SlideShare a Scribd company logo

Input till it risker i internrevisorns riskanalys

Transcendent Group
Transcendent Group

Presentation från GRC 2015 den 20 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2015/

Leadership & Management
1 of 23
Download to read offline
Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015
Agenda • Tillvägagångssätt för att identifiera IT-relaterade risker. • Exempel på olika typer av IT- relaterade granskningar. ©TranscendentGroupSverigeAB2015
Om mig • partner på Transcendent Group • tjänsteområdesansvarig IT- revision • 14 års arbetslivserfarenhet som IT-revisor och rådgivare ©TranscendentGroupSverigeAB2015
Risker ©TranscendentGroupSverigeAB2015
Informationsteknologi (IT) ©TranscendentGroupSverigeAB2015
Synsätt IT som affärsmöjliggörare IT risker är affärsrisker ©TranscendentGroupSverigeAB2014
Vad driver risk? • Accelerande teknisk utveckling ökar kraven på tillgänglighet. • Informationsteknologi används vid utveckling av produkter och tjänster samt skapar förutsättningar för effektivisering och kostnadsbesparingar. • Företag integrerar i allt större utsträckning befintlig IT- infrastruktur och informationsutbyte med kunder, leverantörer och samarbetspartners. • Ökad grad av regelefterlevnad och avtalade kundkrav. • Informationsteknologi (IT) är en möjliggörare (business enabler) för att utveckla företag och organisationer. ©TranscendentGroupSverigeAB2015
Teknikutveckling • Molnbaserade tjänster och virtualisering • Cyber Crime och Cyber Security (Internet) • Penetrationstester och sårbarhetsanalyser (scenarion) • BYOD – Bring Your Own Device (smarta mobiltelefoner) • Big Data (stora datamängder vid insamling, hantering och lagring) ©TranscendentGroupSverigeAB2015
Risk universe • Styrning och ledning • Organisation • Processer • Teknologi ©TranscendentGroupSverigeAB2015
Input till att identifiera IT-risker • Affärsmål och strategier • IT-strategi • IT-ledningsgrupp • Incidenter • Projekt • Utförda riskanalyser • Organisation • Revisionsutskott • Tidigare års observationer (IR/ER) • Lagar och förordningar • Kundavtal • Teknikutveckling • Utvecklingsbudget och förvaltningsplaner ©TranscendentGroupSverigeAB2015
Skapa förståelse för IT • Styrning och ledning av IT. • Förstå organisation (inklusive roller och ansvar). • Förstå drift/utveckling/ förvaltning. • Teknik • Verksamhetens beroende av IT • Outsourcing • Externa leverantörer ©TranscendentGroupSverigeAB2015
Komplex IT-miljö • Transaktionsintensitet (realtid vs. batchjobb) • Antal applikationer • IT-infrastruktur • Standardsystem vs. egenutvecklade • Antal användare • Pågående och planerade projekt • Incidenter • Vilka processer stöder de • Beroenden (input – output) • Drift och förvaltning • Kompetens ©TranscendentGroupSverigeAB2015
IT-riskområden ©TranscendentGroupSverigeAB2015 IT Riskområden IT-styrning Informations- säkerhet Incident- hantering Regel efter- levnad Datakvalitet Infrastruktur Outsourcing Kontinuitets- planering Utveckling av IT-system Mobil säkerhet Leverantörs- styrning Drift och förvaltning IT-säkerhet Policies och riktlinjer Projekt- hantering Fysisk säkerhet Licens hantering Säkerhet i molnet BYOD Cyber Security Säkerhet i applikationer Social media
Informationssäkerhet ©TranscendentGroupSverigeAB2015 Informations- säkerhet 3. incidenter 4. styrning och uppföljning 5. strategi och inriktning 6. policy och riktlinjer 8. kontrakterade tredje parter 9. Styrning och administration av behörigheter 10. organisation (roller och ansvar) 11. utbildning 13. informations- klassificering 12. riskanalyser 2. krav enligt lagar och förordningar 7. budget
Riskområde: informationssäkerhet • Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv. Varför är detta område väsentligt? • Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet. • Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön. • Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner. Identifierade risker att beakta • Granskning av behörighetsrutiner och styrning av åtkomst • Granskning av en korrekt ansvarsfördelning (segregation of duties) • Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd. • Granskning av rutiner och kontroller för loggning av information. Förslag till granskningsåtgärder ©TranscendentGroupSverigeAB2015
