CISA — edel­leen käytettävissänne

Arvoisa Luki­jani,

Ota roh­keasti yhteyttä! — alla lisä­tie­toa IT auditoinnista.
Puo­lu­ee­ton arviointi vaatimuksena
ATK-tar­kas­tusta, IT audi­toin­tia, voi haluta yri­tyk­sessä moni eri osa­puoli. Oma tilin­tar­kas­ta­jasi voi kom­men­toida asiaa. Toi­saalta tar­kas­tuk­sia teke­vät hyvin­kin eri­tyyp­pi­set yri­tyk­set. Niinpä tar­kas­tuk­sen tavoit­teet, työ­me­ne­tel­mät ja lop­pu­tu­lok­set voi­vat olla todella eri­lai­sia. Pie­nim­mil­lään IT audi­tointi on yksit­täistä jär­jes­tel­mää kos­keva tie­to­turva-ana­lyysi tai tes­taus, joita teh­dään pal­jon esi­mer­kiksi Inter­net-yhteyk­sille, palo­muu­reille, VPN-tun­ne­leille, WWW-sivus­toille tai yri­tyk­sen sovel­lus­pal­ve­li­mille. Tyy­pil­li­siä hyök­käyk­siä voi oma ATK-väki simu­loida itse­kin mm. val­miilla apuoh­jel­milla. Esi­mer­kiksi ATK-jär­jes­tel­män kriit­ti­syy­teen oikeasti suh­tau­tuva kehit­täjä- tai yllä­pi­to­ryhmä haluaa oman selus­tansa tur­vaa­mi­seksi tilata haa­voit­tu­vuusa­na­lyy­sin ulko­puo­li­selta asian­tun­ti­jalta ennen jär­jes­tel­män otta­mista tuotantokäyttöön.
Osaava inte­graat­tori tai ulkois­tus­taho pys­tyy myös aut­ta­maan tar­kas­tuk­sessa havait­tu­jen puut­tei­den kor­jaa­mi­sessa ja kat­ta­van tie­to­tur­van hal­lin­ta­jär­jes­tel­män raken­ta­mi­sessa. Jär­jes­tely on sil­loin hyväk­syt­tä­vissä jos yri­tys­johto tie­tää mitä tilaa ja pro­sessi ete­nee alku­pe­räi­sen toi­mek­sian­non puit­teissa. Tar­kas­ta­valle yri­tyk­selle ei ole kui­ten­kaan kok­saan vii­sasta antaa mah­dol­li­suutta ehdot­taa tie­to­tur­van paran­ta­mis­toi­mia tee­tet­tä­väksi itsel­lään. Eri­tyi­sen tark­kaan on syytä huo­leh­tia siitä, ettei tie­to­tur­van toteut­taja tai yri­tyk­sen tie­to­hal­linto itse (esi­mer­kiksi jär­jes­tel­mien pää­käyt­tä­jät) pääse tar­kas­ta­maan omaa työ­tään. Jos nykyi­set ohjel­mis­to­jen, lait­tei­den, infran toi­mit­taja ja vas­taa­vat tahot pää­se­vät teke­mään “kehi­ty­seh­do­tuk­sen tule­vai­suu­delle”, he tar­joa­vat 99 %:n var­muu­della omia jär­jes­tel­mi­ään, omia pal­ve­lui­taan ja monesti lisäin­ves­toin­teja omiin, jo aikai­sem­min toi­mi­te­tuille, tuotepaletteihinsa.
Audi­toin­nin puo­lu­eet­to­muu­den var­mis­ta­mi­seksi tar­kas­tus onkin aiheel­lista eriyt­tää koko­naan toteut­ta­jista. Työn tulok­set on syytä vaa­tia sel­lai­sessa muo­dossa, että yri­tyk­sen tie­to­tur­vasta vas­taa­vat voi­vat itse toteut­taa ehdo­te­tut toi­men­pi­teet tai käyt­tää saa­maansa raport­tia esi­mer­kiksi tar­jous­kil­pai­lun poh­jana. Kuvaan astu­vat täl­löin tilin­tar­kas­tus­toi­mis­tot, puh­taasti yri­tys­joh­don tasolla toi­mi­vat tie­to­tur­va­kon­sul­tit sekä viral­lis­ten ser­ti­fi­kaat­tien myöntäjät.
Laa­jinta tar­kas­tusta tar­vi­taan sil­loin, kun yri­tyk­sen johto haluaa saada kat­ta­van nyky­tila-ana­lyy­sin. Täl­lai­nen tilanne voi syn­tyä esi­mer­kiksi avain­hen­ki­löi­den vaih­tuessa ja orga­ni­saa­tio­muu­tok­sen tai yri­tys­kau­pan yhteydessä.
IT-audi­toin­teja teh­dään yhä useam­min myös yri­tyk­sen  joh­don tai hal­li­tuk­sen tilauk­sesta. Kan­sain­vä­listä huo­miota herät­tä­neet Enro­nin ja Par­ma­la­tin talous­s­kan­daa­lit ovat nos­ta­neet hyvän hal­lin­to­ta­van, Cor­po­rate Gover­nance, vaa­ti­muk­set pin­nalle myös IT audi­toin­nissa. Myös tie­to­tek­nii­kan ulkois­tuk­sissa asiak­kaan olisi hyvä sisäl­lyt­tää sopi­muk­siin eril­li­nen klausuuli ulkois­tus­kump­pa­nin toi­min­to­jen tar­kas­tusoi­keu­desta. Kai­killa suu­rim­milla ulkois­tus­ta­loilla on jo val­miina kuvauk­set ja todis­tuk­set tie­to­tur­va­me­net­te­lyi­densä kattavuudesta.
Mikäli tar­kas­tus ei rajoitu hal­lin­nol­li­seen tar­kas­tuk­seen, täl­löin ede­tään myös käy­tän­nön tasolle ja tut­ki­taan yksit­täis­ten tie­to­jär­jes­tel­mien suo­jauk­set, käyt­tö­oi­keu­det ja tur­va­jär­jes­te­lyt. Tämä voi olla esi­mer­kiksi Windows‑, linux- ja unix-pal­ve­lin­ten para­met­rien, Active Direc­tory-toi­mia­lu­een tai VPN-/pa­lo­muu­ri­sään­tö­jen auditointi.

