Ny risiko- og sårbarhetsanalyse fra Finanstilsynet
Finanstilsynet har denne uken presentert en risiko- og sårbarhetsanalyse (ROS) av finansforetakenes bruk av IKT for 2009.
Noen av de identifiserte risikoområdene er kompleks infrastruktur, skimming, identitetstyveri og offshoring.
Finanstilsynets formål med analysen er å gi et best mulig korrekt bilde av risikosituasjonen og være en nyttig informasjonskilde for tilsynets arbeid med risiko og enkeltforetak som arbeider med egen risikosituasjon. Finanstilsynets ROS-analyse baserer seg på informasjon innhentet gjennom tilsyn, intervjuer og hendelsesrapportering fra foretakene i 2009. I tillegg er internasjonale kilder benyttet.
ROS-analysen er et nyttig tilskudd til risikovurdering i Finansnæringen. Gjennom analysene og dataene Finanstilsynet har tilgang til, kan risikoutviklingen knyttet til finanssektorens IKT-systemer følges over tid. Dette gjør det mulig å identifisere problemområder og iverksette tiltak i finanssektoren på tvers av enkeltforetak.Det er viktig å ha oversikt over hvilken risiko næringen utsettes for slik at man skal kunne opprettholde en stor grad av tillit til tjenester og leveranser.
Hensikten med dette arbeidet til Finanstilsynet er bl. a. å identifisere mulige mangler i styring og kontroll og å identifisere risikoområder og sårbarheter i teknisk infrastruktur som krever tiltak eller oppfølging fra myndighetene.
NorSIS anbefaler:
En vurdering av risikobildet bør rapporteres til, og behandles av ledelsen årlig. Dette synliggjør endringer, og man tvinges til å vurdere om det er endringer i omgivelsene som krever spesiell behandling. ROS-analysen til Finanstilsynet vil være en vurdering av risikobildet.
Det er også viktig å følge med på om iverksatte tiltak virker, og om noe har endret risikoen for uønskede hendelser. Ved større endringer i organisasjonen bør man alltid starte ny en risikovurdering. Slike endringer kan være:
- Omorganiseringer
- Nye krav fra kunder
- Endring i lovverk
- Utkontraktering av IKT-drift
- Behandling av mer sensitiv informasjon
Les mer:
www.finanstilsynet.no/Global/Venstremeny/Rapport/2010/ROS_analyse_2009.pdf
www.norsis.no/veiledninger/Risikostyring.html
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.
