Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Transkript

1 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015

2 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

3 Om mig partner på Transcendent Group tjänsteområdesansvarig ITrevision 14 års arbetslivserfarenhet som IT-revisor och rådgivare

4 Risker Transcendent Group Sverige AB 2015

5 Informationsteknologi (IT) Transcendent Group Sverige AB 2015

6 Transcendent Group Sverige AB 2014 Synsätt IT som affärsmöjliggörare IT risker är affärsrisker

7 Vad driver risk? Accelerande teknisk utveckling ökar kraven på tillgänglighet. Informationsteknologi används vid utveckling av produkter och tjänster samt skapar förutsättningar för effektivisering och kostnadsbesparingar. Företag integrerar i allt större utsträckning befintlig ITinfrastruktur och informationsutbyte med kunder, leverantörer och samarbetspartners. Ökad grad av regelefterlevnad och avtalade kundkrav. Informationsteknologi (IT) är en möjliggörare (business enabler) för att utveckla företag och organisationer.

8 Teknikutveckling Molnbaserade tjänster och virtualisering Cyber Crime och Cyber Security (Internet) Penetrationstester och sårbarhetsanalyser (scenarion) BYOD Bring Your Own Device (smarta mobiltelefoner) Big Data (stora datamängder vid insamling, hantering och lagring)

9 Risk universe Styrning och ledning Organisation Processer Teknologi

10 Input till att identifiera IT-risker Affärsmål och strategier IT-strategi IT-ledningsgrupp Incidenter Projekt Utförda riskanalyser Organisation Revisionsutskott Tidigare års observationer (IR/ER) Lagar och förordningar Kundavtal Teknikutveckling Utvecklingsbudget och förvaltningsplaner

11 Skapa förståelse för IT Styrning och ledning av IT. Förstå organisation (inklusive roller och ansvar). Förstå drift/utveckling/ förvaltning. Teknik Verksamhetens beroende av IT Outsourcing Externa leverantörer

12 Komplex IT-miljö Transaktionsintensitet (realtid vs. batchjobb) Antal applikationer IT-infrastruktur Standardsystem vs. egenutvecklade Antal användare Pågående och planerade projekt Incidenter Vilka processer stöder de Beroenden (input output) Drift och förvaltning Kompetens

13 IT-riskområden BYOD Säkerhet i molnet Drift och förvaltning Outsourcing Fysisk säkerhet Datakvalitet Projekthantering Mobil säkerhet Informationssäkerhet Säkerhet i applikationer Leverantörsstyrning IT-styrning IT Riskområden Cyber Security Utveckling av IT-system Incidenthantering Social media Policies och riktlinjer Infrastruktur Regel efterlevnad Kontinuitetsplanering IT-säkerhet Licens hantering

14 Informationssäkerhet 7. budget 5. strategi och inriktning 6. policy och riktlinjer 9. Styrning och administration av behörigheter 10. organisation (roller och ansvar) 4. styrning och uppföljning Informationssäkerhet 12. riskanalyser 13. informationsklassificering 11. utbildning 3. incidenter 2. krav enligt lagar och förordningar 8. kontrakterade tredje parter

15 Riskområde: informationssäkerhet Varför är detta område väsentligt? Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv. Identifierade risker att beakta Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet. Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön. Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner. Förslag till granskningsåtgärder Granskning av behörighetsrutiner och styrning av åtkomst Granskning av en korrekt ansvarsfördelning (segregation of duties) Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd. Granskning av rutiner och kontroller för loggning av information.

16 Transcendent Group Sverige AB 2014 Trender IT-risker för banksektorn Digitalisering (webb och mobila kanaler) Mobila betalningar Riskområden Regelefterlevnad (Basel 3, GDPR) IT-infrastruktur Cybersäkerhet Big Data

17 Prioriterade granskningar i 2015 års revisionsplan Verksamhetsområde Identifierade risker Risk Mapp Nr. Potentiell konsekvens / effekt av risk Granskningsåtgärd xx aa 1 ss ss aa bb xx ss Zz Xx xx cc ss ss yy ww dd cc ss 2,3,4 ee ss ss ss dd rr ww zz zz 5 zz zz( zz xx zz

18 Konsoliderad risk karta topp fem operationella risk områden Sannolikhet Förväntad (4) 1b yy zz tt 1a xx xx Trolig 3. Lagar och förordningar xx 2. Informationssäkerhet cc (3) 4. dd ff 5. gg kk Potentiell (2) Osannolikt (1) Begränsad (2) Hög (3) Väsentlig (4) Kritiskt (4) Påverkan

19 Input till IT-risker Identifierade risker och scenarion Flertalet kritiska projekt levereras inte enligt våra förväntningar (tid, kvalitet, kostnader) Förslag på granskningsåtgärder Granskning av specifika project. Pre- och post-implementations review av system. Granskning av faktiska nyttoeffekter med investeringar i IT. Risk för att IT ej möter upprättade affärsmål och strategier på kort och lång sikt Granskning av IT-strategi och styrningsmodell. Granskning av rutiner för incidenthantering. Brister i styrning och uppföljnig av leverans från kontrakterade tredjeparter (outsourcing)? Granskning av utkontrakterade tjänster hos tredje part. Avtalsgranskning Risk för brister inom informationssäkerhet Granskning av styrning och ledning av informationssäkerhet. Granskning efterlevnad av styrande dokument (exempelvis ISO 27001). Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A). Applikationsgranskningar. Risk för obehörig åtkomst till kritisk information Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst Segregation of Duties Granskning av rutiner för hantering av logginformation

20 Input till IT-risker Identifierade risker Förslag på granskningsåtgärder Risk för väsentliga avbrott i vår verksamhet Granskning av kontinuitetshantering Granskning av katastrofplaner för IT (disaster recovery). Granskning av utkontrakterade tjänster till tredje part Ökade IT-kostnader Granskning av IT-kostnader. Granskning av licenshantering Risk för externa intrång och åtkomst till kritisk kunddata Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser. Genomförandet av penetretionstester. Risk för bristande kvalitet i utvecklingsprocess Granskning av rutiner och kontroller för systemutveckling och förändringshantering.

21 Input till IT-risker Område Risker IT-strategi IT-strategi är ej formaliserad och implementerad i koncernen. Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten. Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering. Det saknas en tydlig koppling mot definierade affärsmål och strategier. IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp. IT är ej representerat i ledningsgruppen. Styrning och ledning Avsaknad av ett ramverk för IT styrning (IT governance framework). Styrande forum är ej effektiva i sin utformning och genomförande. Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin. Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker). Det finns ingen process för regelbunden kvalitetsuppföljning av ITleveranser. Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.

22 Input till IT-risker Område Risker Informationssäkerhet Det finns inte en upprättad och implementerad strategi för informationssäkerhet. Otydlighet kring styrning och ledning av informationssäkerhet. Ökad grad av rapporterade incidenter kopplat till informationssäkerhet. Avsaknad av rutiner för genomförande av riskanalyser (inklusive hotoch sårbarhetsanalyser). Bristfällig kontroll över administratörsrättigheter. Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system. Brister i efterlevnad av regulatoriska krav.

23