Internkontroll SUHS konferansen 07. November 2012 Kenneth Høstland, CISA, CRISC

2 Innhold  Internkontroll  Regulatorisk forankring  Ulike tilnærminger til internkontroll  Litt om trusler  Generelle erfaringer med internkontroll  Internkontroll i UH sektoren  Styrende, gjennomførende og kontrollerende dokumentasjon  Risikostyring

3 Regulativ forankring av Internkontroll Personopplysningsloven (POL) POL - § 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. POL - § 14. Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene.

4 Enhver virksomhet er utsatt for et stort antall risikofaktorer; dvs. mulige hendelser som kan hindre virksomheten i å realisere sine strategier og nå sine mål. Risikoen kan komme fra et bredt spekter av risikofaktorer. Risiko er et produkt av sannsynligheten for og konsekvensen av at slike hendelser (risikofaktorer) skal inntreffe. Som ansvarlig leder må du stille deg følgende spørsmål;  Hvordan kan du identifisere nye og endrede risikofaktorer ?  Hvilke av disse risikofaktorene er vurdert som de vesentligste for din virksomhet ?  Hvordan kan jeg etablere relevante styrings- og kontrollmekanismer som balanserer risiko og kontroll ?  Hvordan kan jeg vite at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt? Det er disse aktiviteter, utført som en ledelsesdrevet kontinuerlig prosess, som utgjør virksomhetens "intern kontroll". Behovet for å få innsikt i ovennevnte problemstillinger og aktuelle løsninger, førte til at det ble gjennomført flere internasjonale studier innenfor området styring og kontroll. De mest kjente er COSO rapporten (USA), CoCo rapporten (Canada) og Cadbury rapporten (UK) Internkontroll – COSO ERM

5 Datatilsynet om Internkontroll og informasjonssikkerhet  En velfungerende internkontroll er avgjørende for å sikre forsvarlig behandling av personopplysninger.  Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier sikres på en tilfredsstillende måte.  Internkontroll handler om å etablere og vedlikeholde planlagte og systematiske tiltak for å sikre at virksomheten oppfyller lovens krav til behandling av personopplysninger.  Gjennom å ha god informasjonssikkerhet og god internkontroll sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig.  Datatilsynet vil samtidig understreke at virksomheten må arbeide kontinuerlig med informasjonssikkerhet og internkontroll.

6 Datatilsynet om Internkontroll og informasjonssikkerhet  Håndtering av opplysninger er i økende grad en del av samfunnets verdiskaping.  Ulike opplysninger kan omhandle  enkeltpersoner,  forretningsprosesser,  produktutvikling,  strategier og metoder.  Felles for alle opplysninger, er at det stilles varierende krav til behandling og beskyttelse.  Opplysninger som kan knyttes til individet, skal behandles i samsvar med personopplysningsloven.  Grunnlag for behandling er normalt basert på lovhjemmel eller samtykke fra den registrerte. Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene. Det betyr at det må informeres om formål, rettigheter og lagringstid for opplysningene.  Ingen kan ta seg til rette og gjøre hva man vil med opplysningene man forvalter. Personopplysninger kan ikke flyte fritt på tvers av virksomhetsgrensene, selv om eier er den samme.  Datatilsynet forventer at personopplysninger er sikret på en forsvarlig måte, og at øverste leder ser etter at dette blir gjort. I praksis betyr det å sørge for at virksomheten har oversikt over hvilke plikter som gjelder, hvordan opplysninger behandles og sikres, at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte. -> INTERNKONTROLL

7 Begrepet ”intern kontroll” omfatter alt hva selskapet gjør for å  sikre sine verdier  tilrettelegge en forsvarlig drift for å nå de planlagte mål. Ethvert selskap må – i større eller mindre grad – etablere intern kontroll, avhengig av selskapets størrelse, virksomhet og kompleksitet. Intern kontroll er en integrert del av ledelsens totale styringssystem. Den interne kontrolls form og omfang påvirkes av f.eks. bransje, selskapsstørrelse og tekniske hjelpemidler. Internkontroll - NIRF

