Interne kontroller

Interne kontroller

En af de store udfordringer med de persondataretlige regler er, at de kræver stærke kompetencer indenfor jura, teknik, projektstyring og ledelse. Den, som bliver ansvarlig for GDPR-projektet, kan derfor let risikere ikke at komme hele vejen rundt om persondataforordningen, hvis der ikke etableres en stærk fælles forståelse i organisationen af, hvad der kræves af de enkelte forretningsenheder for at komme i compliance. I denne artikel vil vi fokusere på, hvordan man etablerer et sæt interne kontroller, som gør at man kan dokumentere compliance.

Baggrund

Praksis viser, at det kan være forbundet med store bøder, hvis der er de mindste udfordringer med sikkerheden. Noget så simpelt som manglende opdatering af software kombineret med et vellykket hack, der udnytter det forhold, at softwaren ikke var opdateret, kan udløse en betydelig bøde. Når DPO’en kommer på besøg i IT-afdelingen, er det derfor helt centralt, at de rigtige spørgsmål kan stilles og belyses på den rette måde, som sikrer dels at alting er som det bør være, og dels at der kan dokumenteres compliance.

DPO’en kan f.eks. spørge til, om der opdateres software, og om der findes en procedure herfor. Hvis der svares ja, kan DPO’en tro, at alting er i skønneste orden. Men djævelen ligger i detaljen: Måske svares der kun ja til, at noget software opdateres og måske dækker opdateringsproceduren kun nogle dele af softwaren – f.eks. windowsklienter. Ved siden af windowsklienterne findes typisk klienter med andre styresystemer (Apple og Linux), tablets og mobiltelefoner. Der findes også typisk en række servere i organisationen – f.eks. et virtuelt miljø med mange virtuelle servere, Microsoftservere, Linuxservere, databaser og meget andet, som hoster organisationens forretningssystemer, ERP, CRM, HR, datawarehouse, storage, backup, telefoni, videoovervågning m.v. Videre findes der typisk en masse netværksudstyr, routere, switche, access points. Dette udstyr er måske ikke blevet opdateret, siden det blev sat op, har hard-codede administratorpasswords og understøttes måske ikke af fabrikanten længere.

Foruden ovenstående kan der være forskellige former for udstyr, som måske falder uden for IT-afdelingens ansvarsområde, men som alligevel er på netværket – f.eks. alarmudstyr, videovervågning, styring af luft og varme og lagersystemer. Denne type udstyr kan siges at være en del af Internet of Things, og der ses en stigende tendens til at denne type udstyr anvendes til at hacke sig ind i organisationerne.

ndelig er der de eksterne konsulenter, som får adgang til virksomhedens netværk med deres udstyr, og medarbejderne som medbringer deres eget udstyr og måske / måske ikke kan få adgang til nogle af virksomhedens ressourcer. Der er altså et stort rum for, at DPO’en ikke får spurgt ind til de rette tekniske forhold – og dette eksempel er jo bare i forhold til opdatering. Hertil kommer alle de andre områder, der skal spørges til:

  • Oprettelse og nedlæggelse af brugere
  • Rettigheder hos brugerne
  • Leverandørstyring
  • Brug af cloud-tjenester
  • Hændelses-rapportering
  • Beredskab
  • Backup
  • Kryptering af udstyr og kommunikation og meget mere. 

Interne kontroller med udgangspunkt i standarder

Sikkerhedsstandarden ISO27002 indeholder en række kontroller, som organisationen kan bruge som inspiration til hvilke sikkerhedstiltag, der skal etableres og kontrolleres. Standarden kræver, at organisationen gør et eller andet, og kontrollerne er på formen: ”Du skal…”. DPO’en kan så vende kravet om til et spørgsmål: ”Har vi gjort….”, og så bede om dokumentation herfor, fra den som ejer kontrollen. At bruge en sikkerhedsstandard betyder, at man kommer hele vejen rundt om sikkerheden og er altså en garanti for, at man ikke glemmer noget. ISO27001 er ikke den eneste mulighed. Man kan også bruge NIST 800-53, ISF eller en mere simpel kontrolliste som CIS20.

Forordningen indeholder mange andre ting end det sikkerhedsmæssige – f.eks. principperne i artikel 5: formålsbegrænsning, dataminimering, sletning, m.v. Efterlevelse af disse andre krav skal også kontrolleres og dokumenteres. Standarden kan derfor ikke stå alene. Alle de krav, som forordningen indeholder, kan mappes sammen med sikkerhedskravene, så man får et samlet kontrolframework, som vi har skrevet om i artiklen om governance. Hvis organisationen skal efterleve andre forhold – anden lovgivning, branchestandarder m.v. – kan disse også med fordel mappes ind i dette kontrolframework.

Udformningen af interne kontroller

Organisationen bør lave en proces for etablering, vedligeholdelse og godkendelse af interne kontroller.

Der bør først og fremmest være en beskrivelse af kontrollen, og den bør referere til de krav, som den har til formål at kontrollere. Videre bør der tages stilling til, hvem der ejer kontrollen (den der skal kontrolleres) og hvem der kontrollerer (auditor). Der bør være funktionel uafhængighed mellem kontrolejer og auditor, således at der mindst muligt sandsynligt, at parterne inddrager usaglige betragtninger i forhold til vurderingen af, om kontrollen er efterlevet. Herefter bør der tages stilling til, om hele eller dele af kontrollen kan gennemføres automatiseret. Kan man f.eks. automatisk udtrække en log (eller flere), som giver en opdateringsstatus på software og hardware i organisationen og sammenligner med nyeste version? Yderligere bør der tages stilling til, hvornår kontrollen gennemføres og hvor hyppigt. Disse kontroller lægges ind i et årshjul.

Når selve kontrollen gennemføres, interviewer auditor kontrolejer og får evt. gennemgået det tekniske materiale (f.eks. logs), som det på forhånd er fastlagt er tilknyttet auditen. Auditor registrerer, om den forgange periode giver anledning til bemærkninger, og om der skal foretages justeringer i den kommende periode, som kontrolejeren skal etablere. Desuden noterer auditor om de to forhold er tilfredsstillende eller ej – f.eks. ved at markerer dem med rød, gul, grøn. Auditor samler op på sine audits hen over året og rapporterer mindst årligt til ledelsen, hvad status er og hvad auditor anbefaler, der skal iværksættes af nye tiltag.

Links

For relateret materiale, læs vores artiklen om Governance

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin