IT-sikkerhedsstyring i finansielle virksomheder

IT-inspektion

Denne beskrivelse har til formål at give et generelt indblik i nogle af de centrale elementer, som Finanstilsynet har fokus på ved IT-inspektioner i finansielle virksomheder og datacentraler.

Den teknologiske og samfundsmæssige udvikling på IT-området samt afhængigheden af en sikker og stabil drift stiller i stigende grad krav til virksomhedernes ledelsesstyring på IT-området. Finanstilsynets IT-inspektioner har derfor øget fokus på den grundlæggende IT-sikkerhedsstyring, hvor en effektiv og gennemsigtig risikostyring er central for virksomhederne og deres muligheder for løbende at kunne tilpasse sig krav og forventninger.

Finanstilsynet tilrettelægger IT-inspektionerne ud fra en konkret vurdering af risiko og væsentlighed i hvert enkelt tilfælde. Fokusområderne bliver tilpasset og justeret i forhold til virksomhedernes størrelse, IT-anvendelse og væsentlighed for den finansielle sektor.

Lovgivningen på IT-området

Et hovedformål med den finansielle lovgivning er at sikre den finansielle stabilitet og tillid til de finansielle virksomheder og markeder. Lovgivningen indeholder en række krav til finansielle virksomheder, som skal imødekomme dette. Kravene skal sikre, at virksomhederne bliver drevet på en måde, så kunderne kan have tiltro til, at deres midler bliver behandlet forsvarligt, og så virksomhederne ikke lider tab som følge af misbrug og kriminalitet. Den finansielle lovgivnings krav til IT-sikkerhed skal ses på denne baggrund.

Finanstilsynets IT-inspektioner har altså bl.a. til formål at sikre, at lovgivningens krav er overholdt. På baggrund af Finanstilsynets risikobetragtning og virksomhedens egen målsætning, risikoprofil mv., vurderer Finanstilsynet, om virksomheden har taget stilling til relevante IT-sikkerhedsforhold og etableret betryggende kontrol- og sikringsforanstaltninger på området.

En finansiel virksomhed skal have etableret effektiv virksomhedsstyring, herunder betryggende kontrol- og sikringsforanstaltninger på IT-området, jf. § 71 i lov om finansiel virksomhed. Kravene er nærmere udmøntet i bilagene om IT-sikkerhed i ledelsesbekendtgørelserne1.

IT-sikkerheds- og ledelsesstyring

Bilagene om IT-sikkerhed i Finanstilsynets ledelsesbekendtgørelser beskriver grundlæggende den procesmæssige tilgang til IT-sikkerhedsstyring, som Finanstilsynet forventer, at virksomhederne har etableret. Den enkelte virksomheds bestyrelse skal beslutte en IT-sikkerhedspolitik, der ud fra den ønskede risikoprofil skal tage stilling til alle væsentlige forhold vedrørende IT-sikkerhed. Det afhænger bl.a. af virksomhedens størrelse samt omfanget og kompleksiteten af dens IT-anvendelse, hvad der er væsentligt.

Virksomhedens direktion er ansvarlig for, at den IT-sikkerhedspolitik, der er besluttet af bestyrelsen, bliver uddybet i procedurer m.v. og efterlevet konkret. Direktionen skal dermed sikre, at virksomheden har implementeret tilstrækkelige kontrol- og sikringsforanstaltninger til at efterleve de gældende krav til IT-anvendelsen, herunder de politikker og retningslinjer, som er besluttet af bestyrelsen.

IT-sikkerhed bliver mere og mere central for den enkelte virksomhed, bl.a. som følge af den øgede IT-afhængighed og samfundsmæssige og teknologiske udvikling. Det stiller stadigt større krav til øget præcisering og forventningsafstemning til direktionen. En klart defineret opgave- og ansvarsfordeling mellem bestyrelse og direktion er et bærende element i IT-sikkerhedsstyringen og i ledelsesbekendtgørelsen.

Finanstilsynet ser et stigende behov for, at krav og forventninger til direktionen i relation til IT i højere grad bliver præciseret og dokumenteret. Bestyrelsen skal desuden sikre sig, at den har tilstrækkelige kompetencer til at udfordre og forholde sig til direktionens vurderinger af IT-risici, politikker mv., og at der er klare retningslinjer for, hvornår bestyrelsen skal orienteres eller involveres i beslutninger.

Bestyrelsens opgave i forbindelse med virksomhedens IT-sikkerhedsstyring er bl.a. at sikre, at virksomheden udarbejder en IT-sikkerhedspolitik, som tager stilling til væsentlige IT-forhold. IT-sikkerhedspolitikken tager afsæt i den ønskede risikoprofil på IT-området. Målsætninger og IT-politikker, som underbygger IT-sikkerhedsstyringen, skal løbende revurderes og tilpasses på baggrund af ændringer i IT-risikobilledet. Bestyrelsens indsigt i og evne til at forholde sig til trusler og forretningsmæssige IT-risici er en væsentlig forudsætning for dette.