8 Personopplysningsbegreper (POL §2) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitive personopplysninger Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk, religiøs oppfatning, straffbare forhold, helse, sex forhold eller fagforreningsmedlemskap. Sensitive personopplysinger skal behandles og lagres i sikrede soner hvor kun autoriserte brukere gis tilgang. En virksomhet kan opprette flere sikrede soner avhengig av behovet. POL: Personopplysningsloven POF: Personopplysningsforskriften

9 Personopplysningsbegreper (POL §2) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitive personopplysninger Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk, religiøs oppfatning, straffbare forhold, helse, sex forhold eller fagforreningsmedlemskap. Sensitive personopplysinger skal behandles og lagres i sikrede soner hvor kun autoriserte brukere gis tilgang. En virksomhet kan opprette flere sikrede soner avhengig av behovet. POL: Personopplysningsloven POF: Personopplysningsforskriften

10 Den behandlingsansvarlige  Ansvarlig (fengsel, mulkt, erstatning)  Å iverksette kun lovlige behandlinger:  Et formål for hver behandling (ikke ulovlig gjenbruk)  Et behandlingsgrunnlag (samtykke/lovpålagt/personvern avveiing)  Har sikkerhetsansvar herunder akseptkriterier.  Pliktregler overfor den registrerte  Iverksette nødvendig internkontroll  Ledelsen er ansvarlig for at dette utføres - oftest delegeres oppgaver til ulike deler av virksomheten – men ledelsen har likevel ansvaret. POL § 2. Definisjoner I denne loven forstås med: personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, registrert: den som en personopplysning kan knyttes til, samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv,

11 Mangelfull håndtering av tilgjengelighet og driftskontinuitet i tilfelle kriser og katastrofer Manglende gjennomføring av risikovurdering, herunder fastsettelse av kriterier for akseptabel risiko. Manglende sikkerhetsmål og –strategi. Styrende, gjennomførende og kontrollerende dokumentasjon. Hvor en opplever at ”skoen trykker” når det gjelder POF §2-3 §2-4 §2-12

12 Overordnet liste av avvik i sektoren PriLover& forskr.Avvik/funnTiltakRefStatus 1Pof §2-3 Ikke sikkerhetsmål & - strategi (policy) 9 Manglende IT strategi 3 POF § 2-12Mangler KBP 6 POL § 13 Manglende databehandler avtale 2 POF 2-4 Ikke gjennomført ROS ift informasjonssikkerhet 4 POL § 16-22, POF §3 Utarbeide oversikter over hvilke Personopplysninger som behandles (rutiner for innsyn, logger og lignende.) 5 POF § 2-6 Manglende rutiner for avviksbehandling. Dette er et avvik ifht regulative krav og ”God IT skikk”. 7 POF §2-10 Manglende skriftlig rutine for gjenbruk og destruering av brukt IT utstyr Mangler retningslinjer for hjemmearbeidsplass 8POF § 2-11Det er lagret sensitive data på fellesområdet "G:" som blir tilgj. for uautoriserte ved feil konfig i

13 Hvorfor lovkrav er viktig å forholde seg til  Det er direkte knytning mellom lovkrav og omdømme  Enkelte lovkrav er også grunnlag for tillit mellom kunde og virksomhet – personvern: o Utdanningsinstitusjon vs. ansatte og studenter o Lege vs pasient o Bank vs kunde o Netthandel vs kunde o Arbeidsgiver vs ansatt  Svakheter i samsvarsarbeidet er dårlig for virksomheten  …og så er det dette med myndigheters reaksjoner på brudd selvsagt Etterlevelse er første steg på veien til god styring og kontroll – gjennom internkontroll Det å finne den gode balansen er nøkkelen (forholdsmessighet)

14 Internkontroll og utfordringer

15 Trender Informasjon er mer verdifull enn noen gang Nettverk er kritisk infrastruktur e-post stadig mer virksomhetskritisk ID-tyveri Angrep hurtigere enn patcher (zero-day) sluttbrukere representerer risiko målrettede angrep organisert kriminalitet Mobile enheter representerer stadig større risiko (” Mobilen er vår farligste eiendel ” –Norsis) Det aktuelle trusselbildet avdekkes gjennom en risikovurdering Litt om trusler og sårbarheter

