Säkerhet

Med IT-revision som utgångspunkt för IT-säkerhetsarbetet

Att ha kontroll över IT- och informationssäkerheten inom organisationen hör inte bara till god sed, utan är något som faktiskt är absolut nödvändigt. Delar av detta är även ett krav enligt lag, exempelvis genom GDPR.

I en allt mer digitaliserad verklighet ökar även hoten och konsekvenserna med eventuella brister inom IT-säkerhetsområdet.

Vi ska här gå igenom hur granskning av IT- och informationssäkerhet kan gå till och varför det är viktigt att med regelbundenhet genomföra dessa granskningar.

Men innan vi går vidare, låt oss göra ett kort stopp och reda ut två begrepp i sammanhanget.

Vad är skillnaden på IT-säkerhet och Informationssäkerhet?

Det görs ibland en viss sammanblandning mellan IT-säkerhet och informationssäkerhet. Detta kan bero på den rika floran av anglifierade uttryck och förkortningar inom IT. Definitioner riskerar att bli svårbemästrade.

Nedan, något förenklade, beskrivningar kan dock tjäna som ett riktmärke i övergripande bemärkelse.

IT-säkerhet innebär…

…”att utföra specifika åtgärder för att skydda företagets informationstillgångar och behandling av information. IT-säkerhet kan ses som ett säkert skal som omsluter informationen. IT-säkerhet består huvudsakligen av teknik kombinerad med operativa rutiner och riktlinjer som överensstämmer med gällande policys”.

Informationssäkerhet innebär…

…”hur information behandlas och har rätt nivå på sekretess, integritet, tillgänglighet. Det vil säga att rätt människor får åtkomst till den, att den inte är riskerar att förvanskas och att människorna som behandlar informationen har den tillgänglig enligt överenskommelse”.

Hur granskas IT- och informationssäkerhet?

Ett standardförfarande som är väl beprövat och underbyggt är att göra en så kallad IT-revision.

Själva begreppet kan kanske ge en känsla av osäkerhet om hur det faktiskt står till med IT- och informationssäkerheten inom organisationen. Andra känner sig trygga genom att kontroller av IT finns etablerade som kontinuerligt följs upp.

Hur kan man då gå tillväga för att nå, inte bara en känsla av trygghet, utan uppleva en faktisk trygghet?

En IT-revision kommer till stånd på två olika sätt.

  • En internt initierad IT-revision. Dvs av IT-avdelningen, eller t.ex. ekonomiavdelningen eller produktionen själva, efterfrågar status på IT- och informationssäkerhet.
  • En IT-revision beställd av ledningen för organisationen.

Vissa typer av organisationer har dessutom en lagstadgad skyldighet att redovisa tillståndet för IT-säkerhet. Det gäller t.ex. banker och andra finansiella institut.

I fallet intern IT-revision, kan den omfatta ett eller flera förutbestämda IT-områden. Här finns det möjlighet att styra vad som ska granskas.

I en IT-revision beställd av organisationens ledning är huvudfokus normalt att säkerheten rörande de finansiella systemen granskas. Ledningen vill försäkra sig om att de finansiella systemen är väl skyddade från oväntade avbrott och störningar. Det rör bl.a. att rätt människor har tillgång till rätt data när dom behöver den och att den då är korrekt.

Att initiera en IT-revision handlar inte om misstänksamhet mot att något är misskött, även om det kan förekomma, utan organisationens motiv är ofta vara att försäkra sig om att nyckelområden är under kontroll. Det fungerar även som en bekräftelse till ledningen att IT-verksamheten är väl skött. Precis som man normalt gör en ekonomisk revision av samma skäl.

Vilken nytta kan vi ha av en IT-revision?

All granskning i en IT-revision sker utifrån ett riskbaserat angreppssätt. Informationen vi vill skydda ska vid varje enskilt tillfälle ha rätt nivå gällande sekretess, integritet och tillgänglighet.
Genom att granska ovan nämnda tre entiteter för information, kan vi arbeta fram vilka IT-säkerhets krav som ställs för att nå önskade mål. Dessa krav är sedan styrande för hur IT-säkerheten bör utformas för att motsvara kraven på informationssäkerhet.

Resultatet av en IT-revision ska ses som en språngbräda till att nå en IT- och informationssäkerhet som motsvarar förväntningarna och kraven.

För att kunna dra nytta av en IT-revision fullt ut behöver vi således ha god kännedom om våra informationstillgångar. Vi behöver veta var det finns känslig och skyddsvärd information, hur den ska behandlas och av vilka. När vi har en bild av detta är förutsättningarna till god IT-säkerhet på god väg.

Hur genomförs en IT-revision?

En IT-revision genomförs normalt av en extern part men kan även göras med interna resurser som vi diskuterat här innan.

Internt initierad granskning.

En fördel med en intern revision kan vara att man känner väl till utformningen av IT- och informationssäkerheten och snabbt kan dra slutsatser av lämpliga åtgärder. Detta förutsätter att det finns god ”sjukdomsinsikt”, distans till kvalitén på eget arbete i god kombination med vilka krav som bör ställas.

Extern granskning.

En extern revision görs genom att en extern part med rätt kunskaper anlitas för att genomföra granskningen. Synen på vilken den externa parten ska vara, kan skifta och argumentationen varierar. En traditionell revisionsbyrå har normalt bra kunskaper om processer, arbetssätt och synen på genomförande av själva revisionsförfarandet är väl förankrat. Däremot kan det vara skiftande kvalité på kunskaper inom IT och vilka möjligheter och risker olika tekniska lösningar kan för med sig. En extern kontroll blir dock så opartisk den går att få genom att man filtrerar bort egna värderingar och färgningar av statusen.