Trender IT-risker för banksektorn Digitalisering (webb och mobila kanaler) Mobila betalningar Regelefterlevnad (Basel 3, GDPR) IT-infrastruktur Cybersäkerhet Big Data ©TranscendentGroupSverigeAB2014 Riskområden
Prioriterade granskningar i 2015 års revisionsplan ©TranscendentGroupSverigeAB2015 Verksamhets- område Identifierade risker Risk Mapp Nr. Potentiell konsekvens / effekt av risk Granskningsåtgärd xx • aa • aa • bb • cc 1 • ss • xx • ss • ss • Zz • Xx • xx • ss • ss yy • ww • dd • cc • ss 2,3,4 • ee • ss • ss • ss • dd • rr • ww zz • zz • zz • zz 5 • zz • xx • zz(
Konsoliderad risk karta – topp fem operationella risk områden ©TranscendentGroupSverigeAB2015 Förväntad (4) Trolig (3) Osannolikt (1) Potentiell (2) Hög (3) Kritiskt (4) Begränsad (2) Sannolikhet Påverkan 1a xx xx 1b yy zz tt 3. Lagar och förordningar xx 2. Informations- säkerhet cc 4. dd ff 5. gg kk Väsentlig (4)
Input till IT-risker Identifierade risker och scenarion Förslag på granskningsåtgärder Flertalet kritiska projekt levereras inte enligt våra förväntningar (tid, kvalitet, kostnader) • Granskning av specifika project. • Pre- och post-implementations review av system. • Granskning av faktiska nyttoeffekter med investeringar i IT. Risk för att IT ej möter upprättade affärsmål och strategier på kort och lång sikt • Granskning av IT-strategi och styrningsmodell. • Granskning av rutiner för incidenthantering. Brister i styrning och uppföljnig av leverans från kontrakterade tredjeparter (outsourcing)? • Granskning av utkontrakterade tjänster hos tredje part. • Avtalsgranskning Risk för brister inom informationssäkerhet • Granskning av styrning och ledning av informationssäkerhet. • Granskning efterlevnad av styrande dokument (exempelvis ISO 27001). • Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A). • Applikationsgranskningar. Risk för obehörig åtkomst till kritisk information • Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst • Segregation of Duties • Granskning av rutiner för hantering av logginformation ©TranscendentGroupSverigeAB2015
Identifierade risker Förslag på granskningsåtgärder Risk för väsentliga avbrott i vår verksamhet • Granskning av kontinuitetshantering • Granskning av katastrofplaner för IT (disaster recovery). • Granskning av utkontrakterade tjänster till tredje part Ökade IT-kostnader • Granskning av IT-kostnader. • Granskning av licenshantering Risk för externa intrång och åtkomst till kritisk kunddata • Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser. • Genomförandet av penetretionstester. Risk för bristande kvalitet i utvecklingsprocess • Granskning av rutiner och kontroller för systemutveckling och förändringshantering. Input till IT-risker ©TranscendentGroupSverigeAB2015
Input till IT-risker ©TranscendentGroupSverigeAB2015 Område Risker IT-strategi • IT-strategi är ej formaliserad och implementerad i koncernen. • Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten. • Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering. • Det saknas en tydlig koppling mot definierade affärsmål och strategier. • IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp. • IT är ej representerat i ledningsgruppen. Styrning och ledning • Avsaknad av ett ramverk för IT styrning (IT governance framework). • Styrande forum är ej effektiva i sin utformning och genomförande. • Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin. • Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker). • Det finns ingen process för regelbunden kvalitetsuppföljning av IT- leveranser. • Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.
Område Risker Informationssäkerhet • Det finns inte en upprättad och implementerad strategi för informationssäkerhet. • Otydlighet kring styrning och ledning av informationssäkerhet. • Ökad grad av rapporterade incidenter kopplat till informationssäkerhet. • Avsaknad av rutiner för genomförande av riskanalyser (inklusive hot- och sårbarhetsanalyser). • Bristfällig kontroll över administratörsrättigheter. • Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system. • Brister i efterlevnad av regulatoriska krav. Input till IT-risker ©TranscendentGroupSverigeAB2015
www.transcendentgroup.com

