IKT-sikkerhet: tilgangsstyring, utkontraktering og policy for digital forsvarsevne

Tegn på problem

• Brukere har tilgang til revisjonsfiler eller -systemer utover det som kreves av arbeidsoppgavene (brudd på minste-privilegs-prinsippet)
• Ingen periodisk gjennomgang eller logg over tildelte tilganger i revisjons- eller regnskapsverktøyet
• Utkontrakteringsavtaler (f.eks. sky- eller driftstjenester) mangler krav til IKT-sikkerhet, revisjon eller hendelsesrapportering
• Ingen dokumentert risikovurdering av IKT-risiko ved valg av underleverandør eller skytjeneste
• Virksomheten mangler en skriftlig policy for IT-sikkerhet, digital forsvarsevne eller rammeverk for penetrasjonstesting
• Penetrasjonstester er ikke gjennomført eller planlagt, og det finnes ingen metodikk eller frekvenskrav for slike tester

Forebyggende tiltak

• Gjennomfør halvårlig tilgangsgjennomgang i alle revisjons- og regnskapsverktøy og dokumenter resultatet i risikovurderingen
• Implementer rollebasert tilgangsstyring (RBAC) med prinsippet om minste privilegium som standard
• Etabler og vedlikehold en skriftlig IKT-sikkerhetspolicy som inkluderer digital forsvarsevne, ansvarsfordeling og rammeverk for penetrasjonstesting
• Definer krav til minimumsfrekvens for penetrasjonstester (f.eks. årlig) og dokumenter funn og oppfølging
• Innta standardiserte IKT-sikkerhetskrav i alle utkontrakteringsavtaler, inkludert krav om revisjonsrett, hendelsesvarsel og SLA for gjenoppretting
• Inkluder vurdering av IKT-risiko ved utkontraktering som et fast punkt i foretakets løpende risikovurderingsprosess, jf. ISQC 1

Relevante tilsynsrapporter

Hjemler