Mapning af forretningsprocesserne og IAM

Mapning af
forretningsprocesserne og IAM
1
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
2
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
3
Kort om LinkGRC
• Stiftet i 2006 af Tomas Hellum – tidligere it-chef (del af TUI koncernen), management konsulent og it-revisor (PwC)
• LinkGRC’s vision er at hjælpe virksomheder og offentlige organisationer med simple og operationelle initiativer og
værktøjer og “linke” dem sammen for at sikre bedre governance.
• LinkGRC’s kunder er inden for forsikring og pension, finans, kommuner og andre regulerede sektorer
• LinkGRC har lang erfaring med at hjælpe med risikominimerende tiltag, herunder governance frameworks,
udarbejdelse af dokumentation og kontrolmiljøer samt operationelle it-værktøjer og –systemer.
• Vi hjælper vores kunder med at kunne fokusere på deres værdiskabende processer inden for governance,
enterprise risk management og compliance.
• Tomas Hellum er medlem as SC27 (bla. ISO27001/2 udarbejdelse), bestyrelsesmedlem i den skandinaviske del af
thebci.org, Professionelt medlem af IOR (Institute of Operational Risk i UK, og er ved at hjælpe med at starte den
skandinaviske del af instituttet.
• Tomas Hellum har assisteret ISACA med følgende publikationer internationalt:
•
•
•
•
•
Security Incident Management Audit / Assurance program (SME)
Access Management Audit / Assurance program (SME)
Configuration management using Cobit 5 (SME)
Risk Scenarios using Cobit 5 for Risk (SME)
Q1/Q2 2015 Basel and Cobit book (Contributor)
4
Kort om LinkGRC
Virksomheds
strategi
HVAD ER DET VI VIL?
Salgs
Strategi
IT
Strategi
Compliance & ITGovernance
Strategi
BASEL II
Gramm Leach
Bliley
§71
Finanstilsynet
GLBA
FFIEC
Directive 2002
58 EC
Persondataloven
OECD
EU Safe
Harbor
Markedsandele
ISA 315
RS315
PCAOB
IFAC
EBIT
GxP
Annex 11
PAL
HIPAA
Politikker
Forretningsgange
Arbejdsinstruktioner
Andre
Check af
efterlevelse
Måling på
effektivitet
Performance
indikatorer
HVAD SKAL VI GØRE?
HVORDAN GØR VI DET?
HVORDAN SIKRER VI AT VI
GØR DE RIGTIGE TING RIGTIGT?
Nye markeder
5
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
6
Omfanget af præsentationen
• Fokuseret på at forklare hvordan risikostyringen,
herunder gennemgang af forretningens hovedaktiviteter,
kan give værdifulde informationer til IAM
• Typiske processer der kan indeholdes i et IAM
governance setup
• Dokumentations niveau og omfang
• Hvordan krav kan identificeres og hvordan de kan sikres
(assurance)
7
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
8
Overordnet metodik
9
Overordnet metodik
Hovedaktivitet
Underaktivitet
og processer
Systemer
Risici
Kontroller
Udbedringer
Personer
Volume of
process/business
Informationsaktiver
10
Udbytte
• Afhold risikoworkshops på hovedaktiviteter og bearbejd
hver underaktivitet / proces
• Identificer nøgle attributter som specificeret
• Implementer governance processer til periodisk
opdatering af risikoworkshops
11
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
12
Kravstyring
13
Kravstyringsproces
Fortolkning
§
Workshops
Legal, Compliance,
Risk
Ekstern advokat
Byg strategi
Manuelt / “UCF”
Policy A
Policy A
Policy C
Policy D
Policy E
Standard A
Standard A
Procedure B
Procedure C
Standard B
Policy F
14
Kravstyring “forklar hvorfor”
Forklar
“Hvorfor”
POLICY
A policy is written in clear, simple statements of how organization intends to conduct its
services, actions or business. Policies provide a set of guiding principles to help with
decision making. Policies must be approved my board of management or board of
directors.
General management
statements
PROCEDURES
Overall description of who, what, where,
when and why in relation to activities
INSTRUCTIONS
Specific step-by-step instructions in relation to activities
CONTROLS
Specific mandatory key controls
A procedure is a document written to support a policy areas collection of statements. A
procedure is designed to describe who, what, where, when, and why in relation to
activities by means of establishing corporate accountability in support of the
implementation of a policy or policy area. Procedures must be approved by management.
