Finanstilsynet gennemførte i første halvår af 2018 en IT-inspektion i BEC. Finanstilsynet gennemgik udvalgte dele af IT-området, herunder:
-
IT-sikkerhedsstyring, IT-risikovurderinger, IT-sikkerhedspolitik
-
Outsourcing
-
IT-driftsafvikling & udvikling
-
Adgang til systemer og data
-
Beredskabsplanlægning
-
Systemrevisionens gennemførelse
Sammenfatning og risikovurdering
Det er Finanstilsynets vurdering, at BEC har fokus på IT-sikkerhedsstyring og løbende iværksætter forbedringstiltag på baggrund af trusselsudviklingen og BEC’s IT-risikobillede. Finanstilsynet har dog konstateret, at BEC på enkelte områder opererer med forhøjet risiko i relation til IT-anvendelsen. BEC skal i højere grad forbedre styringen og kontrollen med de outsourcede aktiviteter og sikre, at outsourcingsleverandørernes IT-sikkerhedsstyring er tilstrækkelig betryggende og modsvarer BEC’s krav.
Finanstilsynet har ligeledes påbudt BEC at styrke den løbende IT-risikostyring blandt andet ved i højere grad at dokumentere og synliggøre sammenhængen mellem risici og kontroller, samt at styrke dokumentationsgrundlaget for den samlede IT-risikovurdering.
BEC skal endvidere forbedre krav og forretningsgange i relation til ændringsstyringen samt forbedre styringen og kontrollen med implementeringen af sikkerhedspatches.