Arvoisa lukijani ja asiakkaani,
Jari, mitä se IT auditointi oikeasti on? Tätä kysytään hyvin usein, samoin kuin eroa sisäisen IT tarkastuksen ja IT auditoinnin osalta. Lisäksi yhä edelleen monen yrityksen ATK-henkilöstö suhtautuu ulkoisiin ja sisäisiin ATK-tarkastuksiin usein epäluuloisesti, eikö vaan? Tämän asiakasinfon yhteydessä alla olevissa kappaleissa on pyritty selventämään IT auditointia ylipäänsä.
Monesti nämä sinänsä hyvät kysymykset ovat turhaa epäluuloa sillä ATK-tarkastuksessa pyritään aidosti yhteistyöhön (ellei kyse ole lex Nokia asioista tai vastaavista). Toisin kuin esim. penetraatiotesteissä, IT auditoija ei useinkaan käy itse tekemään suoraan toimenpiteitä vaan pyytää esimerkiksi palvelinten pääkäyttäjiä tuottamaan tarvittavat raportit. Pitää myös muistaa että tarkastajan tietämättömyys yrityksen järjestelmien erityispiirteistä tai osaamattomuus yrityskohtaisten sovellusten käytössä ei saa missään tapauksessa aiheuttaa vahinkoa yrityksen ATK-järjestelmille.
Mikä juuri NYT on ajankohtaista?
Mikä siis on nyt joulukuu 2010 – helmikuu 2011 välisellä ajalla uutta ja ajankohtaista? Cloud computing – pilvipalvelut – ovat ulkoistuksen osalta monien huulilla. Keväällä 2011 tulee lisää pilviä taivaalle kun Microsoft julkaisee myös Office365 – konseptinsa Suomessa.
Ja tietenkin viimeistään joulupukin kontissa tulevat uudet älypuhelimet (Android-, Symbian 3-, Windows Phone 7- ja iPhone-pohjaiset), niiden uudet ominaisuudet ja erityisesti ko. laitteiden kytkeminen yritysten verkkoihin vaikuttavat heti vuoden 2011 alussa yritysten infraan ja järjestelmiin. Kysy pilvistä ja uusista tekniikoista ihmeessä lisää, tehdään samalla esimerkiksi SuoraanSuoneen-tekniikalla koko yrityksesi ATK-tilanteen selvitys, riippumattomasti ja puolueettomasti.
Aikaisemmin pelkästään blogeissa käytetty WordPressin tekniikka on lyönyt itsensä läpi yrityksissä myös Intranet-, Extranet- ja Internet-käytössä mutta se miten WordPress kytketään osaksi Apache- tai Microsoftin IIS-webympäristöä, PHP-ohjelmointia tai MySQL-kantoja? => Ota yhteyttä niin katsotaan tarkemmin ko. asiaa. Lisäksi SEPA – Single European Payment Area, käänteinen ALV rakennusalalle 1.4.2011 alkaen ja verotilien muutokset teettävät kaikissa ATK-järjestelmissä todella paljon muutoksia. Auditoidaan nykyinen IT-järjestelmäsi ja tehdään suunnitelma ja suositukset vuosille 2011 – 2012!
uusien asioiden tiimoilta – terveisin Jari
Auditoinnissa riippumattomuuden käsite
Tietotekniikkaan käytetään monissa yrityksissä vuosittain suuria summia. Ovatko IT-investoinnit kohdistettu oikein ja onko tietoturva, varmistukset ja käyttöoikeudet todella asianmukaisesti hoidettu? Monesti pitää ottaa huomioon se fakta, että yrityksen ylin johto ei tavallisesti ole varsinainen tietoturvan asiantuntija. Tietoturvaan suhtaudutaan usein välttämättömänä pahana, ja sille saatetaan osoittaa resursseja ja määrärahoja heppoisin perustein. ATK-henkilöstö osaa käyttää hyväkseen julkisuudessa liikkuvia tarinoita mm. tietomurroista, viruksista ja käyttäjätunnusten/salasanojen varastamisesta, ja läpipäässeet haittaohjelmat sekä suoranaiset väärinkäytökset saavat kyllä talouspäällikön kukkaron nyörit heltymään.
Yrityksen johdon kannalta tilanne on ongelmallinen. Taustalla kalvaa kenties epäilys sinänsä osaavan oman ATK-henkilöstön kyvyistä kokonaisvaltaisen tietoturvan, varmuuskopioinnin ja jatkuvuuden varmistamiseen. Lisäksi ulkoistuskumppanin IT-osaamiseen saattaa sinänsä olla helpompi luottaa, mutta onko siltäkään osattu tiukan kilpailutuksen tuoksinassa edes vaatia riittävää tietoturvaa?
Tämänkaltaisiin yritysjohdon huoliin on tarjolla koeteltu lääke => riippumaton, puolueeton ja ulkopuolinen auditointi/konsultti, joka arvioi tilanteen. Juuri sitä mitä DoAudit Oy myös tekee.
Puolueeton arviointi vaatimuksena
ATK-tarkastusta, IT auditointia, voi haluta yrityksessä moni eri osapuoli. Oma tilintarkastajasi voi kommentoida asiaa. Toisaalta tarkastuksia tekevät hyvinkin erityyppiset yritykset. Niinpä tarkastuksen tavoitteet, työmenetelmät ja lopputulokset voivat olla todella erilaisia. Pienimmillään IT auditointi on yksittäistä järjestelmää koskeva tietoturva-analyysi tai testaus, joita tehdään paljon esimerkiksi Internet-yhteyksille, palomuureille, VPN-tunneleille, WWW-sivustoille tai yrityksen sovelluspalvelimille. Tyypillisiä hyökkäyksiä voi oma ATK-väki simuloida itsekin mm. valmiilla apuohjelmilla. Esimerkiksi ATK-järjestelmän kriittisyyteen oikeasti suhtautuva kehittäjä- tai ylläpitoryhmä haluaa oman selustansa turvaamiseksi tilata haavoittuvuusanalyysin ulkopuoliselta asiantuntijalta ennen järjestelmän ottamista tuotantokäyttöön.
Osaava integraattori tai ulkoistustaho pystyy myös auttamaan tarkastuksessa havaittujen puutteiden korjaamisessa ja kattavan tietoturvan hallintajärjestelmän rakentamisessa. Järjestely on silloin hyväksyttävissä jos yritysjohto tietää mitä tilaa ja prosessi etenee alkuperäisen toimeksiannon puitteissa. Tarkastavalle yritykselle ei ole kuitenkaan koksaan viisasta antaa mahdollisuutta ehdottaa tietoturvan parantamistoimia teetettäväksi itsellään. Erityisen tarkkaan on syytä huolehtia siitä, ettei tietoturvan toteuttaja tai yrityksen tietohallinto itse (esimerkiksi järjestelmien pääkäyttäjät) pääse tarkastamaan omaa työtään. Jos nykyiset ohjelmistojen, laitteiden, infran toimittaja ja vastaavat tahot pääsevät tekemään “kehitysehdotuksen tulevaisuudelle”, he tarjoavat 99 %:n varmuudella omia järjestelmiään, omia palveluitaan ja monesti lisäinvestointeja omiin, jo aikaisemmin toimitetuille, tuotepaletteihinsa.
Auditoinnin puolueettomuuden varmistamiseksi tarkastus onkin aiheellista eriyttää kokonaan toteuttajista. Työn tulokset on syytä vaatia sellaisessa muodossa, että yrityksen tietoturvasta vastaavat voivat itse toteuttaa ehdotetut toimenpiteet tai käyttää saamaansa raporttia esimerkiksi tarjouskilpailun pohjana. Kuvaan astuvat tällöin tilintarkastustoimistot, puhtaasti yritysjohdon tasolla toimivat tietoturvakonsultit sekä virallisten sertifikaattien myöntäjät.
Laajinta tarkastusta tarvitaan silloin, kun yrityksen johto haluaa saada kattavan nykytila-analyysin. Tällainen tilanne voi syntyä esimerkiksi avainhenkilöiden vaihtuessa ja organisaatiomuutoksen tai yrityskaupan yhteydessä.
IT-auditointeja tehdään yhä useammin myös yrityksen johdon tai hallituksen tilauksesta. Kansainvälistä huomiota herättäneet Enronin ja Parmalatin talousskandaalit ovat nostaneet hyvän hallintotavan, Corporate Governance, vaatimukset pinnalle myös IT auditoinnissa. Myös tietotekniikan ulkoistuksissa asiakkaan olisi hyvä sisällyttää sopimuksiin erillinen klausuuli ulkoistuskumppanin toimintojen tarkastusoikeudesta. Kaikilla suurimmilla ulkoistustaloilla on jo valmiina kuvaukset ja todistukset tietoturvamenettelyidensä kattavuudesta.
Mikäli tarkastus ei rajoitu hallinnolliseen tarkastukseen, tällöin edetään myös käytännön tasolle ja tutkitaan yksittäisten tietojärjestelmien suojaukset, käyttöoikeudet ja turvajärjestelyt. Tämä voi olla esimerkiksi Windows-, linux- ja unix-palvelinten parametrien, Active Directory-toimialueen tai VPN-/palomuurisääntöjen auditointi.
ISACAn CISA-tutkinto
Tietojärjestelmätarkastajien kansainvälinen yhteistoimintaselin on ISACA (Information Systems Audit and Control Association). Järjestön suomalaiset noin 250 jäsentä kuuluvat Tietojärjestelmien tarkastus ja valvonta ry:n (www.isaca.fi) kirjoille. Tietoturva-asiantuntijan, ja IT auditoijan, ammattitaidon takaa laite- ja ohjelmistotoimittajista riippumaton sertifikaatti. ISACAn myöntämä tietojärjestelmätarkastajan CISA-tutkinto (Certified Information Systems Auditor) vastaa lähinnä tilintarkastusmaailmassa tunnettua KHT-tutkintoa. Tällä hetkellä CISA-tutkinnon suorittaneita on Suomessa noin sata henkilöä.
Tarkastusten suorittamiseen ei sinänsä tarvita mitään erityistä lisenssiä, eikä ISACAn tai IIA:n (Sisäiset Tarkastajat ry Suomessa) tapa toimia ole välttämättä ainoa oikea. Myös ISACA:n CISM (Certified Information Security Manager) ja (ISC)^2-järjestön (www.isc2.org) CISSP (Certified Information Systems Security Professional) ovat monien ATK-tarkastajien hankkimia tutkintoja. CISA-näyttökokeita järjestää Suomessa siis Tietojärjestelmien tarkastus ja valvonta ry ja CISSP-kokeita vastaavasti Tietoturva ry (www.tietoturva.fi).
IT auditointiterveisin Jari, Certified Information Systems Auditor
