Internkontroll SUHS konferansen 07. November 2012 Kenneth Høstland, CISA, CRISC
Innhold Internkontroll Regulatorisk forankring Ulike tilnærminger til internkontroll Litt om trusler Generelle erfaringer med internkontroll Internkontroll i UH sektoren Styrende, gjennomførende og kontrollerende dokumentasjon Risikostyring 2
Regulativ forankring av Internkontroll Personopplysningsloven (POL) POL - 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. 3 POL - 14. Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene.
Internkontroll COSO ERM Enhver virksomhet er utsatt for et stort antall risikofaktorer; dvs. mulige hendelser som kan hindre virksomheten i å realisere sine strategier og nå sine mål. Risikoen kan komme fra et bredt spekter av risikofaktorer. Risiko er et produkt av sannsynligheten for og konsekvensen av at slike hendelser (risikofaktorer) skal inntreffe. Som ansvarlig leder må du stille deg følgende spørsmål; Hvordan kan du identifisere nye og endrede risikofaktorer? Hvilke av disse risikofaktorene er vurdert som de vesentligste for din virksomhet? Hvordan kan jeg etablere relevante styrings- og kontrollmekanismer som balanserer risiko og kontroll? Hvordan kan jeg vite at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt? 4 Det er disse aktiviteter, utført som en ledelsesdrevet kontinuerlig prosess, som utgjør virksomhetens "intern kontroll". Behovet for å få innsikt i ovennevnte problemstillinger og aktuelle løsninger, førte til at det ble gjennomført flere internasjonale studier innenfor området styring og kontroll. De mest kjente er COSO rapporten (USA), CoCo rapporten (Canada) og Cadbury rapporten (UK)
Internkontroll - NIRF Begrepet intern kontroll omfatter alt hva selskapet gjør for å sikre sine verdier tilrettelegge en forsvarlig drift for å nå de planlagte mål. Ethvert selskap må i større eller mindre grad etablere intern kontroll, avhengig av selskapets størrelse, virksomhet og kompleksitet. 7 Intern kontroll er en integrert del av ledelsens totale styringssystem. Den interne kontrolls form og omfang påvirkes av f.eks. bransje, selskapsstørrelse og tekniske hjelpemidler.
Personopplysningsbegreper (POL 2) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. POL: Personopplysningsloven POF: Personopplysningsforskriften Sensitive personopplysninger Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk, religiøs oppfatning, straffbare forhold, helse, sex forhold eller fagforreningsmedlemskap. 8 Sensitive personopplysinger skal behandles og lagres i sikrede soner hvor kun autoriserte brukere gis tilgang. En virksomhet kan opprette flere sikrede soner avhengig av behovet.
Hvor en opplever at skoen trykker når det gjelder POF 2-3 Manglende sikkerhetsmål og strategi. Styrende, gjennomførende og kontrollerende dokumentasjon. 11 2-4 Manglende gjennomføring av risikovurdering, herunder fastsettelse av kriterier for akseptabel risiko. 2-12 Mangelfull håndtering av tilgjengelighet og driftskontinuitet i tilfelle kriser og katastrofer
Overordnet liste av avvik i sektoren Pri Lover& forskr. Avvik/funn Tiltak Ref Status 1 Pof 2-3 Ikke sikkerhetsmål & - strategi (policy) 9 Manglende IT strategi 3 POF 2-12 Mangler KBP 6 POL 13 Manglende databehandler avtale 2 POF 2-4 Ikke gjennomført ROS ift informasjonssikkerhet 4 POL 16-22, POF 3 Utarbeide oversikter over hvilke Personopplysninger som behandles (rutiner for innsyn, logger og lignende.) 5 POF 2-6 Manglende rutiner for avviksbehandling. Dette er et avvik ifht regulative krav og God IT skikk. 7 POF 2-10 Manglende skriftlig rutine for gjenbruk og destruering av brukt IT utstyr 12 Mangler retningslinjer for hjemmearbeidsplass 8 POF 2-11 Det er lagret sensitive data på fellesområdet "G:" som blir tilgj. for uautoriserte ved feil konfig i < >
