Hyvät luki­jat ja asiakkaani,

kuten olemme IT audi­toin­neissa huo­man­neet, maa­lais­järki ja pit­kä­jän­tei­nen työ aut­ta­vat eri­tyi­sesti tie­to­lii­ken­ne­ver­kon ja tie­to­tur­van osalta.

Muista aina­kin seu­raa­vat koh­dat jotka tule­vat esille IT audi­toin­neissa — kuten Juko­lan vies­tin seit­se­män vel­jestä — seit­se­män perusohjetta:

1. Vas­tuuta — tee sel­keä pää­tös kenen vas­tuulla ovat tie­to­lii­kenne, tie­to­turva, ohjel­mis­tot, ris­kien­hal­linta, jne. Ja vaikka oli­sit ulkois­ta­nut, otta­nut käyt­töön tie­to­ver­kon osalta vir­tua­li­soin­tia, hyö­dyn­tä­nyt pilvi (cloud) — pal­ve­luita, ne ovat edel­leen yri­tyk­sen vas­tuulla. Käy­tän tästä ter­miä SEPPO — ongelma, Some­body Else’s Problem, ei vie­ritä vas­tuuta yri­tyk­seltä itsel­tään vas­tuun osalta
2. Anna oikea­seti resurs­sit käyt­töön — sat­saa rahaa ja hen­ki­löitä esi­mer­kiksi tie­to­lii­kenne- ja tietoturva-asioihin
3. Tee ATK-asioista ja IT-ohjeista käy­tän­nön lähei­siä — tee yli­päänsä ohjeet ja prosessit
4. Ana­ly­soi uhat — ulkoi­set ja sisäi­set ja tark­kaile eri­tyi­sesti IT-sys­tee­min poikkeavuuksia
5. Mieti aina ihmi­sen mie­lellä — rikos on aina ihmi­sen tekemä, ei tietokoneen
6. Suo­jaa ainee­ton, tie­to­kan­noissa oleva, omai­suus. Eri­tyi­sesti käyt­tö­oi­keu­det ja nii­hin häly­tys­ra­jat — tar­kista sää­nöl­li­sesti ris­ki­kar­toi­tuk­sen yhteydessä
7. Tär­kein kohta => Näytä itse esi­merk­kiä äläkä mene alta lipan itse — vali­tet­ta­vasti kaik­kein ylei­sin ongelma

Puo­lu­eet­to­malla ja riip­pu­mat­to­malla IT audi­toin­nilla käy­dään hyvin eri­lai­sia vaih­toeh­toja läpi. Monesti oma orga­ni­saa­tio ei näe met­sää puilta ja kun aina on näin tehty, ei tule edes mie­leen miet­tiä uusien mah­dol­li­suuk­sien hyö­dyn­tä­mistä. Kun esi­mer­kiksi teet IT-asioista omalle hen­ki­lö­kun­nal­lesi tär­keän asian, se on myös tär­kein voi­ma­va­rasi — osaa­vat ihmi­set — jotka toi­mi­vat jär­ke­västi ver­kossa ja tor­ju­vat omalla toi­min­nal­laan enna­kolta jo epäi­lyt­tä­viä asioita.

Kevään ja vapun kautta kesään

Kun saamme vii­meis­tään vap­puna 2010 käyt­töön upo­uu­den Mic­ro­soft Office 2010:n esit­teen ja infon, mie­timme aina­kin pie­nen het­ken kan­nat­taako päi­vit­tää nykyi­set joko Office 2003 tai Office 2007 uudem­paan — onko siitä hyö­tyä? Samoin pan­kit, ohjel­mis­to­toi­mit­ta­jat ja muut tahot lähes­ty­vät SEPA (Single Euro­pean Pay­ment Area) asioissa yri­tyk­siä — mitä pitäisi tehdä ja onko pal­kan­las­kenta — kir­jan­pito — myyn­ti­res­konta — osto­res­konta — mak­su­lii­kenne — yli­päänsä koko talous­hal­lin­non ketju pro­ses­sei­neen kunnossa?

Täl­löin on hyvä hetki miet­tiä myös audi­toin­tia — onko kukaan kat­so­nut ulko­puo­li­sena mei­dän IT-sys­tee­mit läpi ja arvioi­nut nii­den tilan­teen? Säh­kö­pos­titse, neu­vot­te­lu­pu­he­lulla, sosi­aa­li­sen median ja vaik­kapa sky­pet­tä­mi­sen kei­noin saa­dut vas­tauk­set nykyi­siltä ATK-toi­mit­ta­jilta ovat aina ihmis­ten ker­to­mia. Mitä jos sukel­tai­simme suo­raan tie­to­lii­ken­ne­ver­kon kautta kat­so­maan tilan­netta, LIVEnä? Sitä var­ten eri­tyi­sesti Suo­raan­Suo­neen, reaa­liai­kai­nen IT audi­tointi, antaa vas­tauk­set näi­hin. Ainoa asia mitä Sinun pitää tie­tää ennen audi­toin­tia — Miten tai näin asian pitäisi olla => tar­kis­te­taan luu­le­mi­sen ja oikean tilan­teen ero. Luulo ei ole aina vii­mei­sin tilanne ja hyvin usein tie­to­verkko toi­mii eri tavalla kuin sen on tar­koi­tettu toimivan.

Ota yhteyttä, rohkeasti!

ter­vei­sin Jari — Roh­keasti läsnä