IT-revisorns angreppsätt till
BCM
Daniel Gräntz
20 maj, GRC 2015
Agenda
• Revision av BCM
• IT:s del i kontinuitetshantering
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Om mig
• partner på Transcendent Group
• tjänsteområdesansvarig IT-
revision
• 14 års arbetslivserfarenhet som
IT-revisor och rådgivare
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Risker
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Revision
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Inriktning och omfattning
• Vilka väsentliga risker skall vår revision adressera?
• Vad är det jag som revisor skall uttala mig om när det gäller
kontinuitetshantering?
• Vilken kompetens behövs för att kunna utföra en granskning av
kontinuitetshantering?
• Hur lång tid tar det att genomföra en granskning av
kontinuitetshantering?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Uppslag till granskning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Efterlevnad av BCP- policy
Analys
Design
Genomförande
Projektgranskning
Granskning av en kontinuitetsplan
Uppslag till granskning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Planering
Utföra
Analays
Granskning av datacenter
Granskning av utförda tester
Granskning av kontrakterad tredje part
Teknikutveckling…
• Virtualisering av servrar och klienter (kraftfull serverhårdvara och mjukvara)
• Molnbaserade tjänster (tillhandahållandet av IT-tjänster över Internet
• BYOD (smarta telefoner)
• Sociala medier
• Big Data
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Definitioner
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Begrepp
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Katastrofplan
Kontinuitets
planering
Reservrutiner
Avbrottsplan
Kontinuitets
plan
Plan för
återställning
Krisplan
Kontinuitets
hantering
Återställning
splaner
Incident
hantering
Krishantering
Definition kontinuitetsplanering
• Kontinuitetsplanering är en metod för att säkerställa företagets leveransförmåga genom att planera för fortsatt verksamhet vid förlust av operativ förmåga. Det vill säga att trots avbrott kunna leverera de tjänster och produkter som är viktigast för företaget och dess kunder.
• Enligt ISO/IEC 27000 standardens definition av begreppet kontinuitetsplanering så är det företagets verksamhet i kontinuitet som ska säkerställas. En kontinuitetsplan innefattar således mer än en kontinuitetsplan för företagets IT-verksamhet.
• Det övergripande målet med kontinuitetshantering är att minska konsekvenserna av avbrott och avbrottstiderna där målsättningen i förlängningen är att skydda organisationens intressenter, rykte, varumärke och värdeskapande aktiviteter.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kontinuitetshantering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
OutputInput Process
Personal IT 3e part
Lokaler Data
Analys av
affärs-
konsekvenser
Test av planVal av strategi
och lösning
Kritiska
processer,
tjänster och
funktioner
Kontinuitetshantering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
BCM
Upprätta
planer
Utbildning
och underhåll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Act
Granskning av ledning
Förbättring
Krav från verksamheten
Identifiera gap
DataIT beredskaps och återställnings-plan
Mätning av prestanda
Förståelse för kritiska IT-tjänster och IT-kontinuitetskrav
IT kontinuitets policy/styr-dokument
Konsekvens-analys
Leverantörer
Kriterier för uppföljning avIT beredskap
Lokaler
Krav på resiliens
Förmåga och kunskap
Teknik
Kultur, Kompetens och utbildnings-program
Dokument-kontroll
IT kontinuitets-process
Implementering IT strategier
Test och övning
Intern och extern revision och granskning
Bevakning, upptäckt och analys av hotbild
Skapa IT
kontinuitets-
strategi
IT kontinuitetsplan
sammanställning,
underhåll och
implementation
Uppföljning och
utvärdering
Löpande
Årlig uppföljning
Plan Do Check
ISO27031
Kontinuitetskomponenter
Ko
nti
nuit
etss
teg
Konsekvensanalys
och riskbedömning
Processer Människor Lokaler
IT &
Infra-
struktur
Strategi
Kontinuitetsplan
Test och övningar
Medvetenhet och
kultur
Underhåll och
hantering
Kontinuitetsramverk IT leverans Önskat
resultat
IT hantering
och
återställning
IT risk-
reducering
och kontroll
Ro
busth
etISO27031:2011
Hur kommer då IT in i bilden?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utgångspunkt
• Organisationens affärs- och verksamhetsmål
• Identifiera affärskritiska processer (och infrastruktur) som stöder våra mål
• Bryter ned kritiska processer i kritiska aktiviteter
• Identifierar interna och externa resurser som behövs för att utföra aktiviteter (ex. personal, lokal, IT-system, leverantörer).
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
• Definiera maximala tillåtna avbrottstiden för kritiska aktiviteter och effekten av dessa
• Definiera mål för återställningstid som ställs på respektive resurs.
