Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen?

Transkript

1 Mindre papirer, mer IT i finanssektoren Følger internrevisor med i utviklingen? Risikoidentifikasjon - IT Bjørn Jonassen Finansnettverket NIRF

2 Agenda 1. Litt om meg 2. IT-Risiko bakgrunn 3. Risikoidentifikasjon 4. Brukervennlig og oppdatert risiko 5. Internrevisors forhold til risiko 2

3 Bjørn Jonassen 2003 Deloitte - Tjenesteansvarlig - teknologirisiko og informasjonssikkerhet - Noen fokusområder - Sikkerhetsstyring og ISO Risikostyring - Internrevisjon - Personvern - Cyber-sikkerhet 2001 EY - Manager - informasjonssikkerhet 1998 Storebrand & IBM - Systemarkitekt og outsourcing av IT til IBM - Program manager IT-security (IBM med ansvar for Storebrand, ICA, Skandia og If) 1995 NCR / AT&T - systemkonsulent - 3. linje support (2 år i Nederland) 3

4 Risiko = Sannsynlighet x Konsekvens Eller en antakelse på basis av strukturert erfaring eller fakta av hvilken mulighet det er for at en uønsket situasjon vil kunne oppstå. Internkontroll Sikkerhetstiltak Planlagt internkontroll Planlagte sikkerhetstiltak Konsekvens Konsekvens Konsekvens Sannsynlighet Sannsynlighet Sannsynlighet Iboende risiko Dagens risiko /restrisiko Fremtidig risiko 4

5 Risikovurdering Overordnet tilnærming til vurdering av IT-risiko (periodisk) 1. Ledelsen setter krav til akseptabelt risikonivå 2. Metode og kriterier for vurdering bør være etablert 3. Ha oversikt over prosesser og avhengigheter 4. Ha oversikt over IKT-miljø, tjenesteleverandører, kontrollmiljø, mv som benyttes 5. Foreta kritikalitetsvurdering av prosesser, IT-systemer, IKT-miljø, og tjenesteleverandører (gjerne basert på K, I, T). Kritikalitetsvurderingen bør forankres i ledelsen / av relevante interessenter. Kritikalitetsvurderingen benyttes til å prioritere miljø som skal risikovurderes mer detaljert 6. Definer ramme og uønskede scenarier som skal vurderes - på basis av innspill fra ledelsen/interessenter 7. Identifiser iboende risiko: Innhent data for å gi svar på sannsynlighet for og konsekvens ved de uønskede scenariene eller hendelser. 8. Identifiser restrisiko ved å koble iboende risiko med kontrollmiljø og andre risikoreduserende forhold 9. Vurder restrisiko opp mot akseptabelt risikonivå 10. Etabler evt. tiltak for å komme innenfor akseptabelt risikonivå 11. Følg opp etablering av tiltak og risikodekning 12. Gjennomfør regelmessige oppdateringer 13. Oppdater risiko ved endringer, ved hendelser, når trusselsituasjonen endres, eller organisasjonen får ny kjennskap til risikodrivere Aggreger risiko og gjør relevant informasjon tilgjengelig

6 Bakgrunn - risiko Snurr film 6

7 Hvem identifiserer risiko Ledelsen Risk & compliance Juridisk Sikkerhet IT Øvrige ansatte Partnere Leverandører mv

8 Risky business Sosiale medier Bring your own Attestasjoner Mobilbank Tilgjengelighet Tjenestenekt - DDOS Interne misligheter Ansvar Offshoring Norge, India, Ukraina, USA Identitetstyveri Leverandørstyring Informasjonslekkasjer Personvern AML Regulatoriske krav Nye sårbarheter Nettskyen / Clouds APP er Skimming Virusutbrudd Hendelser Endringer som går galt Kredittkortinfo PCI DSS Outsourcing Konfidensialitet Integritet Utro tjenere Mobile plattformer Kompetanse Kortsvindel Phishing Organisert kriminalitet Leverandøravhengighet Standardisering Utviklingshastighet Internettkriminalitet Cybersikkerhet Industrispionasje Nøkkelkontroller Fullmakter Java / BankID Insidehandel Elektronis lommebo Avtaler og ansvar RSA Effektiv Nye trusler 8 Styring og kontroll Beredskap Kapasitet Risiko og Tilsyn sårbarhet ILLUSTRASJON

9 Risky business Sosiale medier Bring your own Attestasjoner Mobilbank Tilgjengelighet Tjenestenekt - DDOS Interne misligheter Ansvar Offshoring Norge, India, Ukraina, USA Identitetstyveri Leverandørstyring Informasjonslekkasjer Personvern AML Regulatoriske krav Nye sårbarheter Nettskyen / Clouds APP er Virusutbrudd Hendelser Endringer som går galt Kredittkortinfo PCI DSS Fullstendighet? Skimming Outsourcing Konfidensialitet Mobile plattformer Integritet Utro tjenere Kompetanse Kortsvindel Phishing Organisert kriminalitet Leverandøravhengighet Standardisering Utviklingshastighet Internettkriminalitet Cybersikkerhet Industrispionasje Nøkkelkontroller Fullmakter Java / BankID Insidehandel Elektronis lommebo Avtaler og ansvar RSA Effektiv Nye trusler 9 Styring og kontroll Beredskap Kapasitet Risiko og Tilsyn sårbarhet ILLUSTRASJON