Det er Finanstilsynets erfaring, at materialet, som bestyrelsen får forelagt, i flere tilfælde ikke er veldokumenteret. Det medfører en risiko for, at bestyrelsen træffer beslutninger på et ikke-retvisende eller ufuldstændigt grundlag. Finanstilsynet ser derfor generelt et behov for, at bestyrelsen aktivt forholder sig til IT-sikkerhedsrapporteringerne, og at bestyrelsen udfordrer og forholder sig kritisk til direktionens og IT-afdelingens vurderinger og beslutninger. Grundlæggende adskiller bestyrelsens opgave sig på dette område ikke fra andre områder som eksempelvis kreditområdet i et pengeinstitut.

Direktionen skal sikre, at de krav og målsætninger, som er vedtaget af bestyrelsen, bliver tilstrækkeligt uddybet i procedurer, forretningsgange og instrukser mv. Direktionen skal også sikre, at de er implementeret og fungerer effektivt på tværs af virksomheden og dens væsentlige outsourcing-leverandører.

Finanstilsynet vurderer, at ledelsesopfølgningen og ledelsesrapporteringen igennem de enkelte ledelseslag er centrale elementer i IT-sikkerhedsstyringen. Ledelsesopfølgningen og -rapporteringen skal bl.a. leve op til følgende krav:

  • Tilstrækkeligt dokumenteret med afsæt i en fastlagt metode.

  • Tilstrækkeligt gennemsigtige til at kunne underbygge direktionens vurdering af, hvor effektive de interne IT-sikkerhedsbestemmelser og sikringsforanstaltninger fungerer.

  • Synligøre, hvordan IT-risici er imødegået i forhold til it-risikostyringen, forventningerne og de stillede krav.

Der skal være en klar sammenhæng mellem resultaterne fra ledelsesopfølgningen og rapporteringen, til bestyrelsesrapporteringen, så bestyrelsen kan opnå tilstrækkelig indsigt i metoden og dokumentationsgrundlaget for direktionens centrale vurderinger og beslutninger, som fremgår af bestyrelsesrapporteringen.

Finanstilsynet har i den forbindelse fokus på, at virksomheden på en struktureret, dokumenteret og gennemsigtig måde formår at sikre, at:

  • der på alle relevante områder er etableret dokumenterede forretningsgange, procedurer, instrukser mv.

  • de etablerede kontroller er beskrevet og synliggjort på baggrund af de risici, som de enkelte foranstaltninger skal imødegå. Ledelsen skal følge op på, i hvilket omfang politikker, forretningsgange og kontroller er implementeret, fungerer effektivt og imødegår IT-risici som forventet på alle relevante områder. Desuden skal ledelsesopfølgningen sikre, at resultat, rettidighed og fuldstændighed i udførelsen af virksomhedens forretningsgange og kontrol- og sikringsforanstaltninger bliver vurderet.

En effektiv IT-risikostyring, hvor IT-risici er gjort tilstrækkeligt synlige er en væsentlig forudsætning for at kunne etablere en effektiv og veldokumenteret IT-sikkerhedsstyring på tværs af virksomheden. IT-risikostyringen skal løbende sikre, at identificerede risici, trusler og sårbarheder bliver vurderet og håndteret. Den skal desuden sikre, at virksomheden løbende justerer og tilpasser sine kontrol- og sikringsforanstaltninger.

Finanstilsynet har derfor fokus på, at metoden for IT-risikostyring er formaliseret. Den skal bl.a. sikre, at virksomheden i tilstrækkeligt omfang formår at udarbejde dokumenterede IT-risikoanalyser og vurderinger. De skal underbygge det samlede IT-risikobillede og indgå som beslutningsgrundlag for politikker, målsætninger og forbedringstiltag – og i sidste ende de samlede kontrol- og sikringsforanstaltninger.

Finanstilsynet ser på det samlede billede af, om direktionens arbejde med at identificere og imødegå IT-risici er tilstrækkeligt detaljeret. Metoden skal være dokumenteret og synliggjort, sådan at de enkelte vurderinger efterfølgende kan kvalitetssikres og efterprøves på en tilfredsstillende måde.

Finanstilsynet lægger i sin vurdering af virksomhedens IT-risikostyring bl.a. vægt på, at:

  • metoden for udarbejdelsen af IT-risikoanalyser og vurderinger er dokumenteret, sådan at de endelige vurderinger kan kvalitetssikres

  • eksterne og interne interessenter bliver inddraget (f.eks. sparring med IT-sikkerhedseksperter, forretningens funktioner mv.)

