back

Global Reach

Global Reach
Afrika
Amerika
Asien
Europa
Mellemøsten

Skip to content
Skip to navigation

Skriv for at se resultater

back

Revision & regnskab

Vi håndterer både små og store regnskabs- og revisionsopgaver og er optaget af at sikre, at du får det bedste overblik over din økonomiske situation. See Overview

Økonomisk rådgivning

Grant Thornton har stor erfaring med økonomisk rådgivning og udvikling af virksomheder. See Overview

Skat, moms og afgifter

Proaktiv og specialiseret skatte – og momsrådgivning giver dig sikkerhed for, at skatten ikke bliver højere, end den skal være og at du får de moms og afgifter... See Overview

Transaction Advisory Services

Transaction Advisory Services See Overview

Corporate Finance

Corporate Finance See Overview

M&A transaktioner
M&A transaktioner
Børsnoteringer & kapitalmarkeds-transaktioner
Børsnoteringer og andre kapitalmarkedstransaktioner
Private kapitaltilførsler
Private kapitaltilførsler

Regnskabsservice & Outsourcing

Måske bliver du overrasket over, hvor lidt det egentlig koster at outsource regnskabsmæssige funktioner, bogholderiassistance, lønadministration m.v. til os,... See Overview

IT Revision og Rådgivning

Vi arbejder både med at verificere og attestere serviceleverandørers it-systemer, hvad enten det gælder ISO 27001, ISO 27002, ISO 27701, GDPR, NIS2 i ISAE 3402... See Overview

Hvad er IT-revisorerklæringer?
Der findes forskellige typer it-revisorerklæringer. Læs hvad forskellen på ISAE 3000 og ISAE 3402 er.
ISAE 3402 – IT-revisorerklæring
En revisorerklæring af typen ISAE 3402 dokumenterer it-forholdene hos en virksomhed og fungerer ofte som bevis for, at virksomheden lever op til lovkrav og god it-skik.
ISAE 3000 GDPR – IT-revisorerklæring
En ISAE 3000 revisorerklæring er resultatet af vores gennemgang, der beviser om jeres virksomhed overholder databeskyttelsesloven (GDPR) som databehandler.
ISAE 3000 Cyber – IT-revisorerklæring
ISAE 3000 Cyber er en it-revisorerklæring der er relevant, hvis man ønsker at vise hvilke sikringsniveau virksomheden har i forhold til cybersikkerhedsrisici.
Forberedelsesforløb inden ISAE erklæringsarbejdet
Vi assisterer virksomheder i forløbet frem mod ISAE erklæringsarbejdet.
GAP analyser
For it sikkerhed kan GAP bruges til at påvise hvor der bør lægges ressourcer ift. hvor man gerne ser sin organisation være fremadrettet.
IT-rådgivning
Vi rådgiver både store og små virksomheder om alt lige fra håndtering af governance, risk og compliance (GRC), til spørgsmål om GDPR, udarbejdelse af it-sikkerhedspolitikker (informationssikkerhedspolitikker), implementering af NSIS eller NIS2.
ISO 27001/2 og ISO 27701
Vi hjælper med udarbejdelse af certificering omkring informationssikkerhed, hvor ISO 27001 er den mest anerkendte internationale standard.
NIS2 – rådgivning om implementering
Virksomheder og offenlige organisationer kan være omfattet af NIS2, hvis man anses for at være en del af Danmarks kritiske infrastruktur. Vi assisterer i arbejdet hen mod at blive NIS2-compliant.
NSIS – MitID/NemLog-in3
Udbydere af MitID skal have tilladelse fra Digitaliseringsstyrelsen, for at udbyde løsningen. Vi hjælper med formkrav og indhold til hvad der skal til for at blive godkendt.
It due diligence
Som it-revisorer er vi den uvildige part i it due diligence gennemgang ved virksomhedskøb, -salg eller -overtagelse. Vores detaljerede fagviden, fra det tekniske og det organisatoriske, gør, at vi ikke kun vurderer værdiansættelsen af hardwaren i virksomheden, vi vurderer mest af alt den forretningsmæssige værdi af systemerne.
Praktisk IT-sikkerhedsvurdering
Vi udarbejder praktisk IT-sikkerhedsvurdering til brug i virksomhedens it-funktion, men mest af alt til brug af direktion og bestyrelse.

Related insights:

Nyheder Dataetik er blevet et lovkrav – sådan næsten

Martin Brogaard Nielsen

| 4 min read | 12 jun. 2022

Juni 2020: En ny lov kræver, at store virksomheder redegør for sin politik om dataetik. Det skal være synligt i virksomhedens årsrapport.

Bæredygtighed og ESG

Bæredygtighed og ESG See Overview

Construction

Construction See Overview

Energy & Resources

Energy & Resources See Overview

Real Estate

Real estate See Overview

Shipping & Transportation

Construction See Overview

Teknologi, kommunikation, medier og underholdning

Teknologi, kommunikation, medier og underholdning See Overview

NYHEDER

Kontrollér dine IT-systemer og undgå insidere

28 jun. 20215 min read

Contents

Virksomheder bliver i stadigt højere grad afhængige af teknologi og IT-systemer, der styrer driften, og derfor stoler vi ofte blindt på de teknologiske værktøjer, vi bruger i hverdagen. Men hvis kontrollen med systemerne svigter og efterlader en virksomhed sårbar, kan det indbyde til både bevidst og ubevidst misbrug af systemerne hos dem, der i fagsprog kaldes insidere.

De teknologiske fremskridt sker hurtigere og hurtigere og i takt med, at IT-systemer udvikles, forfines og får større indflydelse på vores hverdag og arbejdspladser, stiller det også større krav til kontroller og den tekniske sikkerhed.

Engang foregik det hele manuelt, når virksomheder skulle håndtere fakturaer, overføre data til leverandører eller udføre lignende arbejdsprocesser. Men mange steder klares den slags i dag næsten automatisk via de tekniske systemer, virksomheden benytter sig af.

Derfor er virksomheder i 2021 i langt højere grad afhængige af stærke kontrolmiljøer, som sikrer, at systemerne virker og bruges efter hensigten. Ellers risikerer man som virksomhed at stå som svageste led i selskab med teknologien – og at gøre sig selv sårbar over for ubevidst eller bevidst misbrug af manglende kontroller, som kan koste virksomheden dyrt.

Mennesker og teknologi på godt og ondt

Når nye teknologier og kontrolsystemer tages i brug af mennesker, sker det typisk gennem nogle klassiske faser. Først bliver vi bekendte med teknologien, siden bliver vi øvede, og til sidst bliver den en integreret del af vores hverdag, hvor vi dårligt skænker det en tanke. Det skyldes ikke mindst, at teknologien løbende bliver fintunet til vores daglige behov.

Tænk eksempelvis på sikkerhedsforanstaltningerne og kontrollerne i en bil. Hvor man tidligere skulle tjekke olietryk og bremsevæske manuelt, er bilteknologien siden blevet forfinet til at foregå mere automatisk og ubevidst. Derfor forventer vi i dag som en ubevidst og naturlig ting, at bilen giver en melding, hvis noget er galt, og en kontrolhandling skal foretages. Men hvad stiller man op, hvis kontrollerne, vi ubevidst stoler på i hverdagen, ikke virker efter hensigten?

Der kan være mange forklaringer på manglende eller svigtende kontroller, og menneskelige fejl vil ofte være én af dem. Mennesker har fra naturens side indbyggede svagheder, og derfor hænder det, at mennesker ubevidst eller bevidst omgår eller udnytter svage eller manglende kontroller. Den slags mennesker kaldes i fagsprog for insidere.

De tre angrebsvinkler

Inden for cybersikkerhed benytter vi tre termer for den måde, en virksomheds svagheder kan udnyttes / angribes indefra. Handlingen foretages af en ’intern part’, der kan være en medarbejder, konsulent, leverandør eller anden, der har adgang til virksomhedens følsomme oplysninger eller værdier.

Ondsindet – Der er en intern part, der vil stjæle fra eller ødelægge en virksomhed. Dette kan være via tyveri, besvigelser eller spionage.
Uagtsomt – Den interne part er doven, uvant i opgaven, er under arbejdspres eller ukendt med korrekt anvendelse af oplysninger.
Kompromitteret – Den interne parts personlige oplysninger, såsom adgangskoder eller oplysninger, er blevet stjålet eller den interne parts identitet bliver misbrugt af andre.

Et nyligt internationalt studie[1] fra 2020 viser, at blandt de tre typer af angreb, tegner ’Uagtsomt’ sig for 62% af alle hændelser, mens kun 14% er ’Ondsindet’ og 23% er ’Kompromitteret’.