Recommended

La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TI
ISACA Chapitre de Québec
 
Business Impact Analysis module 3.ppt
Business Impact Analysis module 3.pptBusiness Impact Analysis module 3.ppt
Business Impact Analysis module 3.ppt
MohamedMoustafa91763
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cloud Adoption Framework Phase one-moving to the cloud
Cloud Adoption Framework Phase one-moving to the cloudCloud Adoption Framework Phase one-moving to the cloud
Cloud Adoption Framework Phase one-moving to the cloud
Anthony Clendenen
 
Zero Trust.pptx
Zero Trust.pptxZero Trust.pptx
Zero Trust.pptx
ThavaselviMunusamy1
 
Microsoft-CISO-Workshop-Security-Strategy-and-Program (1).pdf
Microsoft-CISO-Workshop-Security-Strategy-and-Program (1).pdfMicrosoft-CISO-Workshop-Security-Strategy-and-Program (1).pdf
Microsoft-CISO-Workshop-Security-Strategy-and-Program (1).pdf
ParishSummer
 
Incident Management PowerPoint Presentation Slides
Incident Management PowerPoint Presentation SlidesIncident Management PowerPoint Presentation Slides
Incident Management PowerPoint Presentation Slides
SlideTeam
 
Third-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a StrategyThird-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a Strategy
NICSA
 

Recommended

La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TI
ISACA Chapitre de Québec
 
Business Impact Analysis module 3.ppt
Business Impact Analysis module 3.pptBusiness Impact Analysis module 3.ppt
Business Impact Analysis module 3.ppt
MohamedMoustafa91763
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cloud Adoption Framework Phase one-moving to the cloud
Cloud Adoption Framework Phase one-moving to the cloudCloud Adoption Framework Phase one-moving to the cloud
Cloud Adoption Framework Phase one-moving to the cloud
Anthony Clendenen
 
Zero Trust.pptx
Zero Trust.pptxZero Trust.pptx
Zero Trust.pptx
ThavaselviMunusamy1
 
Microsoft-CISO-Workshop-Security-Strategy-and-Program (1).pdf
Microsoft-CISO-Workshop-Security-Strategy-and-Program (1).pdfMicrosoft-CISO-Workshop-Security-Strategy-and-Program (1).pdf
Microsoft-CISO-Workshop-Security-Strategy-and-Program (1).pdf
ParishSummer
 
Incident Management PowerPoint Presentation Slides
Incident Management PowerPoint Presentation SlidesIncident Management PowerPoint Presentation Slides
Incident Management PowerPoint Presentation Slides
SlideTeam
 
Third-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a StrategyThird-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a Strategy
NICSA
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
Dr Madhu Aman Sharma
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
Muhammad Sahputra
 
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial InstitutionsCybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Shawn Tuma
 
Assuring the Security of the Supply Chain - Designing best practices for cybe...
Assuring the Security of the Supply Chain - Designing best practices for cybe...Assuring the Security of the Supply Chain - Designing best practices for cybe...
Assuring the Security of the Supply Chain - Designing best practices for cybe...
Ollie Whitehouse
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security Roadmap
Elliott Franklin
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access Management
Neo4j
 
Security Metrics Program
Security Metrics ProgramSecurity Metrics Program
Security Metrics Program
Cydney Davis
 
Testing the Migration of Monolithic Applications to Microservices on the Cloud
Testing the Migration of Monolithic Applications to Microservices on the CloudTesting the Migration of Monolithic Applications to Microservices on the Cloud
Testing the Migration of Monolithic Applications to Microservices on the Cloud
Nagarro
 