10 Kilder til risikoidentifikasjon Hendelser CERT, overvåking, mv, Målinger/trender Sikkerhetstester Revisjoner Risikogjennomganger Arbeidsmøter Magefølelse Erfaring Standarder Kurs/konferanse Regulering og endringer Mediaoppslag Publikasjoner Varsel fra bransje, myndigheter, sikkerhetsleverandør, andre 10

11 Finanstilsynets risiko- og sårbarhetsanalyse = Nyttig input 11

12 Rammeverk for å bedre fullstendighet A.5 Security Policy A6 A5.1 Information Security Policy Organization Of Information Security A7 A6.1 Internal Organization A7.1 Asset Responsibility For Assets A8 Human Resources Security A9 Physical & Environmental Security A10 A8.1 Prior To Employment A9.1 Secure Areas A10.1 Communications & Operations Operational Procedures & Responsibilities A6.2 External Parties A7.2 Information Classification A8.2 During Employment A9.2 Equipment Security A10.2 Third Party Service Delivery A8.3 Termination Or Change Of Employment A10.3 System Planning & Acceptance A11 Access Control A12 A11.1 A11.2 Business Requirement for Access Control User Access A12.1 A12.2 Information Systems Acquisition, Dev. & Maintenance Security Requirements of Information Systems Correct Processing in Applications A13 A13.1 A13.2 Information Security Incident Reporting Information Security Events & Weaknesses of Information Sec. incidents & Improvements A14 A14.1 A14.2 A11.3 User Responsibilities A12.3 Cryptographic Controls A14.3 Business Continuity Information Security Aspects Of Business Continuity Understanding the Organization Determining Business Continuity A15 A15.1 A15.2 A15.3 Compliance Compliance w ith Legal Requirements Compliance w ith Security Policies & Standards, & Technical Compliance Information Systems Audit Considerations A10.4 Protection Against Malicious & Mobile Code A10.5 Back-Up A10.6 Netw ork Security A10.7 Media Handling A11.4 Netw ork Access Control A12.4 Security of system files A14.4 BCM Program A10.8 Exchange of Inf ormation Operating System A11.5 Access Control Controls Legend A12.5 Security in development & support processes A14.5 Exercising, Maintaining and Review ing BCM Arrangements A10.9 Electronic Commerce Services A11.6 Application & Information Not Aligned Access Control Partially Aligned A12.6 Technical vulnerability management Aligned A10.10 Monitoring A11.7 Mobile Computing & Telew orking

13 Dette bildet kan ikke vises for øyeblikket. Rammeverk for å bedre fullstendighet Cloud Computing Governance, Risk and Compliance Delivery Strategy and Architecture Infrastructure Security Identity and Access Data Business Resiliency and Availability IT Operations Vendor Business Operations Governance Strategy Vulnerability Identity Data Acquisition Technology Resilience Asset Vendor Selection Human Resources Risk Architecture Network Security Access Data Usage Cloud Provider Continuity Change Contracting Legal Compliance System Security Unauthorized access or inappropriate use of sensitive data Data Storage Supply Chain Continuity Project Monitoring Finance Changing compliance landscape due to evolving regulations and standards Application Security Unauthorized access to data storage through underlying cloud technology Data Transfer Inability to align business process changes with standardized cloud service options Operations Resource Provisioning Tax 13 Low Risk Medium Risk High Risk Encryption Noncompliance with data privacy laws due to crossjurisdictional data transfer Data Disposal Technology resilience to be reassessed to take advantage of inherent cloud resilience Dependency on cloud provider requires clear understanding of continuity and vendor strategy Potential lack of sufficient number of viable cloud providers Incident Physical Environment Vendor Lock-in Failure to control cloud cost due to ease of proliferation of cloud usage High cost of migrating cloudresident technology and data due to proprietary architecture 2011 Deloitte AS

14 Brukervennlig risiko Risiko er styringsinformasjon Hvert nivå i organisasjonen har forskjellig behov Risiko aggregeres når den kommer «nedenfra» Risiko assosieres når den kommer «ovenfra» For at risiko skal kunne brukes som styringsmekanisme må den kunne sammenlignes og forstås Scope og grensesnitt Avhengigheter Kriterier for vurdering av sannsynlighet Kriterier for vurdering av konsekvens Kriterier for risikoaksept 14

15 Tiltak Tiltak for å styre risiko til et akseptabelt nivå Automatiserte preventive og oppdagende kontroller i applikasjonslogikk og input kontroller i tilgangssystemer på nettverk og infrastruktur-nivå Manuelle preventive og oppdagende kontroller i form av regelmessig utførelse av kontrollhandlinger i form av policies / retningslinjer / avtaler / opplæring Hvis det er risiko for målrettede handlinger er det kritisk at det etableres tekniske løsninger og kontroller for å adressere «alle mulige» angrepskanaler. Tiltak må fungere for at risikoen kan reduseres dette kan bekreftes automatisk 15

16 Oppdatert risiko ikke «en greie vi gjorde i fjor» Risiko SSLA Måling Hendelse SSLA Måling SSLA Måling Hendelse SSLA Måling SSLA Måling Tid 16 Revisjons rapport Risiko vurdering

17 Internrevisors forhold til risiko Internrevisor bør kjenne til hvordan risikostyringen er Internrevisor bør kjenne til virksomhetens risiko Internrevisor bør ha et aktivt forhold til risiko Internrevisor bør benytte interne og eksterne kilder til risiko 17

18 Oppsummering Identifisere Strukturere Vurdere Forstå Bruke Gjør forståelig Oppdatere 18

19 19