Internkontroll og utfordringer 14
Litt om trusler og sårbarheter Trender Informasjon er mer verdifull enn noen gang Nettverk er kritisk infrastruktur e-post stadig mer virksomhetskritisk ID-tyveri Angrep hurtigere enn patcher (zero-day) sluttbrukere representerer risiko målrettede angrep organisert kriminalitet Mobile enheter representerer stadig større risiko ( Mobilen er vår farligste eiendel Norsis) Det aktuelle trusselbildet avdekkes gjennom en risikovurdering 15 http://www.norsis.no http://www.sans.org/top20/ http://www.gocsi.com/ http://www.cert.org/analysis/
Noen erfaringer Generelle erfaringer Den menneskelige faktoren utgjør en vesentlig del av det totale sikkerhetsbildet (80% ifht teknologi 20%). Teknisk personell setter sikkerhetsnivået der det ikke er Policies - > fører til Pansrede ståldører i stakitt gjerder Det er bedre nå enn før, men der det er dårlig fortsatt, er der hvor styrende dokumenter mangler (Policy, IT-strategi etc). Mangelfullt design og sikkerhetskonfigurasjon PEBKAC 16
Noen flere erfaringer Kompleksitet kan være fiende o Som følge av unødvendig funksjonalitet o Som følge av for mye Teknologi fokus Stadige endringer/ teknologi skifte en trussel o Gir mindre tid for utvikling av effektive sikkerhetstiltak Mangelfull/manglende IT-/Teknologi strategi en trussel o Kan gi tilfeldige anskaffelser o Være kostbart o IT-strategi må være forretningsforankret Unngå For mye sikkerhetsteknologi o Sett tiltakene etter ROS vurdering Unngå risikopreget konfigurasjon o Eksempel: klienter og servere i samme segment/ regime, i kombinasjon med tilgang til lokal administrator på klient/pc samt tillate BYOD uten ansvarliggjørende tiltak Mobilitet og BYOD gir risikoer o Flytter grenser / Sikkerhetsbarrierer o Privat enhet som ofte fylles med virksomhetens informasjon 17
Finanstilsynets risikorapport for 2011 Handler om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Noen funn fra IT-tilsyn Rapporterte hendelser Risikoer med Cloud Risiko ved utkontraktering Mangler ved styring og kontroll Kriminelle angrep mot betalingssystemene Risiko for driftsavbrudd og systemfeil 19
Definisjon av risikostyring enkel def. Risikostyring handler om å fastsette akseptabel risiko, foreta risikovurdering og prioritere sikkerhetstiltak. Dette er øverste leders ansvar. (Norsis) 22
Risikostyring - overordnet Informasjonssikkerhet Mål- og resultatstyring Steg NSM /Datatilsynet/ NORSIS DFØ/COSO 1. Planlegging og organisering a. Planlegging b. Organisering c. Identifisering av verdier d. Kartlegging av risikobildet Identifisering av overordnede mål a. Mål og verdier b. Pålitelig regnskapsrapportering og økonomiforvaltnig c. Overholdelse av lover og regler 2. Gjennomføring av ROS analyse (vurdering) a. Identifisering av uønskede hendelser b. Fastsettelse av Sannsynlighet og Konsekvens c. Fastsettelse av Risiko d. Evaluering av risiko og akseptabel R Identifisering av KSF 24 3. Utarbeidelse og implementering av tiltak a. Kartlegging av eksisterende tiltak b. Utarbeiding av sikringstiltak c. Vurdering av nytte og kostnad d. Kommunikasjon med beslutningstakere Identifisering av risikoer 4. Kontroll og revisjon Oppfølging og kontroll av sikkerhetsarbeidet Ledelsens evaluering Vurdering og prioriteringer av risikoer 5. Vurdering av S og K 6. Prioritering av risikoene -> unngå, redusere, dele eller akseptere risiko.
