Riskbaserad IT-revision del 1
Transcription
Riskbaserad IT-revision del 1
Riskanalys inför revisionsplanering – att granska rätt saker stephan.sandelin@pensionsmyndigheten.se IRF 4 maj 2015 1 Varför riskbaserad? • • • • Begränsade resurser - kräver prioritering Omfattande verksamhet – vi kan inte granska allt Komplexa processer – vi kan inte granska alla delar Vi måste förstå var och hur IT påverkar verksamheten • Risk är en kombination av sannolikhet och konsekvens • Vi måste förstår hur IT påverkar sannolikheten för och konsekvenserna av en händelse eller en situation IRF 4 maj 2015 2 Risk = sannolikhet * konsekvens High I M P A C T Low Medium Risk High Risk Share Mitigate & Control Low Risk Medium Risk Accept Control PROBABILITY High IRF 4 maj 2015 3 Hur? • Utgå från verksamhetens processer – INTE från IT-systemen • Identifiera kritiska processer • Kritiska processer producerar väsentlig utdata/resultat • Kritiska processer är ”alltid” IT-beroende • Kritiska processer ”pekar ut” vilka generella IT-miljöer vi är intresserade av • Typ av risker ”pekar ut” vilka risker vi fokuserar på (åtkomst, avbrott, etc) IRF 4 maj 2015 4 Informationen i centrum – typ av risk • • • • Läckage, stöld Felaktig, förfalskad Bortfall, bristande tillgänglighet Spårbarhet (lagkrav) PUL Sekretess Information SOC CIA(T) MSBSF Informationsklassning Vem äger informationen? risker IRF 4 maj 2015 5 Processorienterade risker kontra generella IT-risker Risker i processer (applikationen) • Manuella eller i programmen inbyggda kontroller Risker i IT-miljön • Generella IT-kontroller. Säkerheten i och kring den IT-miljö där applikationen körs (serverdrift, OS, DB, fysisk säkerhet, nätverk, åtkomst….) IRF 4 maj 2015 6 INFORMATIONSSYSTEM Utdata Bearbetning Indata Databaser What can go wrong? Indata Inregistrering Bearbetning Sammanställning / presentation Utdata Styrdata / parametrar IRF 4 maj 2015 7 IT-risker End users IT operations DB logical view App. Program code Param ? Super User ? DBMS Config settings Development and test DB Development tools Transport Commands Scripts Progr. / DB OS IRF 4 maj 2015 8 IT-risker - exempel Faktorer med stor påverkan på riskerna: • Risken för misstag och systembaserade fel är högre i komplexa processer, beräkningar eller automatiserade flöden. • Bristande bevarandekontroller av grund- och styrdata i systemen kombinerat med brister i behörighetsrutiner hos IT-personalen. • Komplexa system och systemsamband samt brister i driftrutiner kan orsaka felkörningar och avbrott. • Stort beroende av tillgänglig till IT-stöd (kontinuerlig ITdrift) kombinerat med hög ändringsfrekvens (många pågående utvecklingsprojekt) leder till risk för allvarliga störningar. IRF 4 maj 2015 9 IT-risker – forts. Faktorer med stor påverkan på riskerna (forts.): • Bristande fördelning av arbetsuppgifter och ansvar med avseende på dualitet kan leda till oegentligheter i manuella rutiner (exempelvis enmanshandläggning, men även vissa roller inom IT). • Stora belopp och många utbetalningstransaktioner i kombination med ökade krav på korta handläggningstider kan leda till ökad risk för misstag och bristande kontroller. • Komplexa systemsamband med koppling till externa parter och externa system medför ökad risk för oklara ansvarsgränser. IRF 4 maj 2015 10 Generellt Risk Komplexitet IRF 4 maj 2015 11 ”It-brotten ökar lavinartat” (Computer Sweden 18 januari) De anmälda it-brotten fortsätter att öka rejält visar statistik från Brottsförebyggande rådet. Mest ökade de anmälda dataintrången som var hela 140 procent fler än föregående år (IDG.se) ”Hemliga data kvar i mobilen” ”Varannan smartphoneägare saknar lösenordsskydd” ”Svenska myndigheter målet för storskaliga DDOSattacker” IRF 4 maj 2015 12 IRF 4 maj 2015 13 IT-risk? IRF 4 maj 2015 14 MSB Rapport med erfarenheter från större IT-incidenter i Sverige (feb 2015) • Tillgänglighetsattack mot södra Sverige i september 2013 • Skadlig kod som drabbade Västra Götalandsregionen i december 2012 • En mindre telestörning hos telebolaget TDC i april 2013 • Driftstopp i systemet TakeCare utlöst av ett fel i operativsystemet i juni 2013 • Brand hos it-tjänsteföretaget EVRY i december 2013. IRF 4 maj 2015 15 Riskkostnad kontra kontrollkostnad Risk Kostnad Ökade kontroller IRF 4 maj 2015 16 ”Korta listan” ”Riskkartan” Sannolikhet mycket stor sannolikhet 4 * * * stor sannolikhet * * 3 liten sannolikhet 2 osannolikt 1 * * Värdering? * Konsekvens 1 2 3 4 lindrig kännbar allvarlig mycket allvarlig IRF 4 maj 2015 17 IT-risker i outsourcad verksamhet Samma risker (beroende av IT-miljön) … men kanske svårare att granska. • Vi har inte full kontroll över systemen • Större sårbarhet? • Kan vara svårt att avtala om kontroller, säkerhetskrav och rätten att revidera • Bevisfrågan – vad kräver vi av leverantören i form av kontrollbevis IRF 4 maj 2015 18 IRF 4 maj 2015 19