Styring af leverandøradgange. Bent Poulsen Chief Auditor

Transkript

1 Styring af leverandøradgange Bent Poulsen Chief Auditor

2 Synopsis Både offentlige myndigheder og private virksomheder anvender outsourcing af it miljøer. I forbindelse med, at både programmer og data flyttes uden for virksomhedens fysiske rammer og at væsentlige funktioner overlades til outsourcingpartneren skal der etableres sikkerhedsregler, som definerer, hvordan adgangene til virksomhedens aktiver (programmer og data) skal administreres inklusiv den opfølgning der skal være, for at virksomheden kan være sikre på, hvilken behandling programmer og data har været udsat for.

3 Agenda Lidt om VP Hvorfor outsource Hvad har vi outsourcet Hvem var involveret Risici/konsekvenser Ansvarsplacering Praktiske problemstillinger System-, data- og driftsikkerhed Øvrige sikkerhedsrelaterede forhold Sikker telekommunikation

4 VP SECURITIES (VP) 1980 Establishment of VP - Self owned non-profit Utility 1983 First in the world to dematerialise all listed bonds 1988 Dematerialization of all listed stocks From Self owned Utility Participants 1997 CSD of the year (Global Custodian) 2000 VP changed into a for-profit company 2002 Information Services 2005 VP Mexico 2006 VP acquires the Registrar/AGM business from from Danske Bank and Nordea 24% 8% 8% 28% 32% Commercial and savings banks Mortgage credit banks The Danish central bank Issuers Institutional investors 2008 Issuer Service Link UP Markets VP Luxembourg 2009 First in the world to introduce 100% electronic AGM service Towards: Marked owned marked driven Customers 4

5 2011 in figures Turnover market value: Bonds: 34,835 billion DKK Shares: 3,961 billion DKK Unit trusts: 914 billion DKK Daily turnover: 159 billion DKK 43,000 trades Mio Trades Bonds Shares etc. Securities on deposit end of 2011 (market value): 6,146 billion DKK

6 Hvorfor outsource Generelt - fokus på kerneområder - omkostningsreduktion - personaleknaphed - adgang til teknisk ekspertise - adgang til faciliteter Hvorfor gjorde vi - personaleknaphed (mainframe) omkostningsniveau MIPS-behov software-licenser print-håndtering ønske om kortere tid for retablering (beredskabsplan)

7 Hvad har vi outsourcet Mainframe maskinen med tilbehør Hardware Systemsoftware Central udprintning Housing af netværksservere WAN => VP KryptoNet (sikker telekommunikation)

8 Hvem var involveret Internt Administrerende direktør IT-chef Tekniske specialister/ledere Jurist Internal Audit (sikkerhed) Eksternt Konsulenter Advokat

9 Mainframe

10 Risici/konsekvenser I forbindelse med vores outsourcing ændredes funktioner, som hidtil blev varetaget internt VP s ansvar Leverandørens ansvar Delt ansvar (hvor uundgåeligt) Primær ansvarlig Sekundær ansvarlig Aftalt/afstemt/dokumenteret

11 Risici/konsekvenser (forts.) Ændring i infrastrukturen Netværk (3 lokationer) Remote adgang til systemer Håndtering af backup-media Varetagelse af backup-rutinerne Change management systemsoftware

12 Risici/konsekvenser (forts.) Beredskabsplanlægning Ejerskab og kontrol Afhængighed af leverandør SLA, tilstrækkelig kontraktuel forpligtelse (aftale) SLA, fornøden attention (tidskritisk) Aftestning Beredskabsplanen opdelt Teknisk plan for mainframe etc. Teknisk plan for decentrale platforme Plan for domicil m.v.

13 Ansvarsplacering - generelt Sikkerhedspolitik, -bestemmelser og procedurer VP s Leverandørens Kontraktuel forpligtelse for leverandøren Rapportering og opfølgning Erstatningsansvar

14 Ansvarsplacering - specifikt Systemprogrammering på mainframe Operativsystem Øvrigt systemsoftware (basisprogrammel), installation Ændringsstyring Funktionsadskillelse Bibeholdt hos VP Brugeradministration Administration af de decentrale miljøer Udvikling, drift og vedligeholdelse af applikationer Help desk, herunder problemhåndtering Ændringsstyring omkring applikationer Customisering (DB2, CICS )

15 Praktiske problemstillinger Deling af systemprogrammeringsopgaverne Ikke normal situation for leverandøren En del udfordringer for begge parter Ændringsstyring og problembehandling Procedurer Dokumentation Afhængigheder Funktionsadskillelse Rapportering og opfølgning

