Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Transkript

1 Internkontroll SUHS konferansen 07. November 2012 Kenneth Høstland, CISA, CRISC

2 Innhold Internkontroll Regulatorisk forankring Ulike tilnærminger til internkontroll Litt om trusler Generelle erfaringer med internkontroll Internkontroll i UH sektoren Styrende, gjennomførende og kontrollerende dokumentasjon Risikostyring 2

3 Regulativ forankring av Internkontroll Personopplysningsloven (POL) POL Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. 3 POL Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene.

4 Internkontroll COSO ERM Enhver virksomhet er utsatt for et stort antall risikofaktorer; dvs. mulige hendelser som kan hindre virksomheten i å realisere sine strategier og nå sine mål. Risikoen kan komme fra et bredt spekter av risikofaktorer. Risiko er et produkt av sannsynligheten for og konsekvensen av at slike hendelser (risikofaktorer) skal inntreffe. Som ansvarlig leder må du stille deg følgende spørsmål; Hvordan kan du identifisere nye og endrede risikofaktorer? Hvilke av disse risikofaktorene er vurdert som de vesentligste for din virksomhet? Hvordan kan jeg etablere relevante styrings- og kontrollmekanismer som balanserer risiko og kontroll? Hvordan kan jeg vite at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt? 4 Det er disse aktiviteter, utført som en ledelsesdrevet kontinuerlig prosess, som utgjør virksomhetens "intern kontroll". Behovet for å få innsikt i ovennevnte problemstillinger og aktuelle løsninger, førte til at det ble gjennomført flere internasjonale studier innenfor området styring og kontroll. De mest kjente er COSO rapporten (USA), CoCo rapporten (Canada) og Cadbury rapporten (UK)

5 Internkontroll - NIRF Begrepet intern kontroll omfatter alt hva selskapet gjør for å sikre sine verdier tilrettelegge en forsvarlig drift for å nå de planlagte mål. Ethvert selskap må i større eller mindre grad etablere intern kontroll, avhengig av selskapets størrelse, virksomhet og kompleksitet. 7 Intern kontroll er en integrert del av ledelsens totale styringssystem. Den interne kontrolls form og omfang påvirkes av f.eks. bransje, selskapsstørrelse og tekniske hjelpemidler.

6 Personopplysningsbegreper (POL 2) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. POL: Personopplysningsloven POF: Personopplysningsforskriften Sensitive personopplysninger Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk, religiøs oppfatning, straffbare forhold, helse, sex forhold eller fagforreningsmedlemskap. 8 Sensitive personopplysinger skal behandles og lagres i sikrede soner hvor kun autoriserte brukere gis tilgang. En virksomhet kan opprette flere sikrede soner avhengig av behovet.

7 Hvor en opplever at skoen trykker når det gjelder POF 2-3 Manglende sikkerhetsmål og strategi. Styrende, gjennomførende og kontrollerende dokumentasjon Manglende gjennomføring av risikovurdering, herunder fastsettelse av kriterier for akseptabel risiko Mangelfull håndtering av tilgjengelighet og driftskontinuitet i tilfelle kriser og katastrofer

8 Overordnet liste av avvik i sektoren Pri Lover& forskr. Avvik/funn Tiltak Ref Status 1 Pof 2-3 Ikke sikkerhetsmål & - strategi (policy) 9 Manglende IT strategi 3 POF 2-12 Mangler KBP 6 POL 13 Manglende databehandler avtale 2 POF 2-4 Ikke gjennomført ROS ift informasjonssikkerhet 4 POL 16-22, POF 3 Utarbeide oversikter over hvilke Personopplysninger som behandles (rutiner for innsyn, logger og lignende.) 5 POF 2-6 Manglende rutiner for avviksbehandling. Dette er et avvik ifht regulative krav og God IT skikk. 7 POF 2-10 Manglende skriftlig rutine for gjenbruk og destruering av brukt IT utstyr 12 Mangler retningslinjer for hjemmearbeidsplass 8 POF 2-11 Det er lagret sensitive data på fellesområdet "G:" som blir tilgj. for uautoriserte ved feil konfig i < >

9 Internkontroll og utfordringer 14

10 Litt om trusler og sårbarheter Trender Informasjon er mer verdifull enn noen gang Nettverk er kritisk infrastruktur e-post stadig mer virksomhetskritisk ID-tyveri Angrep hurtigere enn patcher (zero-day) sluttbrukere representerer risiko målrettede angrep organisert kriminalitet Mobile enheter representerer stadig større risiko ( Mobilen er vår farligste eiendel Norsis) Det aktuelle trusselbildet avdekkes gjennom en risikovurdering

11 Noen erfaringer Generelle erfaringer Den menneskelige faktoren utgjør en vesentlig del av det totale sikkerhetsbildet (80% ifht teknologi 20%). Teknisk personell setter sikkerhetsnivået der det ikke er Policies - > fører til Pansrede ståldører i stakitt gjerder Det er bedre nå enn før, men der det er dårlig fortsatt, er der hvor styrende dokumenter mangler (Policy, IT-strategi etc). Mangelfullt design og sikkerhetskonfigurasjon PEBKAC 16

12 Noen flere erfaringer Kompleksitet kan være fiende o Som følge av unødvendig funksjonalitet o Som følge av for mye Teknologi fokus Stadige endringer/ teknologi skifte en trussel o Gir mindre tid for utvikling av effektive sikkerhetstiltak Mangelfull/manglende IT-/Teknologi strategi en trussel o Kan gi tilfeldige anskaffelser o Være kostbart o IT-strategi må være forretningsforankret Unngå For mye sikkerhetsteknologi o Sett tiltakene etter ROS vurdering Unngå risikopreget konfigurasjon o Eksempel: klienter og servere i samme segment/ regime, i kombinasjon med tilgang til lokal administrator på klient/pc samt tillate BYOD uten ansvarliggjørende tiltak Mobilitet og BYOD gir risikoer o Flytter grenser / Sikkerhetsbarrierer o Privat enhet som ofte fylles med virksomhetens informasjon 17

