Riskbaserad IT-revision del 1

Riskanalys inför revisionsplanering –
att granska rätt saker
stephan.sandelin@pensionsmyndigheten.se
IRF 4 maj 2015
1
Varför riskbaserad?
•
•
•
•
Begränsade resurser - kräver prioritering
Omfattande verksamhet – vi kan inte granska allt
Komplexa processer – vi kan inte granska alla delar
Vi måste förstå var och hur IT påverkar verksamheten
• Risk är en kombination av sannolikhet och konsekvens
• Vi måste förstår hur IT påverkar sannolikheten för och
konsekvenserna av en händelse eller en situation
IRF 4 maj 2015
2
Risk = sannolikhet * konsekvens
High
I
M
P
A
C
T
Low
Medium Risk
High Risk
Share
Mitigate & Control
Low Risk
Medium Risk
Accept
Control
PROBABILITY
High
IRF 4 maj 2015
3
Hur?
• Utgå från verksamhetens processer –
INTE från IT-systemen
• Identifiera kritiska processer
• Kritiska processer producerar väsentlig utdata/resultat
• Kritiska processer är ”alltid” IT-beroende
• Kritiska processer ”pekar ut” vilka generella IT-miljöer vi är
intresserade av
• Typ av risker ”pekar ut” vilka risker vi fokuserar på
(åtkomst, avbrott, etc)
IRF 4 maj 2015
4
Informationen i centrum – typ av risk
•
•
•
•
Läckage, stöld
Felaktig, förfalskad
Bortfall, bristande tillgänglighet
Spårbarhet (lagkrav)
PUL
Sekretess
Information
SOC
CIA(T)
MSBSF
Informationsklassning
Vem äger informationen?
risker
IRF 4 maj 2015
5
Processorienterade risker kontra
generella IT-risker
Risker i processer (applikationen)
• Manuella eller i programmen inbyggda kontroller
Risker i IT-miljön
• Generella IT-kontroller. Säkerheten i och kring den IT-miljö
där applikationen körs (serverdrift, OS, DB, fysisk
säkerhet, nätverk, åtkomst….)
IRF 4 maj 2015
6
INFORMATIONSSYSTEM
Utdata
Bearbetning
Indata
Databaser
What can go wrong?
Indata
Inregistrering
Bearbetning
Sammanställning
/ presentation
Utdata
Styrdata /
parametrar
IRF 4 maj 2015
7
IT-risker
End users
IT operations
DB logical view
App.
Program code
Param
?
Super
User
?
DBMS
Config
settings
Development and test
DB
Development
tools
Transport
Commands
Scripts
Progr. /
DB
OS
IRF 4 maj 2015
8
IT-risker - exempel
Faktorer med stor påverkan på riskerna:
• Risken för misstag och systembaserade fel är högre i
komplexa processer, beräkningar eller automatiserade
flöden.
• Bristande bevarandekontroller av grund- och styrdata i
systemen kombinerat med brister i behörighetsrutiner
hos IT-personalen.
• Komplexa system och systemsamband samt brister i
driftrutiner kan orsaka felkörningar och avbrott.
• Stort beroende av tillgänglig till IT-stöd (kontinuerlig ITdrift) kombinerat med hög ändringsfrekvens (många
pågående utvecklingsprojekt) leder till risk för allvarliga
störningar.
IRF 4 maj 2015
9
IT-risker – forts.
Faktorer med stor påverkan på riskerna (forts.):
• Bristande fördelning av arbetsuppgifter och ansvar med
avseende på dualitet kan leda till oegentligheter i
manuella rutiner (exempelvis enmanshandläggning, men
även vissa roller inom IT).
• Stora belopp och många utbetalningstransaktioner i
kombination med ökade krav på korta handläggningstider
kan leda till ökad risk för misstag och bristande kontroller.
• Komplexa systemsamband med koppling till externa
parter och externa system medför ökad risk för oklara
ansvarsgränser.
IRF 4 maj 2015
10
Generellt
Risk
Komplexitet
IRF 4 maj 2015
11
”It-brotten ökar lavinartat”
(Computer Sweden 18 januari)
De anmälda it-brotten fortsätter att öka rejält visar statistik från
Brottsförebyggande rådet. Mest ökade de anmälda
dataintrången som var hela 140 procent fler än föregående år
(IDG.se)
”Hemliga data kvar i mobilen”
”Varannan smartphoneägare saknar lösenordsskydd”
”Svenska myndigheter målet för storskaliga DDOSattacker”
IRF 4 maj 2015
12
IRF 4 maj 2015
13
IT-risk?
IRF 4 maj 2015
14
MSB Rapport med erfarenheter från större IT-incidenter
i Sverige (feb 2015)
• Tillgänglighetsattack mot södra Sverige i
september 2013
• Skadlig kod som drabbade Västra
Götalandsregionen i december 2012
• En mindre telestörning hos telebolaget
TDC i april 2013
• Driftstopp i systemet TakeCare utlöst av
ett fel i operativsystemet i juni 2013
• Brand hos it-tjänsteföretaget EVRY i
december 2013.
IRF 4 maj 2015
15
Riskkostnad kontra kontrollkostnad
Risk
Kostnad
Ökade kontroller
IRF 4 maj 2015
16
”Korta
listan”
”Riskkartan”
Sannolikhet
mycket stor
sannolikhet
4
*
*
*
stor
sannolikhet
*
*
3
liten
sannolikhet
2
osannolikt
1
*
*
Värdering?
*
Konsekvens
1
2
3
4
lindrig
kännbar
allvarlig
mycket allvarlig
IRF 4 maj 2015
17
IT-risker i outsourcad verksamhet
Samma risker (beroende av IT-miljön)
… men kanske svårare att granska.
• Vi har inte full kontroll över systemen
• Större sårbarhet?
• Kan vara svårt att avtala om kontroller, säkerhetskrav och
rätten att revidera
• Bevisfrågan – vad kräver vi av leverantören i form av
kontrollbevis
IRF 4 maj 2015
18
IRF 4 maj 2015
19