Sikkerhed og Revision 2015

Transkript

1 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015

2 Velkommen til Århusgade!

3 Fra Finanstilsynets hjemmeside

4 Agenda Hjemmel It-tilsynets forventninger it-risikovurderingsproces på den nemme måde Når hændelser indtræffer Hvor ser it-tilsynet udfordringerne??

5 It-tilsynet Ca. 8 it-inspektioner om året It-tilsynet har 3 FTE Ansvar for inspektion af de største institutter (SIFI) samt de fællesejede datacentraler Risiko og væsentlighedsbaseret tilgang

6 Elektron Datacentraler i Danmark JN Data Gensam Data BEC NETS SDC FDC Bankdata It-sikkerhed i den finansielle sektor er et samarbejde

7 Hjemmel FIL 71, stk. 1, nr. 8 om effektive former for virksomhedsstyring, herunder betryggende kontrol- og sikringsforanstaltninger på it-området. Bekendtgørelse nr. 297 af 27. marts 2014 om ledelse og styring af pengeinstitutter m.fl., herunder i bilag 5 om itsikkerhed Konsekvensen af den bredde hjemmel er, at vi ofte giver påbud som tilsynsreaktion.

8 Hjemmel - fortsat Bilag 5 (vedlagt) Betsyrelsens opgaver og ansvar 3) Hvad der er væsentligt afhænger af bl.a. af virksomhedens størrelse samt omfanget og kompleksiteten af virksomhedens it-anvendelse (proportionalitet). b) regelmæssig risikovurdering h) kvalitetssikring l) rapportering, kontrol og opfølgning

9 Hjemmel - fortsat Bilag 5 4) Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt itsikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau.

10 It-tilsynets forventninger til it-risikostyring Finanstilsynet anlægger en helhedsbetragtning af, i hvilket omfang arbejdet med at identificere og imødegå it-risici er tilstrækkeligt detaljeret, og at metoden er dokumenteret og synliggjort, således at de enkelte vurderinger efterfølgende kan kvalitetssikres og efterprøves på en tilfredsstillende måde. Finanstilsynets vurdering lægger vægt på følgende

11 It-tilsynets forventninger til it-risikostyring - fortsat At metoden for udarbejdelsen af it-risikoanalyser og vurderinger er dokumenteret, således at de endelige vurderinger kan kvalitetssikres. At eksterne og interne interessenter bliver inddraget i tilstrækkelig omfang, herunder sparring med itsikkerhedseksperter, forretningens funktioner mv. At relevante it-risici er identificeret bl.a. med udgangspunkt i tilgængelig, fortrolighed og integritet. Dette under hensynstagen til væsentlighed set i forhold til virksomhedens systemiske vigtighed samt kompleksiteten i virksomhedens it-anvendelse.

12 It-tilsynets forventninger til it-risikostyring - fortsat At der er foretaget en vurdering af de enkelte it-risici i henhold til sandsynligheden for, at en given hændelse indtræffer, samt den afledte konsekvens for virksomheden såfremt hændelsen indtræffer. At der er foretaget en vurdering af, hvorvidt virksomhedens politikker, forretningsgange, samt kontrol- og sikringsforanstaltninger i tilstrækkelig grad imødegår de identificerede it-risici, således at der kan foretages en retvisende vurdering af restrisiko og virksomhedens samlede risikoprofil

13 Erfaringer fra it-tilsynet Indledende overvejelser Klassifikation af data (virksomhedens kronjuveler) Kritiske processer Væsentlighed Sandsynlighed Konsekvens Kontrolmiljø Rest risiko

14 Erfaringer fra it-tilsynet En iterativ proces Historik af hændelser Organisatorisk forankring Inddrag eksterne Alle veje fører til Rom Metodefrihed Værktøj til understøttelse Internationale standarder

15 Risikostyring - vejledning fra Digitaliseringsstyrelsen

16 Risikostyring - vejledning fra Digitaliseringsstyrelsen

17 Grundlaget for Finanstilsynets vurdering Af eksempler på ofte anvendte standarder/best practices/ kontrolrammeværker på it-sikkerhedsområdet kan bl.a. nævnes ISO 27001, ISF - Standard of Good Practice for Information Security, COBIT mv. Finanstilsynet foretager i alle tilfælde en vurdering af, om virksomheden påtager sig højere it-risici end acceptabelt, og der foretages en sammenligning med andre tilsvarende virksomheders praksis på området. 17

18 Hvilke udfordringer ser vi? Rapportering til ledelsen: It-sikkerhedsrisici og it-risici forsvinder, når de aggregeres ind i operationel risiko. Manglende dokumenteret sammenhæng mellem risiko og kontrol Generiske risici, som ikke er tilpasset virksomheden Høj tillid til interne medarbejdere Statiske risikolandskaber Manglende inddragelse af andre

19 Cyber Security Cyber Security Cyber Security tager afsæt i at beskytte den viden og data, som er vurderet kritisk for en virksomhed. Værdimål: fortrolighed, integritet og tilgængelighed Sikring eller forsikring et ledelsesvalg Fokusområder: Netværkssikkerhed og infrastruktur Kryptering Udveksling af sensitive data Procedurer til håndtering af forskellige typer af angreb Awareness i organisationen Opdateret viden - netværk og eksterne konsulenthuse

20 Når hændelsen indtræffer

21 Når hændelsen indtræffer

22 It-hændelser Vejledning for orientering af Finanstilsynet ved IT-hændelser Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab. Hændelsen påvirker/kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf. Hændelsen kan give anledning til politianmeldelse. Virksomheden nedsætter en særlig task force for at behandle hændelsen.

23 It-hændelser Vejledning for orientering af Finanstilsynet ved IT-hændelser Mistanke om at tredjemand har haft adgang til fortrolig data. Hændelsen kan give anledning til kundeklager af principiel karakter. Alvorlige hændelser der kan påvirke fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer samt længerevarende IT-hændelser, der påvirker virksomhedens generelle IT-drift og serviceleverancer. Hændelsen omtales i pressen

24 Generelle erfaringer Mulige reaktioner på følgende områder: Rettighedsstyring Hvem skal have adgang til hvad? Fortrolighed klassificering af data Brede adgange til kundedata Processen omkring It-risikovurdering It-compliance-rapportering Aktiv stillingtagen til revisionsbemærkninger også det aggregerede billede

25 SIFI institutter To skærpede krav til it-sikkerhed 1. Varm to-center drift incl. backup. Årlig test at systemerne kan overgå fra et center til det andet. 2. It-risikoanalysen skal suppleres med en trussels- og sårbarhedsanalyse

26 Sikkerhed på den nemme måde Konklusion fra it-tilsynet Go all in Brug en fast metode, revurder ofte

27 Spørgsmål?

28 Tak for opmærksomheden se mere på og se os på Linked In