From Cybersecurity to Cyber Resilience
From Cybersecurity to Cyber ResilienceFrom Cybersecurity to Cyber Resilience
From Cybersecurity to Cyber Resilience
accenture
 
Security services mind map
Security services mind mapSecurity services mind map
Security services mind mapDavid Kennedy
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITY
Maganathin Veeraragaloo
 
Advanced PII / PI data discovery and data protection
Advanced PII / PI data discovery and data protectionAdvanced PII / PI data discovery and data protection
Advanced PII / PI data discovery and data protection
Ulf Mattsson
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptx
Infosec
 
resilient_training_labs v12 copy.pptx
resilient_training_labs v12 copy.pptxresilient_training_labs v12 copy.pptx
resilient_training_labs v12 copy.pptx
modathernady
 
IDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades CorporativaIDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades Corporativa
Daniel Checchia
 
Incident Response Swimlanes
Incident Response SwimlanesIncident Response Swimlanes
Incident Response Swimlanes
Daniel P Wallace
 
SANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceSANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a Service
Toni de la Fuente
 
Building A Cloud Strategy PowerPoint Presentation Slides
Building A Cloud Strategy PowerPoint Presentation SlidesBuilding A Cloud Strategy PowerPoint Presentation Slides
Building A Cloud Strategy PowerPoint Presentation Slides
SlideTeam
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoNist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quantico
Tuan Phan
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
 

More Related Content

What's hot

ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
Dr Madhu Aman Sharma
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
Muhammad Sahputra
 
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial InstitutionsCybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Shawn Tuma
 
Assuring the Security of the Supply Chain - Designing best practices for cybe...
Assuring the Security of the Supply Chain - Designing best practices for cybe...Assuring the Security of the Supply Chain - Designing best practices for cybe...
Assuring the Security of the Supply Chain - Designing best practices for cybe...
Ollie Whitehouse
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security Roadmap
Elliott Franklin
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access Management
Neo4j
 
Security Metrics Program
Security Metrics ProgramSecurity Metrics Program
Security Metrics Program
Cydney Davis
 
Testing the Migration of Monolithic Applications to Microservices on the Cloud
Testing the Migration of Monolithic Applications to Microservices on the CloudTesting the Migration of Monolithic Applications to Microservices on the Cloud
Testing the Migration of Monolithic Applications to Microservices on the Cloud
Nagarro
 
From Cybersecurity to Cyber Resilience
From Cybersecurity to Cyber ResilienceFrom Cybersecurity to Cyber Resilience
From Cybersecurity to Cyber Resilience
accenture
 
Security services mind map
Security services mind mapSecurity services mind map
Security services mind mapDavid Kennedy
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITY
Maganathin Veeraragaloo
 
Advanced PII / PI data discovery and data protection
Advanced PII / PI data discovery and data protectionAdvanced PII / PI data discovery and data protection
Advanced PII / PI data discovery and data protection
Ulf Mattsson
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptx
Infosec
 
resilient_training_labs v12 copy.pptx
resilient_training_labs v12 copy.pptxresilient_training_labs v12 copy.pptx
resilient_training_labs v12 copy.pptx
modathernady
 
IDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades CorporativaIDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades Corporativa
Daniel Checchia
 
Incident Response Swimlanes
Incident Response SwimlanesIncident Response Swimlanes
Incident Response Swimlanes
Daniel P Wallace
 
SANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceSANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a Service
Toni de la Fuente
 
Building A Cloud Strategy PowerPoint Presentation Slides
Building A Cloud Strategy PowerPoint Presentation SlidesBuilding A Cloud Strategy PowerPoint Presentation Slides
Building A Cloud Strategy PowerPoint Presentation Slides
SlideTeam
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoNist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quantico
Tuan Phan
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 

What's hot (20)

ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
 
Next-Gen security operation center
Next-Gen security operation centerNext-Gen security operation center
Next-Gen security operation center
 
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial InstitutionsCybersecurity: Cyber Risk Management for Banks & Financial Institutions
Cybersecurity: Cyber Risk Management for Banks & Financial Institutions
 
Assuring the Security of the Supply Chain - Designing best practices for cybe...
Assuring the Security of the Supply Chain - Designing best practices for cybe...Assuring the Security of the Supply Chain - Designing best practices for cybe...
Assuring the Security of the Supply Chain - Designing best practices for cybe...
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security Roadmap
 
Identity and Access Management
Identity and Access ManagementIdentity and Access Management
Identity and Access Management
 
Security Metrics Program
Security Metrics ProgramSecurity Metrics Program
Security Metrics Program
 
Testing the Migration of Monolithic Applications to Microservices on the Cloud
Testing the Migration of Monolithic Applications to Microservices on the CloudTesting the Migration of Monolithic Applications to Microservices on the Cloud
Testing the Migration of Monolithic Applications to Microservices on the Cloud
 
From Cybersecurity to Cyber Resilience
From Cybersecurity to Cyber ResilienceFrom Cybersecurity to Cyber Resilience
From Cybersecurity to Cyber Resilience
 
Security services mind map
Security services mind mapSecurity services mind map
Security services mind map
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITY
 
Advanced PII / PI data discovery and data protection
Advanced PII / PI data discovery and data protectionAdvanced PII / PI data discovery and data protection
Advanced PII / PI data discovery and data protection
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptx
 
resilient_training_labs v12 copy.pptx
resilient_training_labs v12 copy.pptxresilient_training_labs v12 copy.pptx
resilient_training_labs v12 copy.pptx
 
IDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades CorporativaIDM - Gereciamento de Identidades Corporativa
IDM - Gereciamento de Identidades Corporativa
 
Incident Response Swimlanes
Incident Response SwimlanesIncident Response Swimlanes
Incident Response Swimlanes
 
SANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a ServiceSANS Cloud Security Summit 2018: Forensics as a Service
SANS Cloud Security Summit 2018: Forensics as a Service
 
Building A Cloud Strategy PowerPoint Presentation Slides
Building A Cloud Strategy PowerPoint Presentation SlidesBuilding A Cloud Strategy PowerPoint Presentation Slides
Building A Cloud Strategy PowerPoint Presentation Slides
 
Nist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quanticoNist cybersecurity framework isc2 quantico
Nist cybersecurity framework isc2 quantico
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 

Viewers also liked

Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Erik Ullberg
 
Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)
Soraya H. Contreras
 
CRO:n mitt i GRC
CRO:n mitt i GRCCRO:n mitt i GRC
CRO:n mitt i GRC
Transcendent Group
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)
Maria Duni
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
Transcendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
Transcendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Transcendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Transcendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Transcendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Transcendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Transcendent Group
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
Transcendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
Transcendent Group
 

Viewers also liked (20)

Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0
 
Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)
 
CRO:n mitt i GRC
CRO:n mitt i GRCCRO:n mitt i GRC
CRO:n mitt i GRC
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 

Similar to Input till it risker i internrevisorns riskanalys

Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
 
IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjare
Transcendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Transcendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
Transcendent Group
 
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningIT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
Thomas Norlin
 
Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018
Leif Andersson
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
Transcendent Group
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning
Pontus Wadström
 
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit
 
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptx
Advania
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
Rolf Häsänen
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Transcendent Group
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringE-delegationen
 
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM Sverige
 

Similar to Input till it risker i internrevisorns riskanalys (20)

Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjare
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
 
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningIT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
 
Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning
 
Nätverksmöte080925
Nätverksmöte080925Nätverksmöte080925
Nätverksmöte080925
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
 
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptx
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
 
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!
 

More from Transcendent Group

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
Transcendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Transcendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Transcendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Transcendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Transcendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Transcendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Transcendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
Transcendent Group
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
Transcendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
Transcendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
Transcendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Transcendent Group
 

More from Transcendent Group (17)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 

Input till it risker i internrevisorns riskanalys

  • 1. Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015
  • 2. Agenda • Tillvägagångssätt för att identifiera IT-relaterade risker. • Exempel på olika typer av IT- relaterade granskningar. ©TranscendentGroupSverigeAB2015
  • 3. Om mig • partner på Transcendent Group • tjänsteområdesansvarig IT- revision • 14 års arbetslivserfarenhet som IT-revisor och rådgivare ©TranscendentGroupSverigeAB2015
  • 6. Synsätt IT som affärsmöjliggörare IT risker är affärsrisker ©TranscendentGroupSverigeAB2014
  • 7. Vad driver risk? • Accelerande teknisk utveckling ökar kraven på tillgänglighet. • Informationsteknologi används vid utveckling av produkter och tjänster samt skapar förutsättningar för effektivisering och kostnadsbesparingar. • Företag integrerar i allt större utsträckning befintlig IT- infrastruktur och informationsutbyte med kunder, leverantörer och samarbetspartners. • Ökad grad av regelefterlevnad och avtalade kundkrav. • Informationsteknologi (IT) är en möjliggörare (business enabler) för att utveckla företag och organisationer. ©TranscendentGroupSverigeAB2015
  • 8. Teknikutveckling • Molnbaserade tjänster och virtualisering • Cyber Crime och Cyber Security (Internet) • Penetrationstester och sårbarhetsanalyser (scenarion) • BYOD – Bring Your Own Device (smarta mobiltelefoner) • Big Data (stora datamängder vid insamling, hantering och lagring) ©TranscendentGroupSverigeAB2015
  • 9. Risk universe • Styrning och ledning • Organisation • Processer • Teknologi ©TranscendentGroupSverigeAB2015
  • 10. Input till att identifiera IT-risker • Affärsmål och strategier • IT-strategi • IT-ledningsgrupp • Incidenter • Projekt • Utförda riskanalyser • Organisation • Revisionsutskott • Tidigare års observationer (IR/ER) • Lagar och förordningar • Kundavtal • Teknikutveckling • Utvecklingsbudget och förvaltningsplaner ©TranscendentGroupSverigeAB2015
  • 11. Skapa förståelse för IT • Styrning och ledning av IT. • Förstå organisation (inklusive roller och ansvar). • Förstå drift/utveckling/ förvaltning. • Teknik • Verksamhetens beroende av IT • Outsourcing • Externa leverantörer ©TranscendentGroupSverigeAB2015
  • 12. Komplex IT-miljö • Transaktionsintensitet (realtid vs. batchjobb) • Antal applikationer • IT-infrastruktur • Standardsystem vs. egenutvecklade • Antal användare • Pågående och planerade projekt • Incidenter • Vilka processer stöder de • Beroenden (input – output) • Drift och förvaltning • Kompetens ©TranscendentGroupSverigeAB2015
  • 13. IT-riskområden ©TranscendentGroupSverigeAB2015 IT Riskområden IT-styrning Informations- säkerhet Incident- hantering Regel efter- levnad Datakvalitet Infrastruktur Outsourcing Kontinuitets- planering Utveckling av IT-system Mobil säkerhet Leverantörs- styrning Drift och förvaltning IT-säkerhet Policies och riktlinjer Projekt- hantering Fysisk säkerhet Licens hantering Säkerhet i molnet BYOD Cyber Security Säkerhet i applikationer Social media
  • 14. Informationssäkerhet ©TranscendentGroupSverigeAB2015 Informations- säkerhet 3. incidenter 4. styrning och uppföljning 5. strategi och inriktning 6. policy och riktlinjer 8. kontrakterade tredje parter 9. Styrning och administration av behörigheter 10. organisation (roller och ansvar) 11. utbildning 13. informations- klassificering 12. riskanalyser 2. krav enligt lagar och förordningar 7. budget
