IT-revisorns angreppsätt till

BCM

Daniel Gräntz

20 maj, GRC 2015

Agenda

• Revision av BCM

• IT:s del i kontinuitetshantering

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Om mig

• partner på Transcendent Group

• tjänsteområdesansvarig IT-

revision

• 14 års arbetslivserfarenhet som

IT-revisor och rådgivare

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Risker

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Revision

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Inriktning och omfattning

• Vilka väsentliga risker skall vår revision adressera?

• Vad är det jag som revisor skall uttala mig om när det gäller

kontinuitetshantering?

• Vilken kompetens behövs för att kunna utföra en granskning av

kontinuitetshantering?

• Hur lång tid tar det att genomföra en granskning av

kontinuitetshantering?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Uppslag till granskning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Efterlevnad av BCP- policy

Analys

Design

Genomförande

Projektgranskning

Granskning av en kontinuitetsplan

Uppslag till granskning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Planering

Utföra

Analays

Granskning av datacenter

Granskning av utförda tester

Granskning av kontrakterad tredje part

Teknikutveckling…

• Virtualisering av servrar och klienter (kraftfull serverhårdvara och mjukvara)

• Molnbaserade tjänster (tillhandahållandet av IT-tjänster över Internet

• BYOD (smarta telefoner)

• Sociala medier

• Big Data

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Definitioner

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Begrepp

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Katastrofplan

Kontinuitets

planering

Reservrutiner

Avbrottsplan

Kontinuitets

plan

Plan för

återställning

Krisplan

Kontinuitets

hantering

Återställning

splaner

Incident

hantering

Krishantering

Definition kontinuitetsplanering

• Kontinuitetsplanering är en metod för att säkerställa företagets leveransförmåga genom att planera för fortsatt verksamhet vid förlust av operativ förmåga. Det vill säga att trots avbrott kunna leverera de tjänster och produkter som är viktigast för företaget och dess kunder.

• Enligt ISO/IEC 27000 standardens definition av begreppet kontinuitetsplanering så är det företagets verksamhet i kontinuitet som ska säkerställas. En kontinuitetsplan innefattar således mer än en kontinuitetsplan för företagets IT-verksamhet.

• Det övergripande målet med kontinuitetshantering är att minska konsekvenserna av avbrott och avbrottstiderna där målsättningen i förlängningen är att skydda organisationens intressenter, rykte, varumärke och värdeskapande aktiviteter.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Kontinuitetshantering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

OutputInput Process

Personal IT 3e part

Lokaler Data

Analys av

affärs-

konsekvenser

Test av planVal av strategi

och lösning

Kritiska

processer,

tjänster och

funktioner

Kontinuitetshantering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

BCM

Upprätta

planer

Utbildning

och underhåll

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Act

Granskning av ledning

Förbättring

Krav från verksamheten

Identifiera gap

DataIT beredskaps och återställnings-plan

Mätning av prestanda

Förståelse för kritiska IT-tjänster och IT-kontinuitetskrav

IT kontinuitets policy/styr-dokument

Konsekvens-analys

Leverantörer

Kriterier för uppföljning avIT beredskap

Lokaler

Krav på resiliens

Förmåga och kunskap

Teknik

Kultur, Kompetens och utbildnings-program

Dokument-kontroll

IT kontinuitets-process

Implementering IT strategier

Test och övning

Intern och extern revision och granskning

Bevakning, upptäckt och analys av hotbild

Skapa IT

kontinuitets-

strategi

IT kontinuitetsplan

sammanställning,

underhåll och

implementation

Uppföljning och

utvärdering

Löpande

Årlig uppföljning

Plan Do Check

ISO27031

Kontinuitetskomponenter

Ko

nti

nuit

etss

teg

Konsekvensanalys

och riskbedömning

Processer Människor Lokaler

IT &

Infra-

struktur

Strategi

Kontinuitetsplan

Test och övningar

Medvetenhet och

kultur

Underhåll och

hantering

Kontinuitetsramverk IT leverans Önskat

resultat

IT hantering

och

återställning

IT risk-

reducering

och kontroll

Ro

busth

etISO27031:2011

Hur kommer då IT in i bilden?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Utgångspunkt

• Organisationens affärs- och verksamhetsmål

• Identifiera affärskritiska processer (och infrastruktur) som stöder våra mål

• Bryter ned kritiska processer i kritiska aktiviteter

• Identifierar interna och externa resurser som behövs för att utföra aktiviteter (ex. personal, lokal, IT-system, leverantörer).

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

• Definiera maximala tillåtna avbrottstiden för kritiska aktiviteter och effekten av dessa

• Definiera mål för återställningstid som ställs på respektive resurs.

