.
Dette var temaet for kurset i to moduler som Fagnettverket for Teknologi og Sikkerhet i IIA Norge arrangerte for medlemmer og andre interesserte 4. og 11. mars. Temaet ble godt belyst fra ulike vinkler som du kan få innsikt i nedenfor.
På første dag ble ulike trusselbilder gjennomgått hvor det framgikk klart at følgende digitale og andre tilknyttede trusler står høyt opp på listen når risiko skal vurderes og rangeres:
Cybertrusler: Skadelig programvare, løsepengeprogramvare og phishing-angrep.
Datainnbrudd: Uautorisert tilgang og datalekkasjer.
Driftsforstyrrelser: Systemfeil og driftsavbrudd
Compliance/etterlevelse: GDPR, DORA, NIS 2, AI Act og andre reguleringer og forskrifter.
Relevante deler av ulike standarder og rammeverk ble gjennomgått, herunder knyttet til de nye globale internrevisjonsstandardene (se lenke nedenfor) og «Topical Requirement on Cybersecurity», nye kommende regulatoriske krav som NIS2, DORA, AI Act samt også Sikkerhetsloven. Dernest gikk man gjennom ulike former for AI /KI-risiko og prinsipper for forsvarlig bruk av denne teknologien i revisjonsarbeidet for å skape gode resultater.
En sentral del av kurset på dag 2 omhandlet hvordan ulike valg av IT-arkitektur i form av skytjenester kontra interne IT-tjenester påvirker hvordan disse bør innrettes og hvordan man gjennom revisjonsarbeidet best kan kontrollere dette. Det er sentralt at alle virksomheter tilrettelegger for en tilstrekkelig motstandsdyktighet mot cyberangrep samt at virksomheten også har gode rutiner for både hendelseshåndtering og hvordan man skal kunne opprettholde kontinuerlig forretningsdrift («business continuity») i en krisesituasjon. Kurset ga en detaljert innføring i hvordan dette kan oppnås gjennom spesifikke tiltak som i en viss utstrekning må tilpasses den enkelte virksomhetens særtrekk.
Kurset ble avsluttet med et svært informativt foredrag om håndtering av en alvorlig faktisk hendelse i et datterselskap av Felleskjøpet SA ved Curt Grimstad, IT-direktør. Han redegjorde for hvordan de greide å håndtere situasjonen som oppstod samt hvilke tiltak de har implementert i etterkant.
Nyttige lenker
https://iia.no/product/globale-standarder-for-internrevisjon/
https://iia.no/product/global-internal-audit-standards-2024/
https://www.theiia.org/en/standards/2024-standards/topical-requirements
https://www.finansnorge.no/tema/digitalisering/eus-digitale-agenda/forordningen-om-digital-operasjonell-motstandskraft—dora
https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/feb/nis2-direktivet/id2846097