16 Noen erfaringer Generelle erfaringer Den menneskelige faktoren utgjør en vesentlig del av det totale sikkerhetsbildet (80% ifht teknologi 20%). Teknisk personell setter “sikkerhetsnivået” der det ikke er Policies - > fører til “Pansrede ståldører i stakitt gjerder” Det er bedre nå enn før, men der det er dårlig fortsatt, er der hvor styrende dokumenter mangler (Policy, IT-strategi etc). Mangelfullt design og sikkerhetskonfigurasjon PEBKAC

17 Noen flere erfaringer  Kompleksitet kan være fiende o Som følge av unødvendig funksjonalitet o Som følge av for mye ”Teknologi fokus”  Stadige endringer/ teknologi skifte en trussel o Gir mindre tid for utvikling av effektive sikkerhetstiltak  Mangelfull/manglende IT-/Teknologi strategi en trussel o Kan gi tilfeldige anskaffelser o Være kostbart o IT-strategi må være ”forretningsforankret”  Unngå ”For mye sikkerhetsteknologi” o Sett tiltakene etter ROS vurdering  Unngå risikopreget konfigurasjon o Eksempel: klienter og servere i samme segment/ regime, i kombinasjon med tilgang til lokal administrator på klient/PC – samt tillate BYOD uten ansvarliggjørende tiltak  Mobilitet og BYOD gir risikoer o Flytter grenser / Sikkerhetsbarrierer o Privat enhet som ofte fylles med virksomhetens informasjon

18 Tale – video – tekst - synk Paradigmeskifte – gir både utfordringer av Internkontroll og muligheter: Kunnskapsmedarbeider

19 Finanstilsynets risikorapport for 2011 Handler om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)  Noen funn fra IT-tilsyn  Rapporterte hendelser  Risikoer med Cloud  Risiko ved utkontraktering  Mangler ved styring og kontroll  Kriminelle angrep mot betalingssystemene  Risiko for driftsavbrudd og systemfeil

20 Den store gangetabellen…. Location Device Application Flere mennesker, Jobber fra flere steder, Bruker flere ulike typer enheter, Aksesserer flere servere og flere applikasjoner og deler om seg med Sensitive Data

21 Definisjon av risikostyring ”Risikostyring og intern kontroll er en prosess integrert i mål- og resultatstyringen som er utformet for å kunne identifisere, vurdere, håndtere, og følge opp risiko slik at denne er innenfor akseptert nivå. Virksomhetens ledelse har ansvaret for at prosessen gjennomføres av virksomheten og anvendes i fastsettelse av strategi og planer og på tvers av virksomheten for å gi rimelig grad av sikkerhet for virksomhetens oppnåelse av sine målsettinger.” Ref: Kunnskapsdepartementet

22 Definisjon av risikostyring – enkel def. Risikostyring handler om å fastsette akseptabel risiko, foreta risikovurdering og prioritere sikkerhetstiltak. Dette er øverste leders ansvar. (Norsis)

23 Interkontroll vs. risikostyring Forholdet mellom risikostyring og internkontroll kan beskrives slik: Internkontroll dreier seg om metoder og tiltak for å sikre at virksomheten når sine mål. Internkontrollen er dermed et sentralt element i risikostyringen, mens risikostyringskonseptet i tillegg omfatter et strategisk, helhetlig perspektiv. Det innebærer bl.a. å ta stilling til virksomhetens strategiske mål og risikotoleranse, og å foreta en samlet vurdering av foretakets og foretaksgruppens risikoer.

24 Risikostyring - overordnet InformasjonssikkerhetMål- og resultatstyring StegNSM /Datatilsynet/ NORSISDFØ/COSO 1.Planlegging og organisering a. Planlegging b. Organisering c. Identifisering av verdier d. Kartlegging av risikobildet Identifisering av overordnede mål a. Mål og verdier b. Pålitelig regnskapsrapportering og økonomiforvaltnig c. Overholdelse av lover og regler 2.Gjennomføring av ROS analyse (vurdering) a. Identifisering av uønskede hendelser b. Fastsettelse av Sannsynlighet og Konsekvens c. Fastsettelse av Risiko d. Evaluering av risiko og akseptabel R Identifisering av KSF 3.Utarbeidelse og implementering av tiltak a. Kartlegging av eksisterende tiltak b. Utarbeiding av sikringstiltak c. Vurdering av nytte og kostnad d. Kommunikasjon med beslutningstakere Identifisering av risikoer 4.Kontroll og revisjon Oppfølging og kontroll av sikkerhetsarbeidet Ledelsens evaluering Vurdering og prioriteringer av risikoer 5.Vurdering av S og K 6.Prioritering av risikoene -> unngå, redusere, dele eller akseptere risiko.

