INTERNKONTROLL V.3. Sikkerhetssymposiet Esten Hoel, SVP Quality & Security

Like dokumenter
BASEFARM. Dato Author: Sven Ole Skrivervik CTO & Produkt-direktør

Veien til ISO sertifisering

Cloud computing. Bruk av skytjenester krever en klar strategi

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Noen aktuelle tema for personvernombud i finans

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

Policy for informasjonssikkerhet og personvern i Sbanken ASA

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Skytjenester (Cloud computing)

Dropbox' reise til GDPRsamsvar

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Norsox. Dokumentets to deler

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

Revisjon av informasjonssikkerhet

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Internrevisjon i en digital verden

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvis vi gjør større endringer i vår personvernerklæring, vil vi gi deg beskjed, og ved behov be om ditt samtykke på nytt.

Status personvern Hedmark og Oppland fylkeskommuner

Personvern - sjekkliste for databehandleravtale

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Ekte versus hybride skyløsninger. IT-puls Trondheim 12.mai 2016 Helge Strømme

Veiledning ved anskaffelse av nettskytjenester

Oversikt. Remi Longva

Har du kontroll på verdiene dine

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

BASEFARM Fremtidens applikasjonsplattform

C L O U D S E C U R I T Y A L L I A N C E

Norsk Bryggerlaug Prinsipper og krav i standarder for Trygg mat sertifisering. ISO BRC.

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Med selvbetjening når vi ut til kundene med nye muligheter som setter nye trender.. More Software Solutions AS

IT I PRAKSIS 2010 STRATEGI, TRENDER OG ERFARINGER I NORGES 500 STØRSTE VIRKSOMHETER

En monopolvirksomhets sikkerhetsferd mot den offentlige skyen

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

IT-revisjon i kommunal sektor. Lena Stornæs

OBC FileCloud vs. Dropbox

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

KRAFTIG, SKALERBAR SÅRBARHETSADMINI- STRASJON. F-Secure Radar

Nettskyen, kontroll med data og ledelsens ansvar

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen

IT-sikkerhet en praktisk tilnærming. Gardemoen

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

GDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Internkontroll i Gjerdrum kommune

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personvernerklæring for Portal Travel AS

Standarder for risikostyring av informasjonssikkerhet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Informasjonssikkerhet En tilnærming

Krav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

MED PUBLIC CLOUD INNOVASJON OG MULIGHETER. Altinn Servicelederseminar September 2017

Personvernforordning i EU Nok en ny lov eller nye muligheter?

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Internkontroll og informasjonssikkerhet lover og standarder

Ville du kjøpt en TV som viste kun en kanal?

Hva kjennetegner god Risikostyring?

Steria as a Service En norsk skytjeneste Steria

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

ISO sertifisering av vurderingstjenester

BROSJYRE. Coromatic Operations. Vi sikrer drift av virksomhetskritiske anlegg

Styringssystem for informasjonssikkerhet et topplederansvar

Smarte bygg og personvern

Difis veiledningsmateriell, ISO og Normen

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Hacking av MU - hva kan Normen bidra med?

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Ready or not, here we come

FÅ BEDRE KONTROLL MED EN STYREPORTAL

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Årsrapport nøytralitet Lyse Elnett AS

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet


Ny ISO 9001:2015. Disclaimer:

Databehandleravtale for Visma Avendo Webtime

Public 360 Online Datasikkerhet

Integrering av IT i virksomhetens helhetlige risikostyring

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Hva gjør så KiNS og KS med GDPR?

Agenda. Mulige gevinster ved å samarbeide om løsninger. Tjenesteorientert arkitektur for UH sektoren. Kontekst for arkitekturarbeid

Transkript:

INTERNKONTROLL V.3 Sikkerhetssymposiet 2018 18-10-2018 Esten Hoel, SVP Quality & Security

SNAKKEPLAN 1 Outsourcing vs Risikostyring 5 2 Kontroll av tjenesteleverandør, da og nå 3 SOC-attestasjoner = win-win 4 Oppsummering

OM MEG Informatiker Systematiker Kontrollfrik. Synes KPI er er skikkelig kult Bakgrunn: OL94: Tidtaking / Resultatservice / TV-grafikk NSB Gardermobanen: Prosjektleder for informasjonssystemer Philips: Prosjektledelse TRI-MEX/Eurowatch: Sikkerhetstjenester for internasjonal verditransport (anti hijack) Jernbaneverket: Etablering av Driftssenter for GSM-R Fra 2005: Basefarm. Mandat: «Sette nerder i system» ITIL Expert, CISM, Fotballtrener og pappa

OM BASEFARM Europeisk Managed Service Provider Grunnlagt i Norge i 2000. Fortsatt HQ i Norge 18 års erfaring med drift av alt fra Datasentre, via nettsider til forretningskritiske applikasjoner og tjenester Ca 500 driftskonsulenter og rådgivere 6 kontorer i Europeiske hotspots: Oslo, Stockholm, Amsterdam, Berlin, Frankfurt, Wien 9 Datasentre (2 i Norge) I 2017 kjøpte Basefarm The unbelievable Machine Company (*um), ett ledende cloud og Big Data selskap i Tyskland Største kundesegmenter i Norge; Offentlig, Bank/Finans, Travel & ecommerce Fokus og satsningsområder: (Public) Cloud, Big Data, Sikkerhet I juli 2018 ble Basefarm kjøpt av Orange, og blir en del av deres internasjonale Orange Cloud for Business divisjon.