An instruction present a sequence of steps to execute a task or activity. The format is
typically text, but a visual depiction of the steps can also constitute instructions. A mix of
text, hyperlinks, and pictures are typically included in documenting the process steps.
Instructions must be approved by the Subject Matter Expert (SME) for the area described.
A control must be designed to provide reasonable assurance that the information security
setup by organization operates as intended, that data is reliable and that organization is
in compliance with applicable laws, regulation, standards and good practice. Controls
must be approved by the management.
15
Eksempel på kravstyring
16
Udbytte
• Identificer krav, fortolkninger o.a. Beskriv metoden og
start proces for governance af fortolkninger
• Grupper krav til dokumentation (politikker) for at sikre at
vi kun beskriver hvad der er krævet.
• Byg et dokumentations hieraki og sørg for fx at krav er
implementeret i politikker, som så de underliggende
niveauer skal beskrive og sikre de efterlever
• Skub det ud i organisationen, så efterlevelsen skal sikres
et niveau tilbage.
17
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
18
Implementering af krav i organisationen
Hvor mange flere dokumenter tror du vi skal udarbejde
19
Implementering af krav i organisationen
POLICY
General management
statements
PROCEDURES
Overall description of who, what, where,
when and why in relation to activities
INSTRUCTIONS
Specific step-by-step instructions in relation to activities
a) Skabeloner til understøttelse af framework
b) Procedure omkring udarbejdelse af
dokumentation
c) Strategi for hvor dokumentation gemmes
d) Implementer oppe fra og ned gerne med
understøttelse fx i form af review, interview
eller eksempler
CONTROLS
Specific mandatory key controls
20
Udbytte
• Byg et dokumentations hierarki fx Politikker/Retningslinjer,
Standarder, Forretningsgange og arbejdsbeskrivelser
• Definer hvor styret dokumentation er placeret, og beskriv
processen
• Forsøg så vidt muligt at relatere dokumentation til interne
processer
• Forsøg så vidt muligt at relatere dokumentations hierarki og krav
• Anvend simple værktøjer som fx SharePoint workflows til at sikre
ejerskab i virksomheden og at dokumentationen opdateres og
godkendes
• Skab et overblik over hvad der ikke er godkendt, og hvornår det
skal godkendes.
21
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
22
IAM relateret processer
Definitions
Governance
Access Concept
Role types
Access Matrix
Audit of access management life cycle
Assigned to users
Maintenance of roles
New or changes to organization
New or changes to business applications
New or changes to functionality
New or changes to process
Control and follow-up of assignments
Attestation
Approval of CRAs
Control and follow-up of roles, role content and descriptions
Maintenance processes of access management environments
Role Assignment
Calculated Role Assignments
Role scopes “Who can request it”
Role risk assessment and control
Naming concept
Application role naming and descriptions
Enterprise role naming and description
Daily administration
User lifecycle
Internals
Externals
Service accounts
Secondary user accounts
Envelope users
Assignment of roles
Self service
Roles and responsibilities
Resource ownerships and responsibilities
Business applications
Roles
CRAs
Role scopes
Organizational ownerships and responsibilities
Internal Audit
Access Administration
IAM application and role Maintenance
Operational Risk
Appendix - Access model
23
Agenda
Kort om LinkGRC
Omfanget af præsentationen
Overordnet metodik
Kravstyring
Implementering af krav i organisationen
IAM relateret processer
Assurance
24
Assurance
Væbnet røveri?, jeg sidder inde for ikke at efterleve
offentlige krav
25
Assurance
Never in all history have we harnessed such
formidable technology.
Every scientific advancement known to man
has been incorporated into its design. The
operational controls are sound and foolproof!
26
Assurance
Never in all history have we harnessed such
formidable technology.
Every scientific advancement known to man
has been incorporated into its design. The
operational controls are sound and foolproof!
- E. J. Smith, , Captain of the Titanic
27
Udbytte
• Identificer og registrer virksomhedens kontroller fx i
risikoworkshops
• Relater kontroller til metadata (fx processer) og risici for
at sikre at der fx ikke er dobbelt kontroller og der i den
årlige risikovurdering kan vurderes sandsynlighed og
konsekvens
• Vurder om det er nøgle kontroller og vurder om de giver
den fornødne minimering
• Brug fx t-shirt sizes (small, medium etc.) til tidsestimat for
at kunne beregne omkostninger for kontroller
28
A Nordic Leader in all aspects of Governance, Risk and Compliance
29