• Definiera krav för tillgänglighet av data för att medge funktionalitet i den kritiska aktiviteten

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Kravställning

RECOVERY TIME OF

OBJECTIVEC

RECOVERY POINT OF

OBJECTIVECC

Inventera de resurser som identifierats av verksamheten

och som har en direkt koppling till IT-verksamheten Ingångsvärde för IT

Kontinuitetshantering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Produktion

OrdermottagningUtplock lager -

TOLogistikGodsmottagning Reklamation

Process

IT-system Fabrik Personal Leverantörer

Fabrik IT-infrastruktur Personal ElLeverantörerDatahall

Aktivitet

Resurs

IT-resurs

BIA

MTPD

RPO

RTO

Riskanalys

Konsekvensbedömning

Tillgänglighetskrav

Erfarenheter från granskningarFokus på IT

• Informationsflöden och beroenden är oftast bristfälligt dokumenterade (input – bearbetning – output)

• Befintligt IT-miljö är ej dokumenterad (IT-infrastruktur, datahallar, nätverk, telekom) – kan medföra svårigheter i att identifiera IT-resurser

• Affärskonsekvensanalyser är begränsade i sin omfattning

• Genomförda affärskonsekvensanalyser (BIA) kopplas ej till krav avseende RPO och RTO. BIA kan utgöra grund för kravställandet av servicenivåer (SLA) för resurser.

• Konsekvensanalyser och riskbedömningar för IT-resurser är bristfälligt dokumenterade och ofta begränsade till applikationer. IT-resurser kan grupperas utifrån lokaler, leverantör, teknik, personal och kompetens*

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

* ISO 27031

Erfarenheter från granskningarFokus på IT

• IT-resurser är ej tydligt kopplade till affärskritiska processer, aktiviteter och resurser.

• Kontinuitetstrategier bör utgå från identifierade kritiska IT-resurser och bör vara grupperade (ta del av eventuell tjänstekatalog inom IT)

• Outsourcing kan vara ett alternativ för att lösa krav på tillgänglighet (eg. maximala avbrottstider) och då blir upprättat avtal väsentligt.

• IT bör ta fram reserv-, återställnings- och återgångsrutiner för kritiska IT-resurser

• Scenarioanalyser för att upprätthålla IT-kontinuitet av kritiska resurser kan vara ett effektivt arbetssätt

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

* ISO 27031

Kontinuitetsplan (BCP)Återställa verksamheten

• Syfte, mål, omfattning och målgrupp

• Referenser (ex. BCP Policy, verksamhetsplaner, affärskonsekvensanalyser)

• Förutsättningar för aktivering och inaktivering av plan

• Roller och ansvarsområden (kommunikation med media, aktivering av plan)

• Kontaktuppgifter

• Fysiska lokaler och alternativa arbetsplatser

• Maximala avbrottstider per aktivitet (RTO)

• Reservrutiner per aktivitet (infrastruktur, system, personal, information)

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Kontinuitetsplan (DRP)Plan för att återställa IT-infrastruktur

• Syfte, mål, omfattning och målgrupp

• Referenser (ex. BCP, Policy mm.)

• Beskrivning av IT-miljön (IT-infrastruktur, datahallar, nätverk, telekom)

• Identifierade IT-resurser för verksamhetskritiska processer och aktiviteter (ex. teknik, personal, lokal, leverantör)

• Roller och ansvarsområden (kommunikation med media, aktivering av plan)

• Reserv-, återställnings- och återgångsrutiner för kritiska IT-resurser

• Kontaktuppgifter

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

DRP

Återställningsplaner för

• Nätverk (WAN, LAN)

• Telefoni

• Personal

• Hårdvara (inkl. avtal med leverantör)

• Säkerhetskopiering (frekvens, lagring, återläsning)

• Plattform och operativsystem

• Databaser

• Applikationer

• Datahall och reservarbetsplatser

• CMDB (konfiguration och dokumentation)

• Help desk

• Utvecklingsverktyg

• Skrivare

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Standarder

• Förordningen (2006:942) om krisberedskap och höjd beredskap

• SS-EN ISO 22300:2014 Samhällsäkerhet - Terminologi (ISO 22300:2012)

• SS-EN ISO 22301:2014 Samhällssäkerhet - Ledningssystem för kontinuitet – Krav

• SS 22304:2014 Samhällssäkerhet Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301

• SS-EN ISO 22313:2014 Samhällssäkerhet - Ledningssystem för kontinuitet - Riktlinjer(ISO 22313:2012)

• ISO/TDS 22317 Societal security -- Business continuity management systems -- Business impact analysis (BIA)

• SS-ISO 22398:2013 Samhällssäkerhet - Vägledning för övningar (ISO 22398:2013, IDT)

• SS-ISO 22397:2014 Samhällssäkerhet - Vägledning för att upprätta privat-offentligsamverkan (ISO 22397:2014, IDT)

• ISO 27031 – Guidelines for information and communication technology readiness for business continuity

• Finansinspektionen FFFS 2014:4

• EBA: GL 44

• BITS

• COSO

• ITIL

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

www.transcendentgroup.com