Revisjon av cybersecurity – en praktisk tilnærming

Som et eksempel har vi gått gjennom Cybersecurity, som er et tema som er relevant for alle virksomheter, uavhengig av bransje og størrelse.

For å scope prosjektet riktig er det viktig å identifisere hvilke risikoer som kan være spesifikke for virksomheten, og å vurdere hvilke rammeverk eller standarder revisjonen skal ta utgangspunkt i. I kurset går vi gjennom de guidelines som er utarbeidet av IIA i GTAGen «Assessing Cybersecurity risk». Temaene som gjennomgås i denne GTAGen samsvarer i stor grad med elementene man gjenfinner i NSMs grunnprinsipper for IKT-sikkerhet, NIST-rammeverket og ISO 27001. 

Vi gikk gjennom de 6 hovedtemaene fra «Assessing Cybersecurity Risk», som er som følger:

1. Cybersecurity Governance
2. Informasjonsverdier
3. Sikkerhetsinnstillinger
4. Tilgangsstyring
5. Respons og omstilling
6. Kontinuerlig overvåkning

For hvert av de 6 temaene diskuterte vi utvalgte underpunkter, hvilke erfaringer vi har gjort i forskjellige revisjoner og hvordan internrevisjonen kan bidra med verdi under hvert område. I tillegg til gjennomgang av prosesser og dokumentasjon knyttet til cybersecurity viste vi til at det også er viktig å understøtte revisjonen med test av de implementerte sikkerhetstiltakene og sikkerhetstesting. Eksempler på sikkerhetstester kan være inntrengingstester, sårbarhetsvurderinger eller nettfiskeøvelser. 

Læringsmålene for gjennomgangen var å gi deltakerne kjennskap til hvordan man kan tilnærme seg revisjon av cybersecurity, få bedre risikoforståelse for virksomheten og hvilke rammeverk man kan ta utgangspunkt i gjennomføring av revisjonen.