13 Finanstilsynets risikorapport for 2011 Handler om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Noen funn fra IT-tilsyn Rapporterte hendelser Risikoer med Cloud Risiko ved utkontraktering Mangler ved styring og kontroll Kriminelle angrep mot betalingssystemene Risiko for driftsavbrudd og systemfeil 19

14 Definisjon av risikostyring enkel def. Risikostyring handler om å fastsette akseptabel risiko, foreta risikovurdering og prioritere sikkerhetstiltak. Dette er øverste leders ansvar. (Norsis) 22

15 Risikostyring - overordnet Informasjonssikkerhet Mål- og resultatstyring Steg NSM /Datatilsynet/ NORSIS DFØ/COSO 1. Planlegging og organisering a. Planlegging b. Organisering c. Identifisering av verdier d. Kartlegging av risikobildet Identifisering av overordnede mål a. Mål og verdier b. Pålitelig regnskapsrapportering og økonomiforvaltnig c. Overholdelse av lover og regler 2. Gjennomføring av ROS analyse (vurdering) a. Identifisering av uønskede hendelser b. Fastsettelse av Sannsynlighet og Konsekvens c. Fastsettelse av Risiko d. Evaluering av risiko og akseptabel R Identifisering av KSF Utarbeidelse og implementering av tiltak a. Kartlegging av eksisterende tiltak b. Utarbeiding av sikringstiltak c. Vurdering av nytte og kostnad d. Kommunikasjon med beslutningstakere Identifisering av risikoer 4. Kontroll og revisjon Oppfølging og kontroll av sikkerhetsarbeidet Ledelsens evaluering Vurdering og prioriteringer av risikoer 5. Vurdering av S og K 6. Prioritering av risikoene -> unngå, redusere, dele eller akseptere risiko.

16 Hensiktsmessig sikkerhetskontroll? 25

17 Dilbert BYOD & Internkontroll 26

18 Internkontroll i UH siden Etablering av Policy for informasjonssikkerhet IT revisjon: > > Hva nå?? IT revisjon/ Kartlegging Utkast til policy og rutiner mm. Policy: >15 Test av etterlevelse 27 Justrering policy Holdninger Tilpassning i WS Implementasjon ROS BIA KBP ROS BIA KBP Policy Utrulling i UH

19 Internkontroll i UH-sektoren ISO i all sin grusomhet Noe av innholdsfortegnelsen 28

20 Internkontroll i UH-sektoren Datatilsynet får ofte spørsmål om hvordan bedriften kan tilpasse seg Datatilsynets krav til informasjonssikkerhet. Blant annet spørres det om forholdet til ISO-standarder. Forskriften bygger på ISO-standarder 29 Forskriftens kapittel 2 om informasjonssikkerhet bygger på og har samme systematikk som ISOstandard Standarden er imidlertid mer utfyllende og er nok et nyttig verktøy i virksomhetens arbeid. Standardserien består av to deler. Den første delen er oversatt til norsk. Standarden kan skaffes ved henvendelse til Pronorm.

21 Internkontroll i UH-sektoren retningslinjer og dokumentasjon Består av planlagte og systematiske tiltak slik som 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. -> Styrende dokumentasjon 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. -> Styrende dokumentasjon Hvorfor Hva 30 3) Standarder og prosedyrer for informasjonssikkerhet med detaljerte retningslinjer for hvordan disse standardene skal implementeres. -> Gjennomførende og kontrollerende dokumentasjon Hvordan

22 Eksempel på Hvordan gjennomførende dok. 31

23 Eksempel på Hvordan 32

24 Eksempel på gjennomførende dok. (KBP) KBP IT Administrativ plan Definisjoner Overordnet prosedyre Overordnede varslingslister Krise?/type katastrofe? 33 Kriseplan IT Kriser (og noen typer katastrofer) Varslingslister (også ifht driftspartner(e) Alternativt datarom på campus Nødvendige gjenopprettingsprosedyrer i egen driftede systemer, herunder Omlegging av data og trafikk Drift m. redusert kapasitet Gjenoppretting av prim. datahall Katastrofeplan IT Større katastrofe Varslingslister (også ifht driftspartner(e) Velge eksternt driftssted Cold Site Nødvendige gjenopprettingsprosedyrer, herunder Bestillinger Klargjøringer Gjenoppretting til nød drift Gjenoppretting av prim. Datahall (om mulig) System og driftsdokumentasjon Testplaner

25 Eksempel på kontrollerende dok. 34

26 Eksempel på Hvordan - Soneinndeling 35

27 Best Practice 37

28 Oppsummering Internkontroll: etablere og holde vedlike planlagte og systematiske tiltak tiltakene skal være forholdsmessige både logiske og tekniske tiltak risikosyring både ifht målstyring og informasjonssikkerhet God internkontroll: etterlever lover& regler oppfyller forretnigsmessige krav unngår for mye sikkerhet Dette betinger en metodisk tilnærming: IT revisjon/ kartlegging av ståsted Risikovurderinger Styrende dokumenter Kvalitetsarbeid Forretningsstrategi IT-strategi KBP Opplæring, holdningsskapende tiltak 39

29 TAKK FOR OPPMERKSOMHETEN Spørsmål? 40

30 Noen referanser om internkontroll NIRF om Internkontroll: Datatilsynet om Internkontroll : POL: POF: Internkontrollforskriften: DFØ om målstyring: 06.pdf 41