AWP Consulting har har arbetat med dataanalys i över 25 år. Främst har det varit uppdrag inom intern- och externrevision inom intäkter, utbetalningar, test av kontroller och matchningar av olika slag. I vissa fall vill en organisation bygga upp intern kompetens inom dataanalys. Detta är mycket positivt och ofta innebär det snabbare och bättre beslutsfattande, kostnadsbesparingar och djupare verksamhetsförståelse.

Inom ramen för AWP Consulting har jag stöttat olika organisationer med att bygga upp och införa en fristående enhet för dataanalys. Både inom revision och andra typer av verksamheter.

Förordningen om Digital Operational Resilience Act (DORA) syftar till att stärka den finansiella sektorns motståndskraft mot cyberrisker genom att vidta relevanta skyddsåtgärder för att motverka bland annat cyberattacker.  DORA-förordningen innebär att berörda branscher måste implementera policyer, verktyg och ramverk för riskhantering, rapportering och testning i syfte att minimera risken och eventuella följder vid IKT-relaterade incidenter.

Förordningen kommer att medföra krav på samtliga aktörer på finansmarknaden. Det gäller exempelvis banker, värdepappersbolag, försäkringsbolag och mellanhänder men även leverantörer av så kallade IKT-tjänster.

Regelverket är en enhetlig struktur som tar ett helhetsgrepp på effektiv riskhantering, verksamhetens förmåga att skydda sig inom cybersäkerhet inklusive hantering av tredjepartsrisker.

Fem områden är centrala inom DORA: 

• IKT-riskhantering
• Rapportering IKT-relaterade incidenter
• Tester av det digitala skyddet
• Riskhantering tredjepartsleverantörer av IKT-tjänster
• Informationsdelning

AWP Consulting har lång erfarenhet av informationssäkerhet och regelverk inom området och kan hjälpa till med tolkning av kraven, GAP-analys, projektledning, implementation av uppdaterade eller nya processer/kontroller och annat som krävs för att din verksamhet ska känna att ni gjort vad ni kan för att uppfylla DORA-kraven.

Active Directory utgör en central katalogtjänst som används för att styra och kontrollera samtliga resurser (t.ex. användare, datorer, applikationer, skrivare) i ett nätverk. Risker avseende obehörig åtkomst till applikationer och kritisk information förekommer ofta på grund av brister i AD. Tidigare har det varit svårt att erhålla kvalitativ data för att utföra regelbunden uppföljning av AD.

Tack vare dataanalysverktyget ACL:s Script Hub finns möjligheten till smidig import från AD till ett ACL-projekt. Scripten är kvalitetssäkrade av ACL och importen sker säkert med Windowskommandot NET USER eller CSVDE. Det är naturligtvis ej möjligt att uppdatera eller radera information i AD genom detta förfarande.

All önskvärd information om AD-konton importeras med några få klick i ACL och du kan därefter enkelt genomföra en dataanalys där exempelvis följande testas:

• Aktiva konton utan inloggning de senaste 6 månaderna.
• Användarkonton utan krav på lösenord
• Användarkonton utan krav på lösenordsbyte
• Anställda som slutat men har kvar aktiva AD-konton (jämför med information från HR)
• AD-konton utan ”expired date”
• System-/applikationskonton som är möjliga att logga på

Detta ger värde till verksamheten i form av tydliga bevis på om AD förvaltas på ett bra sätt eller om det förekommer brister som bör åtgärdas. Effektivitet av befintliga kontroller testas och efterlevnad av interna och externa regelverk kan utvärderas.

Hör gärna av dig så berättar jag mer om detta!

Svenska Dagbladet har tidigare avslöjat att SCA:s ledning låtit fru, barn, barnbarn och till och med hundar flyga med i SCA:s plan och att deltagit i olika exklusiva jaktaktiviteter. Nu har det även framkommit att SCA:s ordförande Sverker Martin-Löfs son i hemlighet varit finansiell rådgivare i minst två miljardaffärer som SCA genomfört. Jag vet inte hur dessa uppdrag upphandlades men en inte alltför kvalificerad gissning är att det föreligger en intressekonflikt här.

Med hjälp av en dataanalys baserat på offentliga uppgifter från Skatteverket och Bolagsverket kan intressekonflikter av detta slag upptäckas och åtgärdas. Anhöriginformation till exempelvis ledningspersonal och personal som är inblandande i upphandlingar och inköp inhämtas från Skatteverket och dessa personers bolagsengagemang erhålls sedan på fil från Bolagsverket. Bolagsengagemang erhållna från Bolagsverket matchas sedan mot leverantörer som  återfinns i organisationens inköpssystem (leverantörsreskontra).

I Finansinspektionens föreskrift FFFS 2014:5 anges regler för informationssäkerhet, IT-verksamhet och insättningssystem för banker, kreditmarknadsbolag och värdepappersbolag. För bolag som tar emot eller avser att ta emot insättningar som omfattas av insättningsgarantin har reglerna stärkts ytterligare.

Numer ska dessa bolag årligen analysera risker som är hänförliga till IT-system som företaget använder för att hantera information om insättare och deras insättningar. Riskanalysen ska omfatta skyddet av informationens riktighet, konfidentialitet, tillgänglighet samt systemintegriteten i IT-systemet.

Det ställs även krav på att företagets internrevision årligen ska granska företagets insättningssystem samt de tekniska funktioner och administrativa rutiner som är av betydelse för säkerheten i systemet. Om företaget saknar en funktion för internrevison ska de ge detta uppdrag till någon med särskild kompetens inom säkerhetsområdet.

AWP Consulting har efterfrågad kompetens och använder vedertagna mallar för riskanalys och granskningsprogram som baseras på best practice.