Vem reviderar?

En intern granskning för att genomlysa IT- och informationssäkerheten kan givetvis göras av någon med tillräckliga kunskaper och erfarenheter av ämnet. Att internt har någon eller en enhet som innehar dessa speciella kunskaper är då en fördel.
Saknas den möjligheten eller att det inte ingår i organisationens strategi kan man anlita en sådan person.

En extern revision görs normalt av en certifierad IT-revisor eller någon med motsvarande kunskaper som man litar på. En certifiering är ett bevis på kunskap men det krävs även erfarenhet om både IT, processer, arbetssätt på ett bredare plan för att kunna göra en fullgod IT-revision.

Det är även fullt möjligt att certifiera någon/några inom organisationen. En bra startpunkt för att läsa vidare om certifieringar och internrevision är följande:

  • Hos ISACA, som är en icke vinstdrivande organisation inom IT-revision
  • IIA Sweden som är internrevisorernas förening

Standarder som utgångspunkt för IT-revision

En IT-revision utgår från standardförfarande. Dessa standarder kan man med fördel ta stöd av inom organisationen och använda som referens för att bygga upp en väl fungerande egenkontroll.

Standarder som används som underlag för att utforma en IT-revision är vedertagna. De allra vanligaste i Europa är t.ex.:

I dessa standarder finns väl beskrivet vad man bör kontrollera och hur IT bör utformas för att tillgodose dessa kontroller.

En kontroll är en granskning av organisatorisk säkerhet genom att riktlinjer/policys rutiner finns, efterlevs och underhålls. En kontroll kan även omfatta fysisk säkerhet.

Några exempel på kontroller är:

  • Hur förändringar görs i system, applikationer, hårdvara mm. Det ska finnas en rutin för hur detta går till som skyddar informationen på tillbörligt sätt. Dessa rutiner kan baseras på processer som i sin tur är standardiserade t.ex genom att man följer ITIL (Information Technology Infrastructure Library) ramverket som tillhandahåller en beskrivning av hur man ska göra för att utforma kvalitativa IT-tjänster.
  • Regler, policy och processer för åtkomst till olika IT-resurser inom organisationen.
  • Säkerhetskopiering av data. Vi behöver säkerställa att data finns säkerhetskopierat och lagrat på ett säkert sätt så att organisationen med hjälp av den kan säkerställa sina informationstillgångar.
  • Återläsningstester av säkerhetskopierade data. Det är absolut nödvändigt att med given periodicitet göra återläsningstester av data. Detta för att säkerställa att vid behov kunna få tillbaka sina informationstillgångar i händelse av att något katastrofalt inträffar med hela eller delar produktionsdata.

Fysisk säkerhet. Innebär att skydda system och information från otillbörlig åtkomst rent fysiskt. Organisationen förväntas ha kontroll över vilka som har tillträde till servrar och annan vital utrustning.

De kontroller som görs kallas för IT General Controls (ITGC). Genom att följa dessa kontroller kan vi vara säkra på att ha fått med de allra viktigaste pusselbitarna för IT-säkerhet i vår IT-miljö.

Dataskyddsförordningen (GDPR) och informationssäkerhet

Dataskyddsförordningen (kanske mer känd som GDPR) ställer specifika krav på informationssäkerhet. Genom att sätta ihop en matrix som beskriver de olika kraven i ITGC, GDPR och andra former av krav så som till exempel avtalsmässiga, kan vi snabbt få en överblick över vad som behöver åtgärdas och en indikator på prioriteringarna.

Läs gärna vårt fördjupande Whitepaper om GDPR. Vi vill även passa på och tipsa om vår artikel om hur Cobit kan användas för att mäta processmognad.

Vad händer efter en IT-revision?

Uppföljning – Om det finns anmärkningar i slutrapporten från IT-revisionen finns det all anledning att avsätta resurser för att komma rätta med dessa. Om det förekommer anmärkningar innebär det i så fall att organisationen lever med förhöjda risker inom något/några av de granskade områdena.

Organisationen kan, med fördel för IT-och informationssäkerheten, göra fördjupningar i vilka lösningar som bör tillämpas, förslagsvis inom specifika områden där känslig och skyddsvärd information har identifierats och ställts mot konsekvenserna av en oönskad händelse.

Sammanfattning

Sammanfattningsvis görs en IT-revision i följande steg.

  • Planering – Vad ska undersökas, vilka kontroller ska genomföras, vilket material behöver förberedas
  • Genomförande – Granskning av kontroller, rutinbeskrivningar och efterlevnad
  • Rapportering – En rapport skapas utifrån vad som upptäckts i hur det borde vara (dvs kontrollerna) och hur verkligheten ser ut.

Nu är vi redo att skapa en åtgärdsplan för anmärkningarna från IT-revisionen.

  • Vi har identifierat eventuella brister i vår IT-och informationssäkerhet.
  • Vi har gjort en kartläggning och kanske till och med gjort en informationsklassificering av våra informationstillgångar.
  • Vi har kartlagt beroenden till övriga krav (lagar, förordningar, avtal mm)
  • Vi kan med detta underlag skapa argument för att kunna göra en budget för att klara av att genomföra vår planering.

Detta sammantaget gör att vi uppnår en god standard på vår IT- och informationssäkerhet.

Publicerat den 4 februari 2019
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.