Ávinningur af virkri aðgangsstýringu fjárhagskerfa

Abstract

Upplýsingar eru fyrirtækjum verðmætar og þær þarf að vernda. Aðgangsstýringar eru hluti af þeim aðgerðum sem fyrirtæki geta nýtt sér til þess að vernda upplýsingaeignir sínar.Í þessu verkefni eru skoðaðar aðgangsstýringar í fjárhagskerfum. Markmið verkefnisins er að finna út hver sé ávinningurinn af virkum aðgangsstýringum í fjárhagskerfum stórra íslenskra fyrirtækja. Í fræðilegum hluta er fjallað almennt um upplýsingaöryggi og síðan eru aðgangsstýringar skoðaðar. Því næst eru því gerð skil hvað greinir virkari aðgangsstýringar frá þeim sem eru minna virkar. Til þess að svara spurningunni um hvaða ávinning fyrirtæki sjá í virkum aðgangsstýringum og hvaða hvetur þau til þess að fara út í endurhönnun á aðgangsstýringum, er litið á nokkur verkefni hjá fyrirtækjum sem hafa valið að fara út í verkefni af því tagi. Einnig er farið yfir hvaða kröfur innri og ytri endurskoðendur gera til aðgangsstýringa. Niðurstaðan er sú að aðgangsstýringar eru mikilvægar í fjárhagskerfum og mikilvægt að þær séu virkar. Ávinningurinn er misjafn í hverju fyrirtæki fyrir sig því það byggist á því hvaða gögn og upplýsingar er mikilvægast að vernda og hvað er ekki eins mikilvægt að vernda. Að hluta til byggir ávinningurinn á huglægu mati enda er hann gjarna sá að upplýsingaöryggi er aukið og þannig komið í veg fyrir tjón af mismunandi tagi. Að lokum er bent á að sjálfan ávinninginn má í hverju tilviki meta til samræmis við kostnaðinn sem félli til ef tjón yrði.

Information is valuable for organisations and it has to be protected. Managing authorisations is one of the things organisations can do to protect their information assets.The objective of this project is to examine what can be gained from effective authorisation in financial systems in larger Icelandic organisations. Firstly the theoretic aspect of information security is discussed, followed by a general summary about authorisations. After that it is considered whether there is a difference between more and lesser effective authorisations. To answer the question on what can be gained from effective authorisations and explain why it is decided within organisations to start initiatives for to redesign their authorisation structure, three of such projects are examined. In addition a light will be casted on the requirements coming from internal and external audit or auditors.The conclusion is that authorisation is an important part of financial systems and it is vital that they are effective. The gain is defined differently from organisation to organisation but depends mainly on how they prioritize between different categories of data and information, regarding to what should be protected. The gain is partly subject to each company’s evaluation. It can often be connected to how information security is increased and thereby the risk of damage is minimised. The direct profit in each situation could be estimated according to the cost from damage that would otherwise possibly take place.