30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team. BDO RÅDGIVNING - INTERNREVISJON Virksomhetsstyring Gransking og Compliance IT-revisjon og IT-risiko Sikkerhet og beredskap Transaksjonsrådgivning Internrevisjon Risikostyring og internkontroll Økonomi- og virksomhetsstyring Compliance Management for Hire Økonomisk analyse Organisasjonsutvikling Mislighets- og korrupsjonsrisiko Dataanalyse Gransking Bakgrunnssjekk Varsling Forebygging av økonomisk kriminalitet IT-ledelse IT-revisjon Dataanalyse Tredjepartsrapportering (ISAE3402 mv.) IKT-sikkerhet Sikkerhetsledelse Operasjonell IKTsikkerhet (Cyber) Risiko- og sårbarhetsanalyse Fysisk sikring Personellsikkerhet Sikkerhetstester Sikkerhets- og beredskapstiltak Finansielle tjenester Finansiell Due Diligence Bistand ved oppkjøp, salg, fusjon, fisjon, kapitalinnhenting og børsnotering
CYBER RISK OG INTERNREVISORS ROLLE 30.05.2016
30.05.2016 INTERNREVISORS ROLLE Styret Styret eller virksomhetens øverste organ har ansvar for å påse forsvarlig drift. Ledelsen Hvor er ansvaret for informasjonssikkerhet forankret i virksomheten? Internrevisjon 2. linje Hvordan kan internrevisor støtte styret i å ivareta sitt ansvar knyttet til informasjonssikkerhet? Operativ organisasjon
CYBER RISK OG INTERNREVISORS ROLLE 30.05.2016
ARPANET (1974)
Presentasjonsmal Side 7
«CYBERSPACE»
«CYBERSIKKERHET»
RISIKO (NS 5814)
IKKE ALLTID LIKE HELDIGE RESULTATER Kilde: DSB Nasjonal risikobilde 2012
Amerikansk F-35 Kinesisk J-20
STATISTIKK (KILDE: RISIKO 2015, NSM)
RISIKOUNDERSØKELSEN (BDO) OM DATAANGREP 60% 80% 50% 70% 60% 40% 50% 30% 40% 20% 30% 20% 10% 10% 0% Ikke relevant ikke tilfredsstillende tilfredsstillende 0% Lite- eller noe kritisk Ganske kritisk Svært kritisk Hvor godt er virksomheten rustet? Hvor kritisk er risikoen for virksomheten?
HVA VI TENKER FØR, UNDER OG ETTER EN ALVORLIG HENDELSE HENDELSE Før Under Etter - Det kommer aldri til å skje! - La oss ikke bli paranoide! - Det skjer i alle fall ikke her! - Det skjer ikke meg! - Det er ikke mitt ansvar. - Sikkerhet er noe ITavdelingen driver med. - Manglene er ikke mitt problem. - Vi har ingenting av verdi. - Hvordan var det mulig at dette kunne skje? - Hvorfor var vi ikke forberedt på at dette kunne skje? - Hvem har ansvaret for dette? - Det trodde jeg var ivaretatt. - Hva er unnskyldningen min? - Noen burde ha skjønt at dette kunne skje. - Noen skulle ha gjort mer!
NY MÅTE Å VURDERE RISIKO
HVA MÅ BESKYTTES? Verdivurdering er en forutsetning for alt sikkerhetsarbeid Verdivurdering gir grunnlag for å beskytte de riktige tingene Tenk over: 1. Kan informasjonen ha interesse for uvedkommende? 2. Hvordan kan informasjonen misbrukes? 3. Hva er konsekvensen dersom informasjonen er utilgjengelig for virksomheten, kommer uvedkommende i hende, eller blir urettmessig endret? 4. Er informasjonen underlagt behandlingsregler?
TRUSSELAKTØRER I CYBERSPACE STATLIGE AKTØRER TRANSNASJONALE AKTØRER INDIVIDER OG SMÅ GRUPPER KRIMINELLE ORGANISASJONER
GLOBALT NEDSLAGSFELT
UTNYTTING AV MENNESKELIGE OG TEKNOLOGISKE SÅRBARHETER Kilde Bakgrunnsnotat Cybersikkerhet, E-tjenesten, NSM, PST
TYPISKE ANGREPSVEKTORER Nettsider Utnytter sårbarheter i klientprogramvare og brukere Krever ofte ingen brukerinteraksjon Sosial manipulasjon USB E-post Utnytter sårbarheter i klientprogramvare og brukere Krever som oftest brukerinteraksjon Sosial manipulasjon Hva kan trusselaktør nå via klientsystemer? Alt dine ansatte behandler Andre systemer utenfor den ansattes kontroll Dine kunder?