  • relevante trusler er synliggjort og IT-risici identificeret, bl.a. med udgangspunkt i tilgængelighed, fortrolighed og integritet. Finanstilsynet tager her hensyn til væsentlighed i forhold til virksomhedens systemiske vigtighed og kompleksiteten i virksomhedens IT-anvendelse

  • sammenhæng mellem risici og de etablerede imødegående tiltag er tydeligt dokumenteret

  • identificerede sårbarheder er synliggjort og vurderet i IT-risikoarbejdet på en måde, så konsekvensen og vurderingen af dem tydeligt fremgår af den samlede vurdering

  • virksomheden har vurderet, om dens politikker, forretningsgange samt kontrol- og sikringsforanstaltninger er tilstrækkelige og imødegår IT-risici. Den tilbageværende restrisiko skal være tilstrækkelig synliggjort.

Finanstilsynet vurderer i alle tilfælde, om virksomheden påtager sig højere IT-risici end acceptabelt. I den forbindelse sammenligner Finanstilsynet bl.a. med andre tilsvarende virksomheders praksis på området.

Virksomheder kan vælge at outsource deres IT-opgaver og processer mv., men ansvaret for opgaven kan ikke outsources. En virksomhed, som har valgt at outsource, skal bl.a. løbende føre kontrol med, at leverandøren efterlever forpligtelserne i kontrakten. Når outsourcing vedrører IT-funktioner, skal den outsourcende virksomhed have procedurer, retningslinjer og kontrolforanstaltninger, der sikrer, at leverandøren overholder virksomhedens IT-sikkerhedspolitik og sikkerhedsregler mv. Krav til regelmæssig kontrol og opfølgning skal fremgå af outsourcing-kontrakten.

IT-risikostyring er en væsentlig forudsætning for effektiv styring af og kontrol med kvaliteten af de outsourcede ydelser. De valgte kontrol- og opfølgningstiltag skal være dokumenteret og synliggjort ud fra IT-risikovurderinger, og virksomheden skal sikre, at de løbende bliver tilpasset ændringer i risikobilledet. 

Finanstilsynets IT-tilsyn opstiller en række forudsætninger for IT-outsourcing, som virksomheden skal tage stilling til og efterleve. Af væsentlige krav kan bl.a. nævnes:

  • Virksomheden foretager en risikovurdering og en vurdering af, om leverandøren kan efterleve de fastsatte krav, inden kontrakten bliver indgået. Virksomheden vurderer også, hvilke risici der er forbundet med den aktivitet, som man har valgt at outsource. Det skal efterfølgende være muligt at vurdere, om de implementerede kontrol- og sikringsforanstaltninger hos leverandøren er hensigtsmæssigt udformet. Virksomheden skal desuden være i stand til at præcisere krav og forventninger til leverandøren med afsæt i en risikobaseret tilgang.

  • Virksomheden kan dokumentere, at IT-sikkerheden ikke bliver forringet ved outsourcing af forretningsaktiviteterne.

  • Virksomheden foretager løbende ledelsesopfølgning, sådan at den kan være tilstrækkeligt overbevist om, at de aftalte IT-sikkerheds- og driftsopgaver mv. bliver betryggende udført.

  • Virksomheden efterlever outsourcingsbekendtgørelsen, også hvad angår de fastsatte krav til udformning af kontrakten.

En grundlæggende forudsætning for IT-outsourcing er, at den er omfattet af virksomhedens generelle IT-sikkerhedsstyring. Den må ikke forringe virksomhedens muligheder for at få indsigt i og føre kontrol med forhold, der direkte eller indirekte relaterer sig til den outsourcede aktivitet.

Virksomheden skal løbende rapportere til bestyrelsen, fordi det endelige ansvar for outsourcingsaktiviteten er placeret hos bestyrelsen. Krav og forventninger mellem direktionen og bestyrelsen skal derfor være tilstrækkeligt præciseret, dokumenteret og afstemt.

Yderligere krav er præciseret i bekendtgørelsen om outsourcing af væsentlige aktivitetsområder og tilhørende vejledning.

[1] Bilag 4 og 5 i henholdsvis bekendtgørelse om ledelse og styring af forsikringsselskaber m.v. og bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Senest opdateret 31-01-2017

Ordforklaring

Risici som følge af IT-anvendelsen

er bl.a. at identificere og synliggøre de aktuelle risici, og imødegående kontrol- og sikringsforanstaltninger, over for ledelsen og sikre, at virksomheden ikke påtager sig større risici end hvad der er acceptabelt. At medvirke til, at ressourcer kan prioriteres mest effektivt mv.

Trusler, sårbarheder og risici ændres løbende, hvorfor vurderingen af risici også er en løbende proces, der skal forankres i og på tværs af organisationen.

er bl.a. at sikre, at der med afsæt i organisationens IT-risikobillede er etableret tilstrækkelig og effektive tiltag, forankret hos topledelsen.