Data i minidatormiljöer är ofta inte tillräckligt skyddade. Problemen kan spåras med hjälp av databehandlingskommitténs nya metodanvisning.
Intresset är stort för databehandlingskommitténs metodanvisning för att granska behörighetskontroller i s.k. minidatormiljö.
Anvisningen har visat sig mycket användbar för att identifiera situationer där det inte finns tillräckligt skydd mot att obehöriga kommer åt data.
Det finns en rad exempel på sådana situationer.
Ofta har man inte kartlagt vilket behörighetsskydd som krävs, vilken information som är känslig eller vilka resurser som behöver skyddas.
Det händer att behörighetskoder inte ändras regelbundet. Ibland har flera användare fått samma behörighetskod.
Det kan förekomma inaktuella behörighets- och inloggningskoder. Personer som slutat sin anställning finns kvar i systemet.
Används inte
Påloggade terminaler lämnas ofta obevakade. Funktioner som automatiskt loggar av oanvända terminaler används inte.
Man följer inte upp om behörighetsreglerna efterlevs.
Eftersom ett företags information används för beslut och åtgärder är det viktigt att obehöriga inte kommer åt den. Felaktiga beslut kan i förlängningen resultera i fel i årsredovisningen. Bra behörighetskontroller är därför nödvändiga och de måste granskas av revisorn.
Intervjuguide
Databehandlingskommitténs metodanvisning för minidatormiljöer består av en granskningshandledning och ett antal checklistor. Rent praktiskt ger metodanvisningen vägledning om hur man granskar kontrollnivån i behörighetssystemet i en IBM S/38-miljö.
Handledningen beskriver bl.a. de funktioner i hård- och mjukvara som har betydelse för granskningen. Den tar också upp några revisionsaspekter på olika ”åtkomstvägar” in i systemet.
Checklistorna är ganska detaljerade för att kunna passa in på både små och stora klienter. Listorna ser ut som ”intervjuguider”. De ska givetvis användas kritiskt. Alla frågor på listan ska alltså inte tas upp i varje situation. Revisorn får inte bli slav under checklistorna.
Metodanvisningen är tänkt för såväl granskning av räkenskaper och förvaltning som för rena konsultinsatser. Syftet får då styra ambitionsnivån.
Metodanvisningen kan rekvireras från FARs kansli till självkostnadspris.