ISACAn CISA-tut­kinto
Tie­to­jär­jes­tel­mä­tar­kas­ta­jien kan­sain­vä­li­nen yhteis­toi­min­ta­se­lin on ISACA (Infor­ma­tion Sys­tems Audit and Cont­rol Associa­tion). Jär­jes­tön suo­ma­lai­set noin 250 jäsentä kuu­lu­vat Tie­to­jär­jes­tel­mien tar­kas­tus ja val­vonta ry:n (www.isaca.fi) kir­joille.  Tie­to­turva-asian­tun­ti­jan, ja IT audi­toi­jan,  ammat­ti­tai­don takaa laite- ja ohjel­mis­to­toi­mit­ta­jista riip­pu­ma­ton ser­ti­fi­kaatti. ISACAn myön­tämä tie­to­jär­jes­tel­mä­tar­kas­ta­jan CISA-tut­kinto (Cer­ti­fied Infor­ma­tion Sys­tems Audi­tor) vas­taa lähinnä tilin­tar­kas­tus­maa­il­massa tun­net­tua KHT-tut­kin­toa. Tällä het­kellä CISA-tut­kin­non suo­rit­ta­neita on Suo­messa noin sata henkilöä.
CISA-ISACA-2019
Tar­kas­tus­ten suo­rit­ta­mi­seen ei sinänsä tar­vita mitään eri­tyistä lisens­siä, eikä ISACAn tai IIA:n (Sisäi­set Tar­kas­ta­jat ry Suo­messa) tapa toi­mia ole vält­tä­mättä ainoa oikea. Myös ISACA:n CISM (Cer­ti­fied Infor­ma­tion Secu­rity Mana­ger) ja (ISC)^2‑järjestön (www.isc2.org) CISSP (Cer­ti­fied Infor­ma­tion Sys­tems Secu­rity Pro­fes­sio­nal) ovat monien ATK-tar­kas­ta­jien hank­ki­mia tut­kin­toja. CISA-näyt­tö­ko­keita jär­jes­tää Suo­messa siis  Tie­to­jär­jes­tel­mien tar­kas­tus ja val­vonta ry ja CISSP-kokeita vas­taa­vasti Tie­to­turva ry (www.tietoturva.fi).
Ota roh­keasti yhteyttä!
IT audi­toin­ti­ter­vei­sin Jari, Cer­ti­fied Infor­ma­tion Sys­tems Auditor