OUTSOURCING VS RISIKOSTYRING Du kan outsource driften, men ikke eierskapet til din risiko!

DERFOR Må du føre tilsyn med, og kontrollere, dine tjenesteleverandører!

KUNDENES KRAV TIL INTERNKONTROLL PRE 2010 Utsetting av drift skjedde i all hovedsak til: Lokale virksomheter, basert på lokale datasentre, driftet av lokale mennesker, som kunne ta ansvar for din infrastruktur, og dine systemer. Hensikt: spare penger Kravspec: «Følger du ITIL? Ja/Nei» «Oppfyller ditt foretak IKT forskriften? (Ja/Nei)» «Er du ISO27001 sertifisert? Kult!» Tilsyn ved selvsyn

KUNDENES KRAV TIL INTERNKONTROLL 2010-2014 Utsetting av drift til flere, mer spesialiserte leverandører (multi-sourcing). Virtualisering aktualiserer bruk av delte, leverandøreide, plattformer og tjenester. Overgang fra å kjøpe produksjonsressurser (mennesker) til å kjøpe tjenester. Informasjonssikkerhet gradvis mer i fokus ISO27001 går fra å være en differensiator til en de facto forutsetning for leverandører Bank/Finans går online, PCI-DSS blir et krav for de som håndterer kredittkort Revisjon av service providere starter for alvor ISAE3402 dukker opp sporadisk Tilsyn ved innsyn og selvsyn

KUNDENES KRAV TIL INTERNKONTROLL 2014 I stor grad leverer Service Providere i dag tjenester, der Kundene ikke lengre eier eller har kontroll over infrastrukturen. Tjenester produseres i lokale, regionale eller globale skyer. Data flyter potensielt fritt i et økosystem av leverandører, underleverandører og partnere. Det går inflasjon i standarder og rammeverk for kontroll og revisjon av service providere CIS Critical Controls GDPR ISO 27001 CSA Cloud Control Matrix NSM: Grunnprinsipper For IKT-sikkerhet Service Provider ISF Standard of good practice Normen ISAE 3402 NIST Cybersecurity Framework PCI-DSS Cobit 5 SOC 2 ITIL

KUNDENES KRAV TIL INTERNKONTROLL 2014 I stor grad leverer Service Providere i dag tjenester, der Kundene ikke lengre eier eller har kontroll over infrastrukturen. Tjenester produseres i lokale, regionale eller globale skyer. Data flyter potensielt fritt i et økosystem av leverandører, underleverandører og partnere. Det går inflasjon i standarder og rammeverk for kontroll og revisjon av service providere CIS Critical Controls GDPR ISO 27001 Kundens egne krav CSA Cloud Control Matrix NSM: Grunnprinsipper For IKT-sikkerhet Service Provider ISF Standard of good practice Normen ISAE 3402 NIST Cybersecurity Framework PCI-DSS Cobit 5 SOC 2 ITIL

KONSOLIDER KRAV TIL ÉN LISTE MED KONTROLLER I de fleste tilfeller definerer standardene Hva, men overlater til oss å bestemme Hvordan Det er stor overlapp i Hva mellom de ulike rammeverkene CIS Critical Controls GDPR Kundens egne krav ISO 27001 NSM: Grunnprinsipper For IKT-sikkerhet Normen Interne kontroller -Område 1 - Kontrollmål 1.1 - Link til rammeverk x,y,z - Revisjonsmetode -Område 2 ISAE 3402 CSA Cloud Control Matrix ISF Standard of good practice NIST Cybersecurity Framework PCI-DSS Cobit 5 SOC 2 ITIL

KONSOLIDER KRAV TIL ÉN LISTE MED KONTROLLER I de fleste tilfeller definerer standardene Hva, men overlater til oss å bestemme Hvordan Det er stor overlapp i Hva mellom de ulike rammeverkene CIS Critical Controls GDPR Kundens egne krav ISO 27001 NSM: Grunnprinsipper For IKT-sikkerhet Normen Interne kontroller -Område 1 - Kontrollmål 1.1 - Link til rammeverk x,y,z - Revisjonsmetode -Område 2 ISAE 3402 CSA Cloud Control Matrix ISF Standard of good practice NIST Cybersecurity Framework PCI-DSS Cobit 5 SOC 2 ITIL

