DoAudit Oy - Just DO IT!
digilehti. Ei odotuksia, ei latauksia. Ala vain lukemaan!
riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot
IT auditointi & erityistoimeksiannot
DoAudit Oy Jari Harju Y-tunnus: 2257863-9
1
Tuotteet
6
Erityis- toimeksiannot
5
EnsiApu ja Tekohengitys
4
3
1
2
SuoraanSuoneen TM
PintaaSyvemmältä
Kartoita
Pintaraapaisu
Tietohallintopäällikkö
7
Saattohoito
8
Balsamointi
9
2
Tuotteet – Kartoita [oma ja ympäristösi tila]
• Käyttäjätunnukset/salasanat => Kuinka usein joudut/pääset vaihtamaan ne (AD toimialue, sähköposti, SAP, toiminnanohjaus-, asiakashallinta- ja tehdasjärjestelmät, mikä tahansa)? Muistaako systeemi aikaisemmat salasanat? Kuka on vastuussa niistä? • Milloin on viimeksi tarkastettu, että käyttäjätunnus/salasana ja henkilöt niiden takana ovat ajan tasalla esim. HR-järjestelmästä? Ovatko työtehtävät muuttuneet käyttäjäoikeuksien mukaan? • “henkilökohtainen ajattelusi” (esim. oma älypuhelin/kommunikaattori, kannettava/PC, verkkolevyt, tulostimet, Internet surffailu ja missä käytät PIN koodeja, BIOS salasanat, power- on-password, kiintolevyn suojaus, tiedostosalasanat, nettipalvelut) • “Social engineering“ Kalle teki ennen tätä, varmaan natsat riittää vieläkin, fiksaatko… Hei Kalle, kun sulla on tunnukset, kerro ne mulle niin jelppaan sua kun sulla on kiire…
1 2 3 4 5 6
3
Tuotteet - PintaRaapaisu
• Hallinnollinen IT tarkastus (hallinnolliset ohjeet, ulkopuoliset ATK-palvelujen toimittajat sekä alihankkijat, käyttäjäoikeudet, salasanojen käyttö) • Tietojärjestelmien käyttöoikeuksien hallinnoinnin tarkastus (käyttöjärjestelmä, ohjelmistot, tietokannat, käyttäjätunnukset, salasanat) • Perustarkastus (jatkuvuussuunnitelma, AD/Windows toimialue, työasemat ja kannettavat, yritystason sovellukset, paikalliset yksikön sovellukset, fyysinen turvallisuus)
3 4 5 6 2 1
4
PintaRaapaisu – IT peruskysymykset
• ensimmäisellä iterointikierroksella kyllä/ei ja kommentoidaan lyhyesti jos tarvetta • varsinainen IT-tarkastus menee sitten käytännön tasolle ja kysytään kaikkea mahdollista joka voi vaikuttaa asiaan – kuka käytännössä hoitaa jotakin asiaa – näytä dokumentointi, näytä sopimus, näytä järjestelmän asetukset, näytä käyttäjätunnukset/salasanat, käytännössä katsotaan sovitut toimintatavat ja niiden toimivuus – jos asia tosi tekninen, voidaan käyttää ulkopuolista arvioijaa joka myös riippumaton tarkastettavasta toiminnosta • Tieto ei voi tehdä sisäistä IT-tarkastusta vaikkapa omista systeemeistään jos tarjoaa juuri niitä asiakkailleen • kaupungin oma ATK-osasto ei voi tehdä riippumatonta ja neutraalia audittia systeemeistään jos he tarjoavat sitä oman alueensa sosiaali- ja terveyspiirilleen (jos molemmat yli 50 % kaupungin omistuksessa)
3 4 5 6 2 1
5
PintaRaapaisu – IT peruskysymykset • näiden perusteella kirjoitetaan tarkastuskertomus joka annetaan ennen luovutusta kommentointikierrokselle – suoranaiset asiavirheet korjataan, mutta ei niitä havaintoja joita tarkastaja kirjoittanut – pyritään sopimaan tarkastuksen aikana kuka tekee ja mihin mennessä korjaukset jos niitä havaitaan – seurantapalaverin ajankohta onko muutoksia toteutettu • auditkertomus on apuna yrityksen johdolle joille raportti toimitetaan + teettäjälle – yksiköstä itsestään kiinni toteutetaanko ne • tarkastajan/konsultoinnin havainto: kaikki PC:t ja kannettavat vanhoja, olisi hyvä uusia esim. yksikön päätös: uusitaan kolmen vuoden aikataululla, varataan budjettiin rahat • tarkastajalla/konsultilla ei ole toimivaltaa eikä vastuuta tarkastettavien toimintojen osalta
3 4 5 6