Puo­lu­eet­to­massa IT audi­toin­nissa perus­vaa­ti­muk­sena on riip­pu­mat­to­muus — täy­sin riip­pu­ma­ton tilin­tar­kas­tusyh­tei­söistä, ohjel­misto- ja lai­te­toi­mit­ta­jista sekä tie­to­jär­jes­tel­mä­toi­mit­ta­jista. Tämä mah­dol­lis­taa puo­lu­eet­to­man ja tas­a­puo­li­sen arvioin­nin, joka on olen­naista tar­kas­tuk­sen asian­mu­kai­selle suorittamiselle.

DoAu­dit nou­dat­taa omassa toi­min­nas­saan kan­sain­vä­lis­ten ISACA:n (Infor­ma­tion Sys­tems Audit and Cont­rol Associa­tion, www.isaca.org) ja IIA:n (The Ins­ti­tute of Inter­nal Audi­tors, www.iia.org) laa­ti­mia stan­dar­deja ja eet­ti­siä sään­töjä. Suo­messa näitä edus­ta­vat Sisäi­set Tar­kas­ta­jat ry (www.theiia.fi) ja Tie­to­jär­jes­tel­mien tar­kas­tus ja val­vonta ry (www.isaca.fi). Lisäksi Suo­men Yrit­tä­jät ja Etelä-Kar­ja­lan kaup­pa­ka­mari ovat jär­jes­töt joi­hin kuu­lu­mi­nen ovat luon­nol­li­nen osa yri­tyk­sen arvoja ja sitou­tu­mista. Vuo­den 2011 alusta voit kysellä lisä­tie­toa myös Tie­to­tek­nii­kan Lii­ton (www.ttlry.fi) asioista kun aloi­tin pai­kal­li­sen tie­to­jen­kä­sit­tely-yhdis­tyk­sen, ESAT­KYn, puheenjohtajana.

Eri­tyi­sesti poten­ti­aa­li­set kus­tan­nus­sääs­töt kiin­nos­ta­vat monia päät­tä­jiä => ne sel­viä­vät takuu­var­masti riip­pu­mat­to­malla ja puo­lu­eet­to­malla IT auditoinnilla.

Luot­ta­muk­sella  Jari Harju, CISA

Suo­raan­Suo­neen?

Kaik­kein ylei­sin kysy­mys jota kysy­tään: Mitä se “Suo­raan­Suo­neen” oikeas­taan on? Osana nor­maa­lia IT audi­toin­tia ana­ly­soi­daan lisäksi ver­kon aktii­vi­lait­teet, Win­dows-linux-unix-Mac-ympä­ris­töt, kaikki käy­tössä ole­vat ohjel­mis­tot ja kir­joi­te­taan IT audi­toin­ti­ra­portti. Tämän osalta käy­te­tään hyväksi skan­naus­työ­ka­luja IP-ver­kon osalta. Ja nämä teh­dään kaikki täy­sin reaa­liai­kai­sena tie­tona, sekun­nin tarkkuudella.

Osana Suo­raan­Suo­neen-audi­toin­tia voi­daan tehdä esi­mer­kiksi SEPA-audi­tointi ja mil­lai­sen SEPA-suun­ni­tel­man yri­tyk­sesi tarvitsee.

PS: Unoh­ditko sala­sa­nasi tai sala­sana hukassa? Onko tar­vetta saada auki tie­dosto joka suo­jattu sala­sa­nalla tai Win­dow­siin ei pääse kun kukaan ei tiedä käyt­tä­jän sala­sa­naa? Onko yrityksen/työntekijän sala­sa­na­lista tuhottu/poistettu tar­koi­tuk­sella? => Ota yhteyttä, yli 180 eri tie­dos­to­muo­toa aukeaa. Ote­taan luon­nol­li­sesti huo­mioon samalla lex Nokia ja yksi­tyi­syy­den suo­jaan liit­ty­vät asiat. Esi­merkki löy­tyy tästä lin­kistä.

Haluatko tie­tää nykyi­sen ATK-ympä­ris­tösi tilan?

Pro­sessi- ja jär­jes­tel­mä­tar­kas­tus, monesti myös nimellä IT audit, kes­kit­tyy eri­tyis­osaa­mista vaa­ti­vien jär­jes­tel­mien, lii­ke­toi­min­ta­pro­ses­sien, IT-pro­ses­sien ja niissä ole­vien kont­rol­lien tar­kas­ta­mi­seen ja konsultointiin.

DoAu­di­tin pal­ve­luja ovat mm:

  • Ovatko ATK-sys­tee­mimme tie­dot luotettavia?
  • Kuka pää­see yhtiöni arka­luon­tei­siin tie­toi­hin käsiksi?
  • Ovatko IT-jär­jes­tel­mis­täni nykyaikaiset?
  • IT-jär­jes­tel­mien ja tie­to­ver­kon tur­val­li­suu­den ja tie­to­tur­van auditointi
  • eri­tyis­toi­mek­sian­not ja vaa­ti­vien sekä haas­ta­vien tie­to­tek­niik­kaym­pä­ris­tö­jen konsultointi
  • uudet tek­no­lo­giat, tek­nii­kat ja nii­den sovel­ta­mi­nen käytännössä
  • lex Nokian sovel­ta­mi­nen käytännössä

Tie­to­tur­va­haa­voit­tu­vuuk­sien auditointi

Tie­to­tur­va­haa­voit­tu­vuuk­sien audi­toin­nissa sel­vi­te­tään orga­ni­saa­tion sisä­ver­kon Win­dows-työ­ase­mien ja ‑pal­ve­lin­ten haa­voit­tu­vuu­det käyt­tö­jär­jes­tel­mässä ja sovel­luk­sissa. Skan­nauk­sesta tuo­tettu rapotti ker­too sisä­ver­kon todel­li­sen tilan haa­voit­tu­vuuk­sien ja asen­net­tu­jen kor­jaus­päi­vi­tys­ten suhteen.

Pal­velu vas­taa mm. seu­raa­viin orga­ni­saa­tioi­den tie­to­hal­lin­nolle usein koh­dis­tet­ta­viin kysymyksiin:

  • onko tie­to­ver­kon koneilla haa­voit­tu­vuuk­sia, jotka mah­dol­lis­ta­vat tie­to­mur­ron, hait­taoh­jel­man leviä­mi­sen tai muun vaka­van tie­to­tur­vau­han toteutumisen?
  • ovatko kaik­kien tie­to­ver­kon konei­den (työ­ase­mien ja pal­ve­lin­ten käyt­tö­jär­jes­tel­mät ja sovel­luk­set) tie­to­tur­va­päi­vi­tyk­set ajan tasalla?
  • onko orga­ni­saa­tion IT-kont­rol­lit vaa­ti­mus­ten mukai­set, voi­daanko se todis­taa esim. tilin­tar­kas­ta­jalle IT-audi­toin­nin yhteydessä?

Käyt­tö­oi­keuk­sien auditointi

Käyt­tö­oi­keuk­sien audi­toin­nissa kar­toi­te­taan orga­ni­saa­tion käyt­tö­oi­keuk­sien todel­li­nen tilanne ja rapor­toi­daan käyt­täjä- tai resurs­si­koh­tai­sista oikeuksista.

Pal­velu vas­taa mm. seu­raa­viin orga­ni­saa­tioi­den tie­to­hal­lin­nolle usein koh­dis­tet­ta­viin kysymyksiin:

  • kuinka monta käyt­tä­jä­tun­nusta orga­ni­saa­tiossa on?
  • kuinka moni käyt­tä­jä­tun­nus on tarpeeton? ´
  • kuinka monella on liian laa­jat käyt­tä­jä­oi­keu­det toi­men­ku­vaansa nähden?
  • kenellä on oikeu­det tie­tylle pal­ve­li­melle tai tiet­tyyn palveluun?
  • mihin resurs­sei­hin eri käyt­tä­jillä on oikeuksia?

Miksi valit­sen DoAuditin?

Tuot­teista eri­tyi­sesti “Suo­raan­Suo­neen” reaa­liai­kai­nen verk­kos­kan­naus yri­tyk­sesi tie­to­lii­ken­ne­ver­kos­tasi antaa todel­lista käy­tän­nön fak­taa ja oikeaa tie­toa miten pal­ve­li­met, työ­ase­mat, kan­net­ta­vat, tulos­ti­met, verkko (LAN/WAN/WLAN), ohjel­mis­tot ja muut ver­kon aktii­vi­kom­po­nen­tit todel­li­suu­dessa voi­vat. Ja tie­ten­kin IT pro­ses­sit, tie­to­hal­lin­non joh­ta­mi­nen ja sen kehit­tä­mi­nen tule­vat mukana osana auditointiprosessia.

Saat nor­maa­lissa IT audi­toin­nissa sel­ko­kie­li­sen IT audit­ra­por­tin joka koos­tuu seu­raa­vista osista: audi­toin­nin tavoit­teet ja laa­juus, tausta, havai­tut pää­koh­dat ja mie­li­pide, jat­ko­toi­men­pi­teet, aika­taulu ja resurssit.

IT audi­tointi- ja kon­sul­toin­ti­ter­vei­sin Jari, CISA — Cer­ti­fied Infor­ma­tion Sys­tems Auditor