16 Praktiske problemstillinger (forts.) Funktionsadskillelse hos leverandøren Deres normale praksis var ikke mulig fra starten Midlertidig procedure Specifik indførelse af funktionsadskillelse Baseret på RACF-exit Skelnen imellem miljøerne Udviklet af en anden kunde Særdeles overraskende testresultater Særlig tilpasning Dokumentation

17 Praktiske problemstillinger (forts.) Sikkerhedsadministration RACF (én RACF til 3 miljøer) Systemprogrammørernes sandkasse Testmiljøet Produktionsmiljøet Håndteres af VP I starten lidt krig med leverandørens systemprogrammører (VP er restriktiv ) Fuldstændig logning af brugere med stærke privilegier Løbende kontrol med adgange/adgangsforsøg/setkommandoer m.v.

18 Praktiske problemstillinger (forts.) Vedligeholdelse af basisprogrammel (DB2, CICS ) SMP og klargøring i sandkassemiljøet Særskilte diske Tilføjelse til testmiljøet Manglende underretning af sikkerhedsadministrator DB2-administratorer havde ikke adgang Datasæt eksisterede pludselig men var ikke registreret i VP s RACF

19 Adgang til aktiver (data/programmer) Produktionsdata Kun adgang for de nødvendige VP-medarbejdere Leverandørens medarbejdere Forhindret adgang via autorisationssystemet Fuldstændig logning af bruger med stærke privilegier Løbende kontrol med adgange/adgangsforsøg/setkommandoer m.v. Kontrol foretages af Sikkerhedsadministrationen Leder af Sikkerhedsadministrationen foretager stikprøver Programmer Beskyttet i programbiblioteker Styret og kontrolleret process med idriftsættelse Kontrollerne revideres af Internal Audit

20 System-, data- og driftsikkerhed Vi ved godt, at vi kun kan outsource opgaverne ikke ansvaret Finanstilsynet: Virksomheden skal sikre sig, at leverandøren overholder dens it-sikkerhedspolitik og sikkerhedsregler Der skal aftales procedurer for virksomhedens regelmæssige kontrol heraf Outsourcing må ikke være til hindring for gennemførelse af virksomhedens beredskabsplan Sikkerhedsarbejdet hos leverandør + revisorerklæring (specifik erklæring) Sikkerhedsarbejdet hos VP + erklæring i revisionsprotokol

21 Øvrige sikkerhedsrelaterede forhold Leverandørens rapportering vedrørende sikkerhed Løbende Periodisk Straks kriminelle forhold og sikkerhedsbrud eller forsøg herpå Ret til at gennemføre sikkerhedsaudits hos leverandøren

22 Diverse T2S outsourcing af clearing and settlement Sikkerhed og risikostyring Hårdt arbejde vedrørende revisorerklæring DD (Directors Desk) Bestyrelsesmateriale! Også her en udfordring vedrørende revisorerklæring

23 Printopgaven Lovgivningsmæssige krav 48 timer Prognoser Aflevering til forsendelse Kvittering Afstemning Revisorerklæring

24 Wan (sikker telekommunikation)

25 Behov for sikker telekommunikation Et vigtigt led i den finansielle infrastruktur Opbevarer nationalformuen Den daglige værdipapiromsætning Dataføder de finansielle institutter Lovbestemt fortrolighed TILLID

26 General Setup 3.6 million Investor Accounts

27 Outsourcing af WAN Indtil outsourcing blev sikkerheden håndteret internt i VP Ved outsourcing En del af sikkerhedshåndteringen også outsourcet Behov for revisorerklæring Behov for yderligere sikkerhed VP Kryptonet Yderligere revisorerklæring VP s bredbåndsbaserede kommunikation OK!

28 Security compliance - overblik Ekstern revision Interesseorganisationer VP Internal Audit Eksternt Revisonsudvalg Udvælger Revision Sikkerhedspolitik Sikkerhedsbestemmelser Forretningsgange Kontroller (ydelser, adfærd) (manuelt, automatisk) (personer, systemer) VP Bestyrelse Kontroller udføres af Sik.adm. Driftsservice Kundeservice Rapporteringspligt Kontrakt inkl. Sikk. Pol. VP Sikk. Pol. Lev. SLA Driftshåndbog Outsourcing service Interne forretningsgange Specifik revisionserklæring Underleverandør Revisionsret VP s Internal Audit Ekstern revision