This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our cookie notice for more information on the cookies we use and how to delete or block them

Bókamerki Netfang Prentvæn síða

Upplýsingaöryggi

Veikleikar í upplýsingakerfum geta haft alvarlegar afleiðingar, bæði beinar fjárhagslegar afleiðingar, s.s. vegna sviksemi eða rekstrarstöðvunar og einnig skaða á orðspori t.d. vegna upplýsingaleka i fjölmiðla eða óviðeigandi dreifingu viðkvæmra persónuupplýsinga eða greiðslukortaupplýsinga. Ýmsar ytri kröfur eru einnig gerðar til reksturs upplýsingakerfa, s.s. af viðskiptavinum, samstarfsaðilum og eftirlitsaðilum og mikilvægt að bæði kerfin sjálf og rekstur þeirra sé í samræmi við viðeigandi kröfur og að leitast sé við að uppfylla þær á sem hagkvæmastan hátt.

Sérfræðingar Deloitte eru með fjölbreytta þekkingu og mismunandi reynslu af ólíkum verkefnum og viðskiptavinum.  Markmið Deloitte er að vinna okkar skili ávinningi fyrir viðskiptavini okkar og sé sniðin að þörfum og verkefnum hvers viðskiptavinar.

Þjónustulínur:

  • Áhættugreining.  Hvernig er tekið á áhættum er varða rekstur upplýsingakerfa í fyrirtækinu í dag? Hverjir eru veikustu hlekkir fyrirtækisins, hvert flæða gögn og hvar er mikilvægast að bæta úr m.v.áhættu og það mögulega tjón sem gæti orðið?  Þessi greining þarf ekki að afmarkast við upplýsingakerfi heldur getur gefið heildarmynd af stöðu fyrirtækisins og hvernig áhættum er mætt í daglegum rekstri.
  • Heilsumæling fjárhagsupplýsingakerfa.  Fjárhagsupplýsingakerfi geyma mikilvæg gögn sem stjórnendur og eigendur byggja ákvarðanir sínar á.  Því er mikilvægt að þau kerfi séu nýtt til að viðhalda réttri skráningu, geymslu og birtingu fjárhagsupplýsinga.  Einnig eru fjárhagsupplýsingakerfi mikilvægur þáttur í innra eftirliti fyrirtækja og margir reiða sig á atriði svo sem aðgangsstýringar til að tryggja mikilvæga öryggisþætti svo sem aðgreiningu starfa.
  • Innbrots- og veikleikaprófanir.  Hverjir eru veikleikar kerfisins og hvernig er mögulegt að misnota þá til að ná óviðeigandi aðgangi eða komast í leynilegar upplýsingar? Veikleikar geta verið til staðar í vél- og hugbúnaði, uppsetningu hans og jafnvel í notendum kerfa. Mikilvægt er að veikleikar séu greindir og þeir lagfærðir til að takmarka möguleika til misnotkunar kerfa.
  • Upplýsingaleki.  Hvaða viðkvæmu gögn eru geymd eða send hjá fyrirtækinu? Hver myndu áhrifin verða ef þau kæmust í rangar hendur? Til að fyrirbyggja slíkan leka er nauðsynlegt að greina hvar gögn eru geymd og hvernig þau eru send, setja upp viðeigandi ráðstafanir til varna og gera reglulegar prófanir til að kanna hvort nýir möguleikar á leka séu til staðar.
  • Kortaöryggi.  Miklar kröfur eru gerðar til þeirra sem senda, geyma og vinna með greiðslukortaupplýsingar. Komist greiðslukortanúmer í rangar hendur frá sölu- eða þjónustuaðila getur það haft í för með sér háar sektir og kostnaðarsamar úttektir. Grípa þarf til viðeigandi ráðstafana til að takmarka notkun og verja þessar upplýsingar samkvæmt öryggisstaðli greiðslukortafyrirtækjanna (PCI DSS).
  • Öryggisvitund.  Veikasti hlekkurinn í öryggiskeðjunni er notandinn sjálfur. Hann býr yfir misjafnri tækniþekkingu og getur hæglega valdið skaða, hvort sem er sjálfur eða með því að hleypa óprúttnum aðilum inn í netkerfi fyrirtækisins.  Hvernig er hægt að styrkja þennan veikasta hlekk? Skilvirkasta leiðin til þess er fræðsla, s.s. fyrirlestrar og áætlanir þar sem starfsmenn eru virkjaðir og þeir gerðir hluti af ferli til aukinnar öryggisvitundar.
  • Úttekt á þjónustuaðilum.  Mikilvægum þáttum í rekstri fyrirtækja er í auknu mæli útvistað til þjónustuaðila. Það er hagur þjónustuaðila og þeirra sem kaupa þjónustuna að tryggja að sú þjónusta sem er veitt sé í samræmi við samninga og að fullnægjandi upplýsingar séu veittar um virkni mikilvægra atriða, s.s. afritatöku og aðgangsveitinga.
  • Ferlagreining og aðgangshönnun.  Skráðir ferlar eru krafa m.a. í reglugerð um rafrænt bókhald. Einnig geta skriflegir ferlar auðveldað þjálfun starfsmanna, lækkað endurskoðunarkostnað og bent á mögulega bresti í innra eftirliti sem gætu valdið skekkjum í bókhaldi, bæði vegna misferlis og mistaka. Þegar ferlar eru greindir er mikilvægt að þeir séu skráðir, hlutverk innan þeirra greind, sem og áhættuþættir og eftirlitsaðgerðir. Slíkar upplýsingar eru nauðsynlegur grunnur að því að hægt sé að sníða hlutverkabundin aðgangshlutverk í upplýsingakerfum og styrkja innra eftirliti með starfaaðgreiningu eða öðru uppbætandi eftirliti.

Fyrir frekari upplýsingar um þjónustu Deloitte á sviði upplýsingaöryggis, vinsamlegast hafið samband við Dr.Rey LeClerc Sveinsson, rey.leclerc.sveinsson@deloitte.is, eða í síma 580-3306.