Undersøgelsen viser også, at vi i Europa heldigvis ligger bedre i forhold til Nordamerika, Mellemøsten og Asien, men der er ingen grund til at tro, at vi i Europa bliver fravalgt som mål. Årsagen skal nok findes i, at vi i Europa er længere fremme med at udarbejde politikker, procedurer og kontroller og uddanne vores medarbejdere.

I vores arbejde møder vi ofte ’tillid’ som en nøglekontrol i forhold til håndtering af den ’interne part’. ”Vi har et godt samarbejde med vores IT-leverandør gennem 10 år, og de kender os godt..”, hører vi ofte, når vi rådgiver eller foretager revision. ”Karsten er en betroet medarbejder, der har styr på det hele.” er også ofte hørt.

Tillid er godt, og i Danmark er tillid en mærkesag, men tillid kan udnyttes.

Tillid er godt – kontrol kan hjælpe

Når vi laver systemer og procedurer, kan kontroller godt implementeres, uden at det går ud over tillid. Og oftest reagerer medarbejderne positivt på kontrol, hvis de kan se, at den hjælper dem med at udføre deres opgaver bedre. Særligt i komplekse processer kan en fire-øjne kontrol eller systemisk understøttelse hjælpe medarbejderen med at have tillid til systemet, og at der ikke kan ske utilsigtede hændelser.

Opdag truslerne i tide

Hvordan sikrer man sig så bedst mod en tilsigtet eller utilsigtet insiderhandling i virksomheden? Vi vil opstille fem ting, virksomhederne kan gøre for at forhindre eller minimere risikoen for insiderhandlinger:

Uddannelse
Sørg for at medarbejdere er trænet og uddannet i de systemer og processer, de skal bruge. Træning er vigtig for at skabe en ensartet betjening af systemer og processer og minimerer risikoen for, at skyggesystemer eller -processer opstår. Sørg også for at medarbejderne er trænet i relevant lovgivning eller krav i kontrakter.
Sikring af udstyr
Sørg for at den pc, tablet, telefon eller applikation, som medarbejderne skal bruge, er sikret. Er den bærbare krypteret? Er der tydelige og ensartede retningslinjer for brug af udstyr, systemer og applikationer i virksomheden?
Send sikkert
Er der etableret automatisk kryptering af oplysninger, når de sendes over internettet? Er de apps, services og hjemmesider, som I kommunikerer med, sikret, så uvedkommende ikke kan få adgang til følsomme oplysninger?
Kan IT-sikkerhedspolitikken overholdes?
Har I som ledelse været klare og tydelige i jeres IT-sikkerhedspolitik – og er der bygget kontroller ind i virksomheden, som sikrer, at (væsentlige) kontroller skal overholdes? Kan I som virksomhed se, hvis en medarbejder bryder IT-sikkerhedspolitikken?
Holder I systemerne opdaterede?
Sørg for at I selv eller jeres IT-leverandør opdaterer jeres systemer og enheder periodisk og også straks ved kritiske opdateringer. Ondsindede personer scanner konstant efter sårbare enheder, og en kompromitteret enhed er en nem vej ind til følsomme oplysninger.

Ledelsen står med ansvaret

Uanset om en virksomhed har en stor, lille eller outsourcet IT-afdeling, er det i sidste ende en virksomheds ledelse, der står tilbage med ansvaret for at sikre sunde og stærke kontrolmiljøer. Det er ledelsen, der bestemmer brugen af systemer, hvem der har adgang til hvad, og hvordan man kontrollerer for de alvorlige sikkerhedsfejl, der i værste tilfælde kan true virksomheden på dens eksistens.

Hos Grant Thornton kan vi hjælpe med at finde svar på, hvor sårbar din virksomhed er over for insider-trusler. Vi kan hjælpe med at gennemgå aftaler, ydelser, politikker, kontroller og logs for at se, om der er grund til bekymring.

Protokollerne skal strammes lige tilpas, så ledelsen hverken drukner i uendelige administrative opgaver og logs, men samtidig kan finde ro i sindet ved visheden om et sikkert og kontrolleret miljø, hvor risikoen for insidere – bevidste og ubevidste – er så godt som elimineret.

[1] Ponemon Report 2020 cost of insider threat global report