CISA – edelleen käytettävissänne
Arvoisa Lukijani,
Ota rohkeasti yhteyttä! – alla lisätietoa IT auditoinnista.
Puolueeton arviointi vaatimuksena
ATK-tarkastusta, IT auditointia, voi haluta yrityksessä moni eri osapuoli. Oma tilintarkastajasi voi kommentoida asiaa. Toisaalta tarkastuksia tekevät hyvinkin erityyppiset yritykset. Niinpä tarkastuksen tavoitteet, työmenetelmät ja lopputulokset voivat olla todella erilaisia. Pienimmillään IT auditointi on yksittäistä järjestelmää koskeva tietoturva-analyysi tai testaus, joita tehdään paljon esimerkiksi Internet-yhteyksille, palomuureille, VPN-tunneleille, WWW-sivustoille tai yrityksen sovelluspalvelimille. Tyypillisiä hyökkäyksiä voi oma ATK-väki simuloida itsekin mm. valmiilla apuohjelmilla. Esimerkiksi ATK-järjestelmän kriittisyyteen oikeasti suhtautuva kehittäjä- tai ylläpitoryhmä haluaa oman selustansa turvaamiseksi tilata haavoittuvuusanalyysin ulkopuoliselta asiantuntijalta ennen järjestelmän ottamista tuotantokäyttöön.
Osaava integraattori tai ulkoistustaho pystyy myös auttamaan tarkastuksessa havaittujen puutteiden korjaamisessa ja kattavan tietoturvan hallintajärjestelmän rakentamisessa. Järjestely on silloin hyväksyttävissä jos yritysjohto tietää mitä tilaa ja prosessi etenee alkuperäisen toimeksiannon puitteissa. Tarkastavalle yritykselle ei ole kuitenkaan koksaan viisasta antaa mahdollisuutta ehdottaa tietoturvan parantamistoimia teetettäväksi itsellään. Erityisen tarkkaan on syytä huolehtia siitä, ettei tietoturvan toteuttaja tai yrityksen tietohallinto itse (esimerkiksi järjestelmien pääkäyttäjät) pääse tarkastamaan omaa työtään. Jos nykyiset ohjelmistojen, laitteiden, infran toimittaja ja vastaavat tahot pääsevät tekemään “kehitysehdotuksen tulevaisuudelle”, he tarjoavat 99 %:n varmuudella omia järjestelmiään, omia palveluitaan ja monesti lisäinvestointeja omiin, jo aikaisemmin toimitetuille, tuotepaletteihinsa.
Auditoinnin puolueettomuuden varmistamiseksi tarkastus onkin aiheellista eriyttää kokonaan toteuttajista. Työn tulokset on syytä vaatia sellaisessa muodossa, että yrityksen tietoturvasta vastaavat voivat itse toteuttaa ehdotetut toimenpiteet tai käyttää saamaansa raporttia esimerkiksi tarjouskilpailun pohjana. Kuvaan astuvat tällöin tilintarkastustoimistot, puhtaasti yritysjohdon tasolla toimivat tietoturvakonsultit sekä virallisten sertifikaattien myöntäjät.
Laajinta tarkastusta tarvitaan silloin, kun yrityksen johto haluaa saada kattavan nykytila-analyysin. Tällainen tilanne voi syntyä esimerkiksi avainhenkilöiden vaihtuessa ja organisaatiomuutoksen tai yrityskaupan yhteydessä.
IT-auditointeja tehdään yhä useammin myös yrityksen johdon tai hallituksen tilauksesta. Kansainvälistä huomiota herättäneet Enronin ja Parmalatin talousskandaalit ovat nostaneet hyvän hallintotavan, Corporate Governance, vaatimukset pinnalle myös IT auditoinnissa. Myös tietotekniikan ulkoistuksissa asiakkaan olisi hyvä sisällyttää sopimuksiin erillinen klausuuli ulkoistuskumppanin toimintojen tarkastusoikeudesta. Kaikilla suurimmilla ulkoistustaloilla on jo valmiina kuvaukset ja todistukset tietoturvamenettelyidensä kattavuudesta.
Mikäli tarkastus ei rajoitu hallinnolliseen tarkastukseen, tällöin edetään myös käytännön tasolle ja tutkitaan yksittäisten tietojärjestelmien suojaukset, käyttöoikeudet ja turvajärjestelyt. Tämä voi olla esimerkiksi Windows-, linux- ja unix-palvelinten parametrien, Active Directory-toimialueen tai VPN-/palomuurisääntöjen auditointi.
ISACAn CISA-tutkinto
Tietojärjestelmätarkastajien kansainvälinen yhteistoimintaselin on ISACA (Information Systems Audit and Control Association). Järjestön suomalaiset noin 250 jäsentä kuuluvat Tietojärjestelmien tarkastus ja valvonta ry:n (www.isaca.fi) kirjoille. Tietoturva-asiantuntijan, ja IT auditoijan, ammattitaidon takaa laite- ja ohjelmistotoimittajista riippumaton sertifikaatti. ISACAn myöntämä tietojärjestelmätarkastajan CISA-tutkinto (Certified Information Systems Auditor) vastaa lähinnä tilintarkastusmaailmassa tunnettua KHT-tutkintoa. Tällä hetkellä CISA-tutkinnon suorittaneita on Suomessa noin sata henkilöä.
Tarkastusten suorittamiseen ei sinänsä tarvita mitään erityistä lisenssiä, eikä ISACAn tai IIA:n (Sisäiset Tarkastajat ry Suomessa) tapa toimia ole välttämättä ainoa oikea. Myös ISACA:n CISM (Certified Information Security Manager) ja (ISC)^2-järjestön (www.isc2.org) CISSP (Certified Information Systems Security Professional) ovat monien ATK-tarkastajien hankkimia tutkintoja. CISA-näyttökokeita järjestää Suomessa siis Tietojärjestelmien tarkastus ja valvonta ry ja CISSP-kokeita vastaavasti Tietoturva ry (www.tietoturva.fi).
Ota rohkeasti yhteyttä!
IT auditointiterveisin Jari, Certified Information Systems Auditor