Arvoisa luki­jani ja asiakkaani,

Jari, mitä se IT audi­tointi oikeasti on? Tätä kysy­tään hyvin usein, samoin kuin eroa sisäi­sen IT tar­kas­tuk­sen ja IT audi­toin­nin osalta. Lisäksi yhä edel­leen monen yri­tyk­sen ATK-hen­ki­löstö suh­tau­tuu ulkoi­siin ja sisäi­siin ATK-tar­kas­tuk­siin usein epä­luu­loi­sesti, eikö vaan? Tämän asia­kas­in­fon yhtey­dessä alla ole­vissa kap­pa­leissa on pyritty sel­ven­tä­mään IT audi­toin­tia ylipäänsä.

Monesti nämä sinänsä hyvät kysy­myk­set ovat tur­haa epä­luu­loa sillä ATK-tar­kas­tuk­sessa pyri­tään aidosti yhteis­työ­hön (ellei kyse ole lex Nokia asioista tai vas­taa­vista). Toi­sin kuin esim. penet­raa­tio­tes­teissä, IT audi­toija ei usein­kaan käy itse teke­mään suo­raan toi­men­pi­teitä vaan pyy­tää esi­mer­kiksi pal­ve­lin­ten pää­käyt­tä­jiä tuot­ta­maan tar­vit­ta­vat rapor­tit. Pitää myös muis­taa että tar­kas­ta­jan tie­tä­mät­tö­myys yri­tyk­sen jär­jes­tel­mien eri­tyis­piir­teistä tai osaa­mat­to­muus yri­tys­koh­tais­ten sovel­lus­ten käy­tössä ei saa mis­sään tapauk­sessa aiheut­taa vahin­koa yri­tyk­sen ATK-järjestelmille. 

Mikä juuri NYT on ajankohtaista?

Mikä siis on nyt jou­lu­kuu 2010 — hel­mi­kuu  2011 väli­sellä ajalla uutta ja ajan­koh­taista? Cloud com­pu­ting — pil­vi­pal­ve­lut — ovat ulkois­tuk­sen osalta monien huu­lilla. Keväällä 2011 tulee lisää pil­viä tai­vaalle kun Mic­ro­soft jul­kai­see myös Office365 — kon­sep­tinsa Suomessa.

Ja tie­ten­kin vii­meis­tään jou­lu­pu­kin kon­tissa tule­vat uudet äly­pu­he­li­met (Android‑, Sym­bian 3‑, Win­dows Phone 7-  ja iPhone-poh­jai­set), nii­den uudet omi­nai­suu­det ja eri­tyi­sesti ko. lait­tei­den kyt­ke­mi­nen yri­tys­ten verk­koi­hin vai­kut­ta­vat heti vuo­den 2011 alussa yri­tys­ten infraan ja jär­jes­tel­miin. Kysy pil­vistä ja uusista tek­nii­koista ihmeessä lisää, teh­dään samalla esi­mer­kiksi Suo­raan­Suo­neen-tek­nii­kalla koko yri­tyk­sesi ATK-tilan­teen sel­vi­tys, riip­pu­mat­to­masti ja puolueettomasti.

Aikai­sem­min pel­käs­tään blo­geissa käy­tetty WordPres­sin tek­niikka on lyö­nyt itsensä läpi yri­tyk­sissä myös Intranet‑, Ext­ra­net- ja Inter­net-käy­tössä mutta se miten WordPress kyt­ke­tään osaksi Apache- tai Mic­ro­sof­tin IIS-webym­pä­ris­töä, PHP-ohjel­moin­tia tai MySQL-kan­toja? => Ota yhteyttä niin kat­so­taan tar­kem­min ko. asiaa. Lisäksi SEPA — Single Euro­pean Pay­ment Area, kään­tei­nen ALV raken­nusa­lalle 1.4.2011 alkaen ja vero­ti­lien muu­tok­set teet­tä­vät kai­kissa ATK-jär­jes­tel­missä todella pal­jon muu­tok­sia. Audi­toi­daan nykyi­nen IT-jär­jes­tel­mäsi ja teh­dään suun­ni­telma ja suo­si­tuk­set vuo­sille 2011 — 2012!

uusien asioi­den tii­moilta — ter­vei­sin Jari

Audi­toin­nissa riip­pu­mat­to­muu­den käsite

Tie­to­tek­niik­kaan käy­te­tään monissa yri­tyk­sissä vuo­sit­tain suu­ria sum­mia. Ovatko IT-inves­toin­nit koh­dis­tettu oikein ja onko tie­to­turva, var­mis­tuk­set ja käyt­tö­oi­keu­det todella asian­mu­kai­sesti hoi­dettu? Monesti pitää ottaa huo­mioon se fakta, että yri­tyk­sen ylin johto ei taval­li­sesti ole var­si­nai­nen tie­to­tur­van asian­tun­tija. Tie­to­tur­vaan suh­tau­du­taan usein vält­tä­mät­tö­mänä pahana, ja sille saa­te­taan osoit­taa resurs­seja ja mää­rä­ra­hoja hep­poi­sin perus­tein. ATK-hen­ki­löstö osaa käyt­tää hyväk­seen jul­ki­suu­dessa liik­ku­via tari­noita mm. tie­to­mur­roista, viruk­sista ja käyttäjätunnusten/salasanojen varas­ta­mi­sesta, ja läpi­pääs­seet hait­taoh­jel­mat sekä suo­ra­nai­set vää­rin­käy­tök­set saa­vat kyllä talous­pääl­li­kön kuk­ka­ron nyö­rit heltymään.

