Eftir Davíð Halldórsson

Fyrirtæki verða sífellt háðari upplýsingatækni og vinnslu rafrænna gagna sem kallar á aukið aðhald og eftirlit með upplýsingakerfum og upplýsingavinnslu. Fyrirtæki sjá sér hag í því að auka sjálfvirkar vinnslur í kerfum og söfnun viðskiptaupplýsinga eykst hröðum skrefum. Áhætta tengd notkun á upplýsingakerfum hefur aukist til muna, allt frá kerfisvillum til gagnaleka og innbrota í tölvukerfi. Allt kallar þetta á aukna ábyrgð frá stjórnendum og starfsfólki fyrirtækja. Í gegnum tíðina hafa persónuverndarlög, lög um rafrænt bókhald, PCI DSS og leiðbeinandi tilmæli Fjármálaeftirlitsins verið tekin upp til að auka öryggi og gegnsæi upplýsinga, en hvað þurfa fyrirtæki að hafa í huga varðandi upplýsingaöryggi og hvernig getur KPMG aðstoðað.

Tölvuvæðing fyrirtækja er staðreynd og ekki sér fyrir endann á þróun og framförum á þessu sviði. Krafa fyrirtækja og viðskiptavina er einföld, upplýsingakerfi þurfa að skila áreiðanlegum, auðfáanlegum og réttmætum upplýsingum á þeim tíma sem þeirra er þörf. Upplýsingakerfi eru notuð á öllum sviðum reksturs og eru samtvinnuð eðlilegri starfsemi og er það á höndum sérhvers fyrirtækis að takast á við þá áhættu sem fylgir aukinni tölvunotkun. Í dag er staðan sú að jafnvel minnstu kerfisvillur geta haft veruleg áhrif á rekstur og orðspor fyrirtækja, eitthvað sem fá fyrirtæki hafa efni á. En hver er áhættan tengd aukinni tölvuvæðingu og hvar liggur ábyrgðin?

Sá tími er liðinn að áhættustjórnun tengd notkun á upplýsingakerfum sé alfarið á ábyrgð tölvudeilda. Upplýsingakerfi eru órofa hluti af rekstri fyrirtækja og snerta viðskiptaferli í fjármála- og upplýsingaferlum og þar af leiðandi er ekki hægt að líta á upplýsinga- og rekstraröryggi sem afmarkaða áhættu. Þetta gildir hvort sem viðkomandi fyrirtæki eru að reka eigin upplýsingakerfi eða að rekstur og hýsing eru úthýst til þjónustuaðila.

Teikn eru á lofti um að hér á landi séu óprúttnir aðilar í auknum mæli að notfæra sér upplýsingakerfi til að fremja glæpi. Aðferðir sem notaðar eru verða sífellt þróaðri og áhrifaríkari, hvort sem um ræðir innbrot í tölvukerfi, eða misnotkun á kenni einstaklinga og fyrirtækja. Telja má víst að tölvuglæpir eigi eftir að aukast verulega í framtíðinni og þar af leiðandi mun krafan um skilvirkari öryggisráðstafanir og agaðri vinnubrögð aukast.

Endurskoðendur hafa ekki farið varhluta af þessari þróun og krafan um aðkomu sérfræðinga að endurskoðun fyrirtækja hefur bæði aukist erlendis og innanlands. Þetta er síst ekki vegna kröfunnar um áreiðanlegar fjárhagsupplýsingar og upplýsingastreymi sem skipta verulega máli fyrir fjárfesta, lánadrottna og aðra sem hagsmuna hafa að gæta, auk þess sem starfsemi og starfsumhverfi fyrirtækja verður sífellt flóknara og sjálfvirkara. Í dag er svo komið að hjá KPMG eru sérfræðingar á sviði upplýsingaöryggis eru hluti af endurskoðunarteymi þegar kemur að hvort heldur viðskiptavinum sem starfandi eru í fjármálageiranum, notast við flókin upplýsingakerfi eða eru skráð í Kauphöll Íslands. Ennfremur hafa kröfur frá viðskiptavinum kallað á aukna endurskoðun á upplýsingakerfum og upplýsingaöryggi sem sýnir að stjórnendur eru vel meðvitaðir um mikilvægi upplýsingatækninnar.

Upplýsingaöryggi snertir alla starfsmenn, en hvati til að innleiða skilvirkt öryggisstjórnskipulag verður að koma frá framkvæmdarstjórn. Áhættur í upplýsingatækni og öryggi upplýsinga hefur áhrif á velgengni fyrirtækja og er partur af ímynd og því trausti sem viðskiptavinir bera til fyrirtækja. Þetta á ekki síst við um fjármálafyrirtæki og önnur fyrirtæki sem treysta á upplýsingakerfi í daglegum rekstri. Almennt séð eru stjórnendur meðvitaðir um mikilvægi upplýsingaöryggis og í flestum tilfellum eru fyrirtæki langt á veg komin með uppbyggingu á innviðum stjórnunarumhverfis sem nær yfir rekstur upplýsingakerfa og upplýsingaöryggis, en betur má ef duga skal.

Í þessu samhengi er nauðsynlegt að stjórnendur spyrji sig gagnrýnna spurninga um núverandi stöðu upplýsingatæknimála og hafi eftirfarandi atriði í huga:

• Hvar liggur áhættan í starfsumhverfinu?
• Hvernig stöndum við okkur samanborið við önnur fyrirtæki
• Hver er ábyrgur fyrir öryggi gagna á mínum vinnustað?
• Hvað er verið að gera til að vernda viðkvæmar upplýsingar?
• Hvaða lög og reglur eiga við um starfsemina, stöndumst við þær kröfur?
• Erum við viðbúin því að gögn glatist og hvernig getum við brugðist við áföllum í rekstri sem af geta hlotist?

Ekki er til eitt rétt svar við ofangreindum spurningum, þar sem rekstarumhverfi og þarfir fyrirtækja eru misjafnar. Við hjá KPMG vitum að uppbygging á innviðum upplýsingaöryggis er ekki eingöngu gert öryggisins vegna, heldur á sú leið og aðferð sem valin er að styðja stefnu og þarfir fyrirtækisins. Þess vegna er sú vinna sem við innum að hendi framkvæmd í nánu samstarfi við viðeigandi aðila innan fyrirtækja.

KPMG vinnur náið með fyrirtækjum við endurskoðun á upplýsingakerfum og upplýsingaöryggi. Við bjóðum fjölbreytta þjónustu þar sem reynsla og þekking fara saman. Alþjóðlegt net sérfræðinga á flestum sviðum upplýsingaöryggis tryggir að við getum boðið fjölbreytta og sérhæfða þjónustu til fyrirtækja á öllum sviðum atvinnulífsins, hvort sem fyrirtækin starfa einungis hér á landi eða eru í fjölþjóðlegum rekstri.

Hvernig getum við aðstoðað? Áhættustýring upplýsingakerfa KPMG (e. IT Advisory) veitir fjölbreytta þjónustu á sviði upplýsingatækni með áherslu á upplýsingaöryggi og reksturs upplýsingakerfa. Meginþættir starfseminnar eru meðal annars: innri og ytri endurskoðun á öryggismálum upplýsingakerfa, tölvuendurskoðun, ferlagreiningar, stefnumótun í upplýsingatækni, innleiðing og hönnun skipulagsferla, val og úttekt á úthýsingaraðilum og framkvæmd áhættumats. Við vinnum einnig náið með viðskiptavinum við öryggisúttektir á netkerfum, gagnagrunnum og leiðandi fjárhagskerfum.