Tilsynsbesøg udløser påbud: SDC skal forbedre IT-risikostyring

En IT-inspektion hos datacentralen SDC, hvis platform bruges af 120 nordiske banker, har givet anledning til nogle løftede pegefingre fra Finanstilsynet.

- Finanstilsynet vurderer, at SDC har væsentlige svagheder i sin IT-risikostyring og organisering af IT-sikkerhedsarbejdet. På enkelte områder opererer SDC med en forhøjet risiko, indleder Finanstilsynet sin sammenfatning af inspektionen, der blev gennemført i perioden maj til september.

Inspektionen har udløst en række påbud. Tilsynet vurderer, at SDC grundlæggende skal forbedre sin generelle IT-risikostyring, og at datacentralen mangler en efterlevelse af den vedtagne opgavebeskrivelse for området.

- Finanstilsynet har givet påbud om at efterleve opgavebeskrivelsen og i forlængelse heraf at forbedre kontrolfunktionen og kvalitetssikringen, uddybes det.

Derudover peger tilsynet på, at SDC skal forbedre IT-sikkerhedsstyring, hvor SDC i højere grad skal sikre, at opgaver, ansvar og organisering af IT-sikkerhedsarbejdet styrkes og er i overensstemmelse med de fastsatte krav.

- SDC mangler en klar adskillelse mellem 1. og 2. forsvarslinje. Finanstilsynet har givet påbud om at afhjælpe de deraf afledte mangler i de uafhængige kontroller, skriver Finanstilsynet.

SDC bliver også bedt om at forbedre efterlevelsen af de interne krav og forretningsgange i relation til outsourcing samt forbedre bestyrelsesrapporteringen.

- SDC mangler operationelle exit-planer samt faste procedurer for dele af bestyrelsesrapporteringen. Finanstilsynet har givet påbud om, at SDC skal sikre exit-planer samt procedurer for den generelle outsourcingrapportering til bestyrelsen, fremgår det.

Tilsynet har også givet et påbud i forhold til at risikovurdere adgange til systemer og data.

Og beredskabsplanlægningen har også udløst et påbud, idet selskabet ikke vurderes at have en fast ensartet metode og krav til at udvælge, hvilke testscenarier der skal udføres i forbindelse med beredskabstestene.