TRADISJONELL MODELL Kunder har en kravspec med krav til informasjonssikkerhet Kunder krever etterlevelse til sine foretrukne standarder og rammeverk Kunder reviderer sin Service Provider årlig Scope begrenses av hensyn til tid/penger Hver revisjon starter på scratch Revisjoner fokuseres på kundens dedikerte systemer og tjenester Revisjonen sjekker et øyeblikksbilde (nåsituasjonen) Kunden må bære kosten for IT-revisor, egne ressurser og leverandørens medgåtte tid For Service Providere innebærer dette: Ikke-strukturert revisjons-syklus Stadige ad-hoc revisjoner De samme kontrollene revideres mange ganger, med hårfine variasjoner Ukoordinerte forbedringssløyfer for å lukke funn

VI ØNSKER OSS HIT Service Provider etablerer samordnet internkontroll Attestasjonsmaler utarbeides basert på internasjonale standarder og rammeverk Uavhengig IT-revisor gjennomfører revisjoner i et årshjul Kunder abonnerer på rapport(er) Kundespesifikke revisjoner kan helt eller delvis utgå Kunder får revisjonsrapporter som: Beskriver leverandørens kvalitetssystemer og internkontroll Dekker «alt» i tjenestespekteret Dekker hele kontrollperioden Dekker dokumentasjonsbehovet for eksterne revisorer Koster en brøkdel av det man ville måttet betale for en egen, like grundig, revisjon

ISAE3402 (SOC1) Beskrivelse: Attestasjonsrapport som beskriver og verifiserer internkontroll relatert til prosessering av finansiell informasjon. Vanlige fokusområder: IT Governance, informasjonssikkerhet, applikasjonsendringshåndtering, IT-drift, Backup & Recovery og incidenthåndtering. Målgruppe: Primært Kundens revisorer. Bruksområder: Brukes ofte for å erstatte eller minimere behov for egne kontrollaktiviteter hos leverandøren. Type I-rapporter er point-in-time rapporter mens Type II-rapporter dekker en periode (oftest et år). I Norge har ISAE3402 ofte vært (mis)brukt til å kontrollere sikkerhet mer generelt enn den opprinnelig er utviklet for

SOC2 Beskrivelse: Attestasjonsrapport om internkontroller som dekker alle vesentlige og relevante deler av informasjonssikkerhet Vanlige fokusområder: Internkontroll relatert til generell informasjonsikkerhet, tilgjengelighet, integritet, konfidensialitet og personvern (Trust Principles) Målgruppe: Kunder med behov for å bekrefte at leverandøren har gode og fungerende rutiner relatert til de spesifikke områdene dekket av rapporten Bruksområder: Bekreftelse av at leverandøren har gode internkontrollrutiner for sikkerhet generelt, eller i forhold til bestemte regulatorisk krav eller bransjenormer. Type I-rapporter er point-in-time rapporter mens Type II-rapporter dekker en periode (oftest et år). SOC2 rapporter vil inneholde detaljerte beskrivelser av leverandørens systemer, prosesser og sikkerhetskontroller. Rapportene er derfor strengt konfidensielle

SOC3 Beskrivelse: Scope er det samme som for SOC2, men selve rapporten vil være mer overordnet og summarisk, og vil normalt gjøres fritt tilgjengelig for kunder og andre interessenter via f.eks en webside Vanlige fokusområder: Internkontroll relatert til generell informasjonsikkerhet, tilgjengelighet, integritet, konfidensialitet og personvern (Trust Principles) Målgruppe: Kunder med behov for å bekrefte at leverandøren har gode og fungerende rutiner relatert til de spesifikke områdene dekket av rapporten, men uten å behøve detaljerte beskrivelser om kontroller eller revisjonsfunn Bruksområder: Tilsvarende ISO27001, en bekreftelse på at selskapet jobber systematisk med informasjonssikkerhet

OPPSUMMERING Dine tjenester og dine data er ditt ansvar, selv om du outsourcer ISO27001 er fint det, men sier antagelig ikke alt du behøver å vite om hvordan din leverandør ivaretar sikkerheten Kundespesifikke revisjoner er enten veldig dyre å gjennomføre, eller vil ikke kunne gå bredt/dypt nok Sikkerheten i din tjeneste avhenger også av leverandørens delte systemer, ressurser, prosesser og rutiner Still gjerne krav til din leverandør, men fokuser på hva, ikke hvordan Still krav/be om tredjeparts attestasjonsrapporter, f.eks ISAE3402 (SOC1), SOC2 eller SOC3 Les rapporten, og ta stilling til relevansen i eventuelle funn Vurder hva (om noe) du trenger å kontrollere i tillegg

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding