En hel serie metoder, tekniker och hjälpmedel för analys av sårbarheten i datoriserade informationssystem presenterades nyligen gemensamt av den statliga sårbarhetsutredningen och Riksdataförbundet. SBA-metoden kallas paketet som är intressant även från revisionssynpunkt. Delar av metoden bör rent av kunna vara användbara i revisorns eget granskningsarbete, skriver Lars Dykert, auktoriserad revisor vid Bohlins Revisionsbyrå AB.
I dagarna presenterar den statliga sårbarhetsberedningen och Riksdataförbundet gemensamt SBA-metoden. SBA står för sårbarhetsanalys och utgörs av en serie metoder, tekniker och hjälpmedel för analys av sårbarheten i datoriserade informationssystem. Primärt är metoden avsedd att användas av ledning, funktionsansvariga och ADB-specialister i företag och myndigheter med datoriserade rutiner. Genom att använda metoden kan ledningen klarlägga verksamhetens beroende av datorbaserade system och vidta åtgärder för att reducera den uppkomna sårbarheten.
Interna och externa revisorer har medverkat i en remissgrupp vid metodens utformning. Dessutom har revisorer deltagit i en arbetsgrupp som utformat en del av SBA, benämnd SBA Revision, som vänder sig direkt till revisorer med information om SBA-metoden.
SBA-metoden förväntas få en omfattande spridning, särskilt i större företag och myndigheter. Det får därför anses vara av intresse för revisorer inom både den privata och offentliga sektorn att sätta sig in i metoden. Vid granskningen av den interna kontrollen i ADB-verksamhet och system kan revisorerna i fortsättningen vänta sig finna SBA-metoden bland företagens hjälpmedel för att förbättra ADB-säkerheten. Delar av SBA-metoden bör också kunna vara användbara i revisorns eget granskningsarbete.
Varför sårbarhetsanalys?
Den fortgående snabba utvecklingen och användningen av ADB-tekniken gör att fler och fler företag och myndigheter blir känsliga för störningar på grund av fel eller avbrott i de datoriserade systemen. Den stängda aktiebörsen på grund av svårigheterna vid Värdepapperscentralen är ett färskt, välkänt exempel på den sårbarhet som uppkommit på grund av datorisering.
”Sårbarheten är oacceptabelt hög i dagens genomdatoriserade samhälle” konstaterade den statliga sårbarhetskommittén (SÅRK) 1979 efter en omfattande kartläggning av datoranvändning inom både den privata och offentliga sektorn.
Fler och fler företag och myndigheter har sedan dess fått denna slutsats bekräftad i sin egen verksamhet. Driftsavbrott, datorrelaterade brott och felaktigheter i datoriserade utbetalningssystem har ibland lett till uppmärksammade tidningsrubriker.
Den sårbarhetsberedning (SÅRB) som tillsattes av regeringen 1981 har sett som en central uppgift att utveckla en metod för sårbarhetsanalys (SBA-metoden). SÅRB har ansett det vara möjligt för företag och myndigheter att själva analysera sårbarheten inom verksamheten och vidta motåtgärder.
SBA-metoden har utvecklats inom ramen för ett samarbetsprojekt mellan Sårbarhetsberedningen och Riksdataförbundet. Företag, näringslivsorganisationer och myndigheter har ställt upp med ekonomiska och personella resurser. Detta har medfört att SBA-metoden växt fram i ett samspel där praktiska erfarenheter av kontroll- och säkerhetsfrågor vid datorisering kunnat tillvaratas.
Beskrivning av SBA-metoden
I korta drag innebär SBA-metoden att ett företag eller en myndighet självständigt skall kunna pröva den egna sårbarheten i verksamheten på grund av förseningar, fel och avbrott i de datoriserade informationssystemen. Sårbarhetsanalysen sker på ett metodiskt och strukturerat sätt. Till att börja med undersöker ledning och funktionsansvariga om företaget är beroende av ADB-stöd i vitala verksamheter som marknadsföring, produktion och distribution. Är så fallet sker en mer fördjupad analys av sårbarheten i olika datoriserade system. SBA-metoden leder efter utförd analys fram till en handlingsplan för åtgärder avsedda att genom förbättrad intern kontroll öka funktionssäkerheten i ADB-beroende verksamhet.
De ingående delarna i SBA-metoden och deras samband kan kort beskrivas med hjälp av en schematisk skiss (figur 1).
SBA INTRODUKTION | |||
SBA INFORMATION | SBA START | SBA REVISION | |
SBA BEROENDE | |||
SBA SYSTEM | |||
SBA SCENARIO | |||
SBA RAPPORT | |||
SBA PLAN | |||
HANDLINGSPLAN | BOKSLUT | ||
SBA PROJEKT | SBA UTVECKLING | ||
SBA HANDLEDNING |
SBA Information ger en kort allmän beskrivning av SBA som metod för sårbarhetsanalys av datoriserade informationssystem.
En viktig beståndsdel i SBA-metoden är att företagsledningen är engagerad i användningen av metoden, speciellt i inlednings- och uppföljningsstegen. Avsikten är att ledningen med relativt små resursinsatser skall kunna klarlägga företagets beroende av ADB-stöd.
SBA Introduktion utgör en presentation av SBA-metoden riktad till ledningen i samband med att metoden skall börja användas.
SBA Start ger verkställande ledningen underlag för grov bedömning av verksamhetens sårbarhet vad gäller datoriserade informationssystem.
SBA Beroende är en metod riktad till funktionsansvariga för att översiktligt analysera och dokumentera en verksamhets beroende av datoriserade system.
Har ledning och funktionsansvariga med hjälp av nu beskrivna metoder klarlagt att verksamheten är beroende av ADB-stöd fortsätter sårbarhetsprövningen på systemnivå.
SBA System är en metod för att översiktligt bedöma ett eller flera datoriserade systems inverkan på verksamhetens totala sårbarhet.
För fördjupad analys av sårbarheten på systemnivå har utvecklats SBA Scenario. Denna metod innebär att en grupp medarbetare går igenom och analyserar konsekvenserna av händelser som kan störa ADB-verksamhet och datoriserade system. Händelserna kan exempelvis vara driftsavbrott i datacentralen, obehörig användning av information eller bristande datakvalitet som ofullständiga, felaktiga eller försenade ekonomiska rapporter. Scenariometoden har testats av flera företag i samband med utvecklingen av SBA-metoden. Erfarenheterna är goda vad gäller att med hjälp av scenariometoden på kort tid få fram en bedömning av enskilda systems sårbarhet. Vid testningen av scenariometoden har interna revisorer i de aktuella företagen deltagit.
SBA Plan beskriver olika sätt att dokumentera handlingsplaner för att minska sårbarhet i ADB-verksamhet och system.
SBA Rapport behandlar olika sätt att löpande följa upp hur ADB-säkerheten ökas och hur sårbarheten därmed minskar.
SBA Nyckelpersonal är en metod för analys och dokumentation av nyckelfunktioner inom datordrift.
SBA Revision informerar om hur externa och interna revisorer kan beakta SBA-metodens användning i företag och myndigheter vid granskningen samt hur revisorer kan medverka vid användning av SBA-metoden.
Samtliga nu beskrivna delar av SBA-metoden kommer från september 1983 att finnas tillgängliga för användning i form av handböcker, blanketter o s v som ges ut av Riksdataförbundet och SÅRB i samverkan.
Två delar av SBA-metoden finns redan utgivna sedan några månader tillbaka, nämligen SBA Projekt och SBA Utveckling.
SBA Projekt är en metod för att bedöma ett ADB-projekts möjligheter att nå målet i rätt tid, till rätt kostnad och med rätt kvalitet. Metoden kan användas vid planering av ADB-projekt samt successivt under projektets genomförande. Även denna metod har testats i praktiskt bruk.
SBA Utveckling ger förslag till hur kontroll- och säkerhetsanalysen kan genomföras och dokumenteras vid utveckling av ADB-system.
Sammanfattning och slutsatser
Sammanfattningsvis kan om SBA-metoden sägas att den erbjuder ett strukturerat och systematiskt angreppssätt för ledningen i ett företag eller en myndighet för att analysera sårbarhet som uppkommer på grund av datorisering. Brister i informationssystemen från kontroll- och säkerhetssynpunkt uppmärksammas och åtgärder kan vidtas för att reducera verksamhetens sårbarhet. Viktiga egenskaper hos SBA-metoden är att arbetssättet är praktiskt och att sårbarhetsprövningen kan genomföras med relativt små resurser. Analysarbete, handlingsplan och uppföljningsåtgärder dokumenteras.
Ur externa och interna revisorers synvinkel måste det bedömas som mycket positivt att en metod för sårbarhetsprövning vid datorisering nu finns allmänt tillgänglig att användas av företag och myndigheter. Det innebär att ledningen i en organisation med datoriserade rutiner fått ett viktigt hjälpmedel för att förbättra den interna kontrollen i samband med ADB-användning. Synsättet i SBA-metoden ansluter väl till etablerade synsätt på intern kontroll som innebär att ledningen i företag/myndighet har ansvaret för att upprätta och bibehålla en betryggande intern kontroll. Både i SBA Utveckling och SBA Revision finns beskrivningar av den interna kontrollstrukturen i ADB-verksamhet och datorbaserade redovisningssystem. Synsättet i SBA-metoden stämmer också väl överens med kända revisionsprinciper om att väsentlighet och relativ risk skall vara vägledande vid inriktning och omfattning av granskningsarbete. Delar av SBA-metoden, exempelvis SBA Start och SBA System, kan vara användbara som hjälpmedel i samband med revisorns egen riskanalys för prioritering av områden där fördjupade granskningsinsatser krävs.
I SBA-Revision beskrivs SBA-metoden närmare från revisorns synpunkt.
Principiellt kan sägas att interna och externa revisorer i fortsättningen kan komma i kontakt med SBA-metoden på tre olika sätt:
I samband med granskningen av den interna kontrollen i ADB-verksamheten och datoriserade system vid ett företag eller en myndighet. SBA-metoden kan utgöra en del av de samlade kontrollåtgärder som företaget/myndigheten använder sig av för att erhålla en tillfredsställande ADB-säkerhet.
Revisorer kan som specialister på kontroll- och säkerhetsfrågor medverka som rådgivare vid användningen av SBA-metoden.
Revisorer kan, som ovan nämnts, använda delar av SBA-metoden i sitt eget granskningsarbete. Här finns en intressant anknytning till förvaltningsrevision i vilken ingår inslag av riskanalys beträffande företagets verksamhet.
Avslutningsvis kan alltså konstateras att det finns goda skäl för externa och interna revisorer att uppmärksamt följa SBA-metodens användning och att även skaffa sig eget kunnande om metoden.
Lars Dykert, auktoriserad revisor vid Bohlins Revisionsbyrå AB.