• Definiera krav för tillgänglighet av data för att medge funktionalitet i den kritiska aktiviteten
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
Kravställning
RECOVERY TIME OF
OBJECTIVEC
RECOVERY POINT OF
OBJECTIVECC
Inventera de resurser som identifierats av verksamheten
och som har en direkt koppling till IT-verksamheten Ingångsvärde för IT
Kontinuitetshantering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Produktion
OrdermottagningUtplock lager -
TOLogistikGodsmottagning Reklamation
Process
IT-system Fabrik Personal Leverantörer
Fabrik IT-infrastruktur Personal ElLeverantörerDatahall
Aktivitet
Resurs
IT-resurs
BIA
MTPD
RPO
RTO
Riskanalys
Konsekvensbedömning
Tillgänglighetskrav
Erfarenheter från granskningarFokus på IT
• Informationsflöden och beroenden är oftast bristfälligt dokumenterade (input – bearbetning – output)
• Befintligt IT-miljö är ej dokumenterad (IT-infrastruktur, datahallar, nätverk, telekom) – kan medföra svårigheter i att identifiera IT-resurser
• Affärskonsekvensanalyser är begränsade i sin omfattning
• Genomförda affärskonsekvensanalyser (BIA) kopplas ej till krav avseende RPO och RTO. BIA kan utgöra grund för kravställandet av servicenivåer (SLA) för resurser.
• Konsekvensanalyser och riskbedömningar för IT-resurser är bristfälligt dokumenterade och ofta begränsade till applikationer. IT-resurser kan grupperas utifrån lokaler, leverantör, teknik, personal och kompetens*
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
* ISO 27031
Erfarenheter från granskningarFokus på IT
• IT-resurser är ej tydligt kopplade till affärskritiska processer, aktiviteter och resurser.
• Kontinuitetstrategier bör utgå från identifierade kritiska IT-resurser och bör vara grupperade (ta del av eventuell tjänstekatalog inom IT)
• Outsourcing kan vara ett alternativ för att lösa krav på tillgänglighet (eg. maximala avbrottstider) och då blir upprättat avtal väsentligt.
• IT bör ta fram reserv-, återställnings- och återgångsrutiner för kritiska IT-resurser
• Scenarioanalyser för att upprätthålla IT-kontinuitet av kritiska resurser kan vara ett effektivt arbetssätt
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
* ISO 27031
Kontinuitetsplan (BCP)Återställa verksamheten
• Syfte, mål, omfattning och målgrupp
• Referenser (ex. BCP Policy, verksamhetsplaner, affärskonsekvensanalyser)
• Förutsättningar för aktivering och inaktivering av plan
• Roller och ansvarsområden (kommunikation med media, aktivering av plan)
• Kontaktuppgifter
• Fysiska lokaler och alternativa arbetsplatser
• Maximala avbrottstider per aktivitet (RTO)
• Reservrutiner per aktivitet (infrastruktur, system, personal, information)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kontinuitetsplan (DRP)Plan för att återställa IT-infrastruktur
• Syfte, mål, omfattning och målgrupp
• Referenser (ex. BCP, Policy mm.)
• Beskrivning av IT-miljön (IT-infrastruktur, datahallar, nätverk, telekom)
• Identifierade IT-resurser för verksamhetskritiska processer och aktiviteter (ex. teknik, personal, lokal, leverantör)
• Roller och ansvarsområden (kommunikation med media, aktivering av plan)
• Reserv-, återställnings- och återgångsrutiner för kritiska IT-resurser
• Kontaktuppgifter
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
DRP
Återställningsplaner för
• Nätverk (WAN, LAN)
• Telefoni
• Personal
• Hårdvara (inkl. avtal med leverantör)
• Säkerhetskopiering (frekvens, lagring, återläsning)
• Plattform och operativsystem
• Databaser
• Applikationer
• Datahall och reservarbetsplatser
• CMDB (konfiguration och dokumentation)
• Help desk
• Utvecklingsverktyg
• Skrivare
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Standarder
• Förordningen (2006:942) om krisberedskap och höjd beredskap
• SS-EN ISO 22300:2014 Samhällsäkerhet - Terminologi (ISO 22300:2012)
• SS-EN ISO 22301:2014 Samhällssäkerhet - Ledningssystem för kontinuitet – Krav
• SS 22304:2014 Samhällssäkerhet Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301
• SS-EN ISO 22313:2014 Samhällssäkerhet - Ledningssystem för kontinuitet - Riktlinjer(ISO 22313:2012)
• ISO/TDS 22317 Societal security -- Business continuity management systems -- Business impact analysis (BIA)
• SS-ISO 22398:2013 Samhällssäkerhet - Vägledning för övningar (ISO 22398:2013, IDT)
• SS-ISO 22397:2014 Samhällssäkerhet - Vägledning för att upprätta privat-offentligsamverkan (ISO 22397:2014, IDT)
• ISO 27031 – Guidelines for information and communication technology readiness for business continuity
• Finansinspektionen FFFS 2014:4
• EBA: GL 44
• BITS
• COSO
• ITIL
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
www.transcendentgroup.com
Top Related