IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Transkript

1 IT risici og compliance Hvad driver mig? Det gode råd med på vejen?

2 Compliance Regelværk inspiration Trusler/scenarier Risikostyring IT risici Risici/kontroller Security compliance Lille tilbageblik Agenda

3 Compliance Compliance er fællesbegrebet for de love, bestemmelser, normer og standarder samt etiske regelsæt, nationale såvel som internationale, som virksomheder skal eller vælger at overholde. (Ikke kun for at sikre sig, at der ikke sker overtrædelser, men også for at imødegå risikoen for negativ påvirkning af virksomhedens forretningsmål eller omdømme.) PWC Compliance er at efterleve og dokumentere at virksomheden overholder de krav som defineres af politikker, regulativer og standarder, som er virksomhedens governance rammeværk. Rambøll Informatik Det handler om at understøtte virksomhedens behov til et tilstrækkeligt niveau, der stadig opfylder interne og eksterne krav, så der er balance mellem indsatsen og risikoen. (bl.a. for at opnå tryghed og sikkerhed i forhold til de stadig stigende og skærpede krav fra myndigheder, ejere, interne revisioner og branchestandarder, Persondataloven, interne politikker, etc.)

4 Regelværk - inspiration International regulering Standarder / Frameworks National lovgivning

5 International regulering BIS OECD IFRS IFAC / IAASB ESMA / EBA (SEC / CESR) Basel Committee EU Directives

6 Standarder / Frameworks CPMI / IOSCO ESCB / CESR ISO27002 ISF SOGP COSO COBIT

7 National regulering Lov om finansiel virksomhed Corporate Governance Selskabsloven Systemrevisionsbekendtgørelse Bogføringsloven Persondatalov

8 Finanstilsynets bekendtgørelser Ledelsesbekendtgørelsen It-sikkerhedspolitik Organisering Risikovurdering Beskyttelse af it-ressourcer og data Driftsafvikling Backup, sikkerhedskopiering og beredskabsplan Overholdelse af relevant lovgivning Rapportering, kontrol og opfølgning Outsourcingbekendtgørelsen

9 Trusler/scenarier Hændelse Brutto risiko Utilstrækkeligt personale Manuelle fejl Systemer og data Datalækage Systemnedbrud Hardware nedbrud Tab af data Eksterne angreb IT angreb Terror Domicil Ubrugeligt Ikke adgang Strømsvigt Nye produkter og services Netværk m.v. Web-adgang ikke tilgængelig Netværk ikke tilgængeligt Rest risiko

10 Risikostyring

11 IT risici Skala Bruttorisici Meget høj risiko Høj risiko Medium risiko Lav risiko Meget lav risiko Nettorisici

12 Risiko-kontrol matrix Risici Oplistning af relevante risici Afstemning med ejer Kontroller Udpegning af egnede kontroller Gennemgang af dokumentation og beskrivelser mv. Afstemning med ejer Samlet overblik Udækkede risici Residuale risici Overflødige kontroller / kompenserende kontroller 12

13 Risici versus kontroller Risici Kontroller R1 R2 R3 R4 R5 R6 R7 K K2 2 2 K3 K4 3 3 K K Manglende kontrol Nøglekontrol 13

14 Security compliance - overblik Ekstern revision Intern revision Revisonsudvalg Revision Sikkerhedspolitik Sikkerhedsbestemmelser Forretningsgange Kontroller (ydelser, adfærd) (manuelt, automatisk) (personer, systemer) Virksomhed Bestyrelse Kontroller udføres af Ansvarlige funktioner Rapporteringspligt Kontrakt inkl. Sikk. Pol. SLA Driftshåndbog Outsourcing service Intern forretningsgange Specifik revisionserklæring Underleverandør Intern revision Revisionsret Ekstern revision

15 IT-sikkerhed udfordringens karakter Globalisering Krav om åbenhed, samarbejde og alliancer Øget regulering lovgivning, standarder, kunde- og ejerkrav. Medierne bevågenhed tilgængelighed og privacy Krav om effektivitet Digital økonomi og øget anvendelse af Internet/netværks-teknologi Alle har adgang til alt. og til alle Elektronisk, anonymt og 24x7 Øget kompleksitet og udviklingstakt

16 Sikkerheds målsætning Ledelsen BØR benytte de nødvendige kontroller, mekanismer, værktøjer og overvågning der sikre at virksomheden kan : Autentificere identiteten af alle brugere af applikationer eller kommunikations forbindelser; Beskytte trafikken imod modifikation, destruktion, opsamling; Beskytte trafikken imod upassende eller unødvendig afsløring; Sikre at virksomheden kan fortsætte driften på trods af teknologi fejl; Kunne demonstrere for en uvildig part, at virksomheden kan gøre rede for alle forretningstransaktioner i detaljer; Opdage afvigelser fra den forventede anvendelse, drift eller system opførsel og betids foretage effektive og korrigerende handlinger

17 Tillid eller ej Tillid Jeg stoler slet ikke på dig Jeg tror kun du vil udføre harmløse aktiviteter Jeg ville stole på dig, hvis jeg kendte dig Jeg ville stole på dig, hvis jeg kendte dig og din information kan verificeres Jeg stoler på dig fordi jeg kender dig Jeg stoler på dig, fordi du har en bestemt status i systemet Jeg stoler på dig, fordi du har betalt for at blive stolt på Jeg stoler på dig, fordi jeg er en tillidsfuld (naiv) person, eller der ikke er nogen risiko Reaktion Al adgang nægtes Kun adgang til offentligt tilgængelige informationer Skaf identificerende information, derefter adgang til funktioner, som er tilgængelige for kendte personer Skaf information check off-line. Indtil bekræftet kun adgang som en af de ovenstående kategorier. Skaf identificerende information og sammenlign med lagret information Skaf information og sammenlign med lagret information om personen og om privilegeret adgang Skaf information og sammenlign med lagret information om personen og betalingsstatus Lad alle gøre alting

18 Ledelsesbekendtgørelsen Bestyrelsens opgaver og ansvar IT-sikkerhedspolitik Organisering af it-arbejdet, herunder funktionsadskillelse Regelmæssig risikovurdering Beskyttelse af systemer, data, maskinel og kommunikationsveje Systemudvikling og vedligeholdelse af systemer Driftsafvikling Backup og sikkerhedskopiering Beredskabsplaner, der indeholder målsætning og planer for genetablering af normal drift Kvalitetssikring Principper for implementering af politikken i uddybende retningslinjer Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler Overholdelse af relevant lovgivning Rapportering, kontrol og opfølgning Eventuelle dispensationer fra it-sikkerhedspolitikken

19 Ledelsesbekendtgørelsen (2) Direktionens opgaver og ansvar Sikre, at it-sikkerhedspolitikken efterleves Ansvarsplacering og ejerskab Overvågning af funktionsadskillelsen Kontrol med opretholdelse af ønsket it-sikkerhedsniveau Klassificering og prioritering af systemer og data Systemer dokumenteres Sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne. Tilstrækkelige it-ressourcer Systemudvikling og afprøvning af nye og ændrede systemer sker betryggende Test og anden kvalitetssikring Ændringshåndtering og problemstyring Adgangskontrol til systemer og data Tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol Beredskabsplan vedligeholdelse og test