Yri­tyk­sen joh­don kan­nalta tilanne on ongel­mal­li­nen. Taus­talla kal­vaa ken­ties epäi­lys sinänsä osaa­van oman ATK-hen­ki­lös­tön kyvyistä koko­nais­val­tai­sen tie­to­tur­van, var­muus­ko­pioin­nin ja jat­ku­vuu­den var­mis­ta­mi­seen. Lisäksi ulkois­tus­kump­pa­nin IT-osaa­mi­seen saat­taa sinänsä olla hel­pompi luot­taa, mutta onko sil­tä­kään osattu tiu­kan kil­pai­lu­tuk­sen tuok­si­nassa edes vaa­tia riit­tä­vää tietoturvaa?

Tämän­kal­tai­siin yri­tys­joh­don huo­liin on tar­jolla koe­teltu lääke => riip­pu­ma­ton, puo­lu­ee­ton ja ulko­puo­li­nen auditointi/konsultti, joka arvioi tilan­teen. Juuri sitä mitä DoAu­dit Oy myös tekee.

Puo­lu­ee­ton arviointi vaatimuksena

ATK-tar­kas­tusta, IT audi­toin­tia, voi haluta yri­tyk­sessä moni eri osa­puoli. Oma tilin­tar­kas­ta­jasi voi kom­men­toida asiaa. Toi­saalta tar­kas­tuk­sia teke­vät hyvin­kin eri­tyyp­pi­set yri­tyk­set. Niinpä tar­kas­tuk­sen tavoit­teet, työ­me­ne­tel­mät ja lop­pu­tu­lok­set voi­vat olla todella eri­lai­sia. Pie­nim­mil­lään IT audi­tointi on yksit­täistä jär­jes­tel­mää kos­keva tie­to­turva-ana­lyysi tai tes­taus, joita teh­dään pal­jon esi­mer­kiksi Inter­net-yhteyk­sille, palo­muu­reille, VPN-tun­ne­leille, WWW-sivus­toille tai yri­tyk­sen sovel­lus­pal­ve­li­mille. Tyy­pil­li­siä hyök­käyk­siä voi oma ATK-väki simu­loida itse­kin mm. val­miilla apuoh­jel­milla. Esi­mer­kiksi ATK-jär­jes­tel­män kriit­ti­syy­teen oikeasti suh­tau­tuva kehit­täjä- tai yllä­pi­to­ryhmä haluaa oman selus­tansa tur­vaa­mi­seksi tilata haa­voit­tu­vuusa­na­lyy­sin ulko­puo­li­selta asian­tun­ti­jalta ennen jär­jes­tel­män otta­mista tuotantokäyttöön.

Osaava inte­graat­tori tai ulkois­tus­taho pys­tyy myös aut­ta­maan tar­kas­tuk­sessa havait­tu­jen puut­tei­den kor­jaa­mi­sessa ja kat­ta­van tie­to­tur­van hal­lin­ta­jär­jes­tel­män raken­ta­mi­sessa. Jär­jes­tely on sil­loin hyväk­syt­tä­vissä jos yri­tys­johto tie­tää mitä tilaa ja pro­sessi ete­nee alku­pe­räi­sen toi­mek­sian­non puit­teissa. Tar­kas­ta­valle yri­tyk­selle ei ole kui­ten­kaan kok­saan vii­sasta antaa mah­dol­li­suutta ehdot­taa tie­to­tur­van paran­ta­mis­toi­mia tee­tet­tä­väksi itsel­lään. Eri­tyi­sen tark­kaan on syytä huo­leh­tia siitä, ettei tie­to­tur­van toteut­taja tai yri­tyk­sen tie­to­hal­linto itse (esi­mer­kiksi jär­jes­tel­mien pää­käyt­tä­jät) pääse tar­kas­ta­maan omaa työ­tään. Jos nykyi­set ohjel­mis­to­jen, lait­tei­den, infran toi­mit­taja ja vas­taa­vat tahot pää­se­vät teke­mään “kehi­ty­seh­do­tuk­sen tule­vai­suu­delle”, he tar­joa­vat 99 %:n var­muu­della omia jär­jes­tel­mi­ään, omia pal­ve­lui­taan ja monesti lisäin­ves­toin­teja omiin, jo aikai­sem­min toi­mi­te­tuille, tuotepaletteihinsa.

Audi­toin­nin puo­lu­eet­to­muu­den var­mis­ta­mi­seksi tar­kas­tus onkin aiheel­lista eriyt­tää koko­naan toteut­ta­jista. Työn tulok­set on syytä vaa­tia sel­lai­sessa muo­dossa, että yri­tyk­sen tie­to­tur­vasta vas­taa­vat voi­vat itse toteut­taa ehdo­te­tut toi­men­pi­teet tai käyt­tää saa­maansa raport­tia esi­mer­kiksi tar­jous­kil­pai­lun poh­jana. Kuvaan astu­vat täl­löin tilin­tar­kas­tus­toi­mis­tot, puh­taasti yri­tys­joh­don tasolla toi­mi­vat tie­to­tur­va­kon­sul­tit sekä viral­lis­ten ser­ti­fi­kaat­tien myöntäjät.

Laa­jinta tar­kas­tusta tar­vi­taan sil­loin, kun yri­tyk­sen johto haluaa saada kat­ta­van nyky­tila-ana­lyy­sin. Täl­lai­nen tilanne voi syn­tyä esi­mer­kiksi avain­hen­ki­löi­den vaih­tuessa ja orga­ni­saa­tio­muu­tok­sen tai yri­tys­kau­pan yhteydessä.

IT-audi­toin­teja teh­dään yhä useam­min myös yri­tyk­sen  joh­don tai hal­li­tuk­sen tilauk­sesta. Kan­sain­vä­listä huo­miota herät­tä­neet Enro­nin ja Par­ma­la­tin talous­s­kan­daa­lit ovat nos­ta­neet hyvän hal­lin­to­ta­van, Cor­po­rate Gover­nance, vaa­ti­muk­set pin­nalle myös IT audi­toin­nissa. Myös tie­to­tek­nii­kan ulkois­tuk­sissa asiak­kaan olisi hyvä sisäl­lyt­tää sopi­muk­siin eril­li­nen klausuuli ulkois­tus­kump­pa­nin toi­min­to­jen tar­kas­tusoi­keu­desta. Kai­killa suu­rim­milla ulkois­tus­ta­loilla on jo val­miina kuvauk­set ja todis­tuk­set tie­to­tur­va­me­net­te­lyi­densä kattavuudesta.

Mikäli tar­kas­tus ei rajoitu hal­lin­nol­li­seen tar­kas­tuk­seen, täl­löin ede­tään myös käy­tän­nön tasolle ja tut­ki­taan yksit­täis­ten tie­to­jär­jes­tel­mien suo­jauk­set, käyt­tö­oi­keu­det ja tur­va­jär­jes­te­lyt. Tämä voi olla esi­mer­kiksi Windows‑, linux- ja unix-pal­ve­lin­ten para­met­rien, Active Direc­tory-toi­mia­lu­een tai VPN-/pa­lo­muu­ri­sään­tö­jen auditointi.

ISACAn CISA-tut­kinto

Tie­to­jär­jes­tel­mä­tar­kas­ta­jien kan­sain­vä­li­nen yhteis­toi­min­ta­se­lin on ISACA (Infor­ma­tion Sys­tems Audit and Cont­rol Associa­tion). Jär­jes­tön suo­ma­lai­set noin 250 jäsentä kuu­lu­vat Tie­to­jär­jes­tel­mien tar­kas­tus ja val­vonta ry:n (www.isaca.fi) kir­joille.  Tie­to­turva-asian­tun­ti­jan, ja IT audi­toi­jan,  ammat­ti­tai­don takaa laite- ja ohjel­mis­to­toi­mit­ta­jista riip­pu­ma­ton ser­ti­fi­kaatti. ISACAn myön­tämä tie­to­jär­jes­tel­mä­tar­kas­ta­jan CISA-tut­kinto (Cer­ti­fied Infor­ma­tion Sys­tems Audi­tor) vas­taa lähinnä tilin­tar­kas­tus­maa­il­massa tun­net­tua KHT-tut­kin­toa. Tällä het­kellä CISA-tut­kin­non suo­rit­ta­neita on Suo­messa noin sata henkilöä.

Tar­kas­tus­ten suo­rit­ta­mi­seen ei sinänsä tar­vita mitään eri­tyistä lisens­siä, eikä ISACAn tai IIA:n (Sisäi­set Tar­kas­ta­jat ry Suo­messa) tapa toi­mia ole vält­tä­mättä ainoa oikea. Myös ISACA:n CISM (Cer­ti­fied Infor­ma­tion Secu­rity Mana­ger) ja (ISC)^2‑järjestön (www.isc2.org) CISSP (Cer­ti­fied Infor­ma­tion Sys­tems Secu­rity Pro­fes­sio­nal) ovat monien ATK-tar­kas­ta­jien hank­ki­mia tut­kin­toja. CISA-näyt­tö­ko­keita jär­jes­tää Suo­messa siis  Tie­to­jär­jes­tel­mien tar­kas­tus ja val­vonta ry ja CISSP-kokeita vas­taa­vasti Tie­to­turva ry (www.tietoturva.fi).

IT audi­toin­ti­ter­vei­sin Jari, Cer­ti­fied Infor­ma­tion Sys­tems Auditor