to man has been incorporated into its design. The operational controls are sound and foolproof! - E. J. Smith,, Captain of the Titanic 27

28 Udbytte Identificer og registrer virksomhedens kontroller fx i risikoworkshops Relater kontroller til metadata (fx processer) og risici for at sikre at der fx ikke er dobbelt kontroller og der i den årlige risikovurdering kan vurderes sandsynlighed og konsekvens Vurder om det er nøgle kontroller og vurder om de giver den fornødne minimering Brug fx t-shirt sizes (small, medium etc.) til tidsestimat for at kunne beregne omkostninger for kontroller 28

29 A Nordic Leader in all aspects of Governance, Risk and Compliance 29