TYPISKE MANGLER Mangelfull risikoforståelse og verdivurdering (NSM) Fire av fem virksomheter tror ikke de har blitt/blir utsatt for angrepsforsøk (BDO) Norske virksomheter har ikke oversikt over hvilke verdier de besitter. Selv i store virksomheter er det under halvparten som har gjort verdivurdering av informasjon (Mørketallsundersøkelsen) Bare 23% av virksomhetene har en skriftlig risikovurdering (Krisino) Mangelfull styring av sikkerhetsarbeidet (NSM)
IKT-RISIKOBILDET Gitt de verdier som står på spill, en økende og mer sofistikert trussel, og gitt betydelige sårbarheter i det norske samfunnet, konkluderer NSM slik om det helhetlige IKTrisikobildet: NSMs overordnede vurdering av IKTrisikobildet er at det er stor risiko forbundet med bruk av IKT. Dette gjelder på alle nivåer i samfunnet. Alle er mål for IKT-angrep.
KONSEKVENSER Den globale kostnaden for IKT-kriminalitet er anslått til om lag 400 milliarder USD per år Kilde: McAfee, Center for Strategic and International Studies Storbritannia antyder at slik kriminalitet koster landet 27 milliarder GBP per år Kilde: Detica og Cabinet Office I Norge er det anslått en kostnad på om lag 20 milliarder NOK per år Kilde: Nasjonal sikkerhetsmyndighet og Næringslivets sikkerhetsråd
NY RISIKOFORSTÅELSE
INTERNREVISORS ROLLE Planlegging Fungerer styringsprosessene som de skal, og støtter de opp om virksomhetens målsetninger. Risikovurdering Rapportering Styringshjul for sikkerhet Styringsprosessen for sikkerhet skal bidra til å sikre at virksomhetens verdier er tilfredsstillende beskyttet mot uønskede hendelser. Oppfølging og kontroll Tiltak
EVALUERING AV SIKKERHETS- OG BEREDSKAPSARBEIDET I EN VIRKSOMHET Eksempel på omfang: 1) I hvilken grad er sikkerhetsstyring integrert i virksomhetens ledelsesprosesser? 2) I hvilken grad blir sikkerhetsrisiko som virksomheten står overfor (nasjonalt og internasjonalt) vurdert og håndtert? 3) I hvilken grad er det tydelig hvem som har hvilke oppgaver og ansvar innen sikkerhet og beredskap i virksomheten? 4) I hvilken grad er sikkerhets- og beredskapsarbeidet dokumentert? 5) I hvilken grad reagerer virksomheten på potensielle hendelser? 6) I hvilken grad har de ansatte kompetanse innen sikkerhet og beredskap? 7) I hvilken grad gjennomføres kontinuerlig kontrollaktiviteter av sikkerhets- og beredskapsarbeidet?
MÅL: ØKT MODENHET Modenhet Risikobasert tilnærming Kontinuerlig forbedring og utvikling Brannslukking Stykkevis og delt Ledelsesforankring Tid
HVA KJENNETEGNER EN OPTIMAL STYRINGSPROSESS? Kontinuerlig forbedring av sikkerhetsarbeidet. Jevnlig oppdatering av sikkerhetsdokumentasjon. Sikre at ansatte opptrer i tråd med sikkerhetsdokumentasjon. Engasjert ledelse som ser sikkerhetsarbeidet i sammenheng med virksomhetens mål. Planlegging av sikkerhetsarbeidet basert på gjennomførte risikovurderinger. Systematisk oppfølging av resultater sett opp mot mål og risikoer. Etterlevelse av iverksatte tiltak. Sikkerhetsbevisste ansatte og ledere. Balanse mellom kortsiktige og langsiktige tiltak. Tydelig rollefordeling mellom ansatte i sikkerhetsorganisasjonen. Sporbarhet og kontrollerbarhet i sikkerhetsarbeidet som gjøres.
HELHETLIG TILNÆRMING TIL SIKKERHET OG BEREDSKAP Hendelse Styring Forebygging Håndtering Styringssystem Risikovurdering Tiltak Beredskap Krise- og hendelseshåndtering Styringssystem for sikkerhet (planlegging/implementering/forbedring) Utarbeide policy, mål og strategi Revisjon og evaluering Kurs og opplæring Verdivurdering Trusselvurdering Sårbarhetsvurdering Personell Informasjon Objekt/fysisk Beredskapsplanlegging Øvelser/Scenariobasert trening IKT-hendelseshåndtering Bistand i krisesituasjoner
OVERORDNEDE TILTAK 1. Identifiser verdier Planlegging 2. Vurder trusler virksomheten står overfor Risikovurdering Rapportering Styringshjul for sikkerhet 3. Identifiser sårbarheter 4. Vurder risiko Oppfølging og kontroll Tiltak 5. Etabler sikkerhetsstyring og kontroll - Ledelse - Risikoerkjennelse - Policy og strategi - Internkontroll
TILTAK: HELHETLIG TILNÆRMING
STYRETS ROLLE Styret spiller en avgjørende rolle for å forbedre bedriftens sikkerhet. Styret kan i større grad etterspørre status: 1. Blir bedriftens sikkerhetsarbeid godt ivaretatt og blir verdiene tilstrekkelig beskyttet mot uønskede hendelser? 2. Hvordan blir risiko håndtert? Hvem gjør hva? 3. Hvilken risiko aksepteres?