25 Hensiktsmessig sikkerhetskontroll?

26 Dilbert BYOD & Internkontroll

27 Internkontroll i UH siden 2008 Etablering av Policy for informasjonssikkerhet Tilpassning i WS IT revisjon/ Kartlegging Utkast til policy og rutiner mm. Implementasjon Test av etterlevelse Justrering policy Holdninger Policy Utrulling i UH Hva nå?? IT revisjon: >30 ROSBIA KBP ROS BIA KBP 2013-> Policy: >15

28 ISO i all sin grusomhet Noe av innholdsfortegnelsen… Internkontroll i UH-sektoren

29 Datatilsynet får ofte spørsmål om hvordan bedriften kan tilpasse seg Datatilsynets krav til informasjonssikkerhet. Blant annet spørres det om forholdet til ISO-standarder. Forskriften bygger på ISO-standarder Forskriftens kapittel 2 om informasjonssikkerhet bygger på og har samme systematikk som ISO- standard Standarden er imidlertid mer utfyllende og er nok et nyttig verktøy i virksomhetens arbeid. Standardserien består av to deler. Den første delen er oversatt til norsk. Standarden kan skaffes ved henvendelse til Pronorm. Internkontroll i UH-sektoren –

30 Internkontroll i UH-sektoren – retningslinjer og dokumentasjon Består av planlagte og systematiske tiltak – slik som Hvorfor Hva Hvordan 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. -> Styrende dokumentasjon 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. -> Styrende dokumentasjon 3) Standarder og prosedyrer for informasjonssikkerhet med detaljerte retningslinjer for hvordan disse standardene skal implementeres. -> Gjennomførende og kontrollerende dokumentasjon

31 Eksempel på ”Hvordan” – gjennomførende dok.

32 Eksempel på ”Hvordan”

33 Eksempel på gjennomførende dok. (KBP)

34 Eksempel på kontrollerende dok.

35 Eksempel på ”Hvordan” - Soneinndeling

36 Opplæring og holdningsskapende tiltak Gjennomgang av Policy og styrende dokumenter med ansatte (betinger at disse er på plass…) ”Sikkerhetskort”, musmatter med nettvett regler, Gadgets, og lignende Vurder intern testing og ”sertifisering” i sikkerhet Ledelsen må være synlig på banen!!

37 Best Practice

38 Datavettregler 1. Vær kritisk til informasjon på Internett 2. Åpne ikke e-post fra ukjente 3. Kontroller adressen før du sender e-post 4. Beskytt deg mot angrep - installer brannmur 5. Vær rustet mot virus - hold antivirusprogrammet oppdatert 6. Lytt til erfarne databrukere - ta sikkerhetskopi 7. Oppgi aldri passord eller koder til noen - selv ikke banken 8. Ikke blottlegg deg - lås maskinen når du går (Ctrl-Alt-Del) 9. Er noe for godt til å være sant så er det trolig det 10. Ikke drøm deg bort på bussen - pass på bærbart utstyr

39 Oppsummering Internkontroll:  etablere og holde vedlike planlagte og systematiske tiltak  tiltakene skal være forholdsmessige  både logiske og tekniske tiltak  risikosyring – både ifht målstyring og informasjonssikkerhet Dette betinger en metodisk tilnærming:  IT revisjon/ kartlegging av ståsted  Risikovurderinger  Styrende dokumenter  Kvalitetsarbeid  Forretningsstrategi  IT-strategi  KBP  Opplæring, holdningsskapende tiltak God internkontroll:  etterlever lover& regler  oppfyller “forretnigsmessige” krav  unngår “for mye sikkerhet”

40 TAKK FOR OPPMERKSOMHETEN Spørsmål?

41 Noen referanser om internkontroll NIRF om Internkontroll: Datatilsynet om Internkontroll : POL: POF: Internkontrollforskriften: htmlhttp:// html DFØ om målstyring: 06.pdf 06.pdf