Hensiktsmessig sikkerhetskontroll? 25
Dilbert BYOD & Internkontroll 26
Internkontroll i UH siden 2008 2008-2012 Etablering av Policy for informasjonssikkerhet IT revisjon: >30 2013-> Hva nå?? IT revisjon/ Kartlegging Utkast til policy og rutiner mm. Policy: >15 Test av etterlevelse 27 Justrering policy Holdninger Tilpassning i WS Implementasjon ROS BIA KBP ROS BIA KBP Policy Utrulling i UH
Internkontroll i UH-sektoren ISO 27002 i all sin grusomhet Noe av innholdsfortegnelsen 28
Internkontroll i UH-sektoren Datatilsynet får ofte spørsmål om hvordan bedriften kan tilpasse seg Datatilsynets krav til informasjonssikkerhet. Blant annet spørres det om forholdet til ISO-standarder. Forskriften bygger på ISO-standarder 29 Forskriftens kapittel 2 om informasjonssikkerhet bygger på og har samme systematikk som ISOstandard 17799. Standarden er imidlertid mer utfyllende og er nok et nyttig verktøy i virksomhetens arbeid. Standardserien består av to deler. Den første delen er oversatt til norsk. Standarden kan skaffes ved henvendelse til Pronorm.
Internkontroll i UH-sektoren retningslinjer og dokumentasjon Består av planlagte og systematiske tiltak slik som 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. -> Styrende dokumentasjon 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. -> Styrende dokumentasjon Hvorfor Hva 30 3) Standarder og prosedyrer for informasjonssikkerhet med detaljerte retningslinjer for hvordan disse standardene skal implementeres. -> Gjennomførende og kontrollerende dokumentasjon Hvordan
Eksempel på Hvordan gjennomførende dok. 31
Eksempel på Hvordan 32
Eksempel på gjennomførende dok. (KBP) KBP IT Administrativ plan Definisjoner Overordnet prosedyre Overordnede varslingslister Krise?/type katastrofe? 33 Kriseplan IT Kriser (og noen typer katastrofer) Varslingslister (også ifht driftspartner(e) Alternativt datarom på campus Nødvendige gjenopprettingsprosedyrer i egen driftede systemer, herunder Omlegging av data og trafikk Drift m. redusert kapasitet Gjenoppretting av prim. datahall Katastrofeplan IT Større katastrofe Varslingslister (også ifht driftspartner(e) Velge eksternt driftssted Cold Site Nødvendige gjenopprettingsprosedyrer, herunder Bestillinger Klargjøringer Gjenoppretting til nød drift Gjenoppretting av prim. Datahall (om mulig) System og driftsdokumentasjon Testplaner
Eksempel på kontrollerende dok. 34
Eksempel på Hvordan - Soneinndeling 35
Best Practice 37
Oppsummering Internkontroll: etablere og holde vedlike planlagte og systematiske tiltak tiltakene skal være forholdsmessige både logiske og tekniske tiltak risikosyring både ifht målstyring og informasjonssikkerhet God internkontroll: etterlever lover& regler oppfyller forretnigsmessige krav unngår for mye sikkerhet Dette betinger en metodisk tilnærming: IT revisjon/ kartlegging av ståsted Risikovurderinger Styrende dokumenter Kvalitetsarbeid Forretningsstrategi IT-strategi KBP Opplæring, holdningsskapende tiltak 39
TAKK FOR OPPMERKSOMHETEN Spørsmål? 40
Noen referanser om internkontroll NIRF om Internkontroll: http://www.iia.no/filestore/kataloger_og_brosjyrer/cosoerm_sammendrag_internett.pdf Datatilsynet om Internkontroll : http://www.datatilsynet.no/global/04_veiledere/internkontroll_veil.pdf POL: http://www.lovdata.no/all/hl-20000414-031.html POF: http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20001215-1265.html Internkontrollforskriften: http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20080922-1080.html DFØ om målstyring: http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/ny_metodedokument_060120 06.pdf 41