  • 15. Riskområde: informationssäkerhet • Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv. Varför är detta område väsentligt? • Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet. • Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön. • Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner. Identifierade risker att beakta • Granskning av behörighetsrutiner och styrning av åtkomst • Granskning av en korrekt ansvarsfördelning (segregation of duties) • Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd. • Granskning av rutiner och kontroller för loggning av information. Förslag till granskningsåtgärder ©TranscendentGroupSverigeAB2015
  • 16. Trender IT-risker för banksektorn Digitalisering (webb och mobila kanaler) Mobila betalningar Regelefterlevnad (Basel 3, GDPR) IT-infrastruktur Cybersäkerhet Big Data ©TranscendentGroupSverigeAB2014 Riskområden
  • 17. Prioriterade granskningar i 2015 års revisionsplan ©TranscendentGroupSverigeAB2015 Verksamhets- område Identifierade risker Risk Mapp Nr. Potentiell konsekvens / effekt av risk Granskningsåtgärd xx • aa • aa • bb • cc 1 • ss • xx • ss • ss • Zz • Xx • xx • ss • ss yy • ww • dd • cc • ss 2,3,4 • ee • ss • ss • ss • dd • rr • ww zz • zz • zz • zz 5 • zz • xx • zz(
  • 18. Konsoliderad risk karta – topp fem operationella risk områden ©TranscendentGroupSverigeAB2015 Förväntad (4) Trolig (3) Osannolikt (1) Potentiell (2) Hög (3) Kritiskt (4) Begränsad (2) Sannolikhet Påverkan 1a xx xx 1b yy zz tt 3. Lagar och förordningar xx 2. Informations- säkerhet cc 4. dd ff 5. gg kk Väsentlig (4)
  • 19. Input till IT-risker Identifierade risker och scenarion Förslag på granskningsåtgärder Flertalet kritiska projekt levereras inte enligt våra förväntningar (tid, kvalitet, kostnader) • Granskning av specifika project. • Pre- och post-implementations review av system. • Granskning av faktiska nyttoeffekter med investeringar i IT. Risk för att IT ej möter upprättade affärsmål och strategier på kort och lång sikt • Granskning av IT-strategi och styrningsmodell. • Granskning av rutiner för incidenthantering. Brister i styrning och uppföljnig av leverans från kontrakterade tredjeparter (outsourcing)? • Granskning av utkontrakterade tjänster hos tredje part. • Avtalsgranskning Risk för brister inom informationssäkerhet • Granskning av styrning och ledning av informationssäkerhet. • Granskning efterlevnad av styrande dokument (exempelvis ISO 27001). • Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A). • Applikationsgranskningar. Risk för obehörig åtkomst till kritisk information • Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst • Segregation of Duties • Granskning av rutiner för hantering av logginformation ©TranscendentGroupSverigeAB2015
  • 20. Identifierade risker Förslag på granskningsåtgärder Risk för väsentliga avbrott i vår verksamhet • Granskning av kontinuitetshantering • Granskning av katastrofplaner för IT (disaster recovery). • Granskning av utkontrakterade tjänster till tredje part Ökade IT-kostnader • Granskning av IT-kostnader. • Granskning av licenshantering Risk för externa intrång och åtkomst till kritisk kunddata • Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser. • Genomförandet av penetretionstester. Risk för bristande kvalitet i utvecklingsprocess • Granskning av rutiner och kontroller för systemutveckling och förändringshantering. Input till IT-risker ©TranscendentGroupSverigeAB2015
  • 21. Input till IT-risker ©TranscendentGroupSverigeAB2015 Område Risker IT-strategi • IT-strategi är ej formaliserad och implementerad i koncernen. • Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten. • Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering. • Det saknas en tydlig koppling mot definierade affärsmål och strategier. • IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp. • IT är ej representerat i ledningsgruppen. Styrning och ledning • Avsaknad av ett ramverk för IT styrning (IT governance framework). • Styrande forum är ej effektiva i sin utformning och genomförande. • Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin. • Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker). • Det finns ingen process för regelbunden kvalitetsuppföljning av IT- leveranser. • Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.
  • 22. Område Risker Informationssäkerhet • Det finns inte en upprättad och implementerad strategi för informationssäkerhet. • Otydlighet kring styrning och ledning av informationssäkerhet. • Ökad grad av rapporterade incidenter kopplat till informationssäkerhet. • Avsaknad av rutiner för genomförande av riskanalyser (inklusive hot- och sårbarhetsanalyser). • Bristfällig kontroll över administratörsrättigheter. • Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system. • Brister i efterlevnad av regulatoriska krav. Input till IT-risker ©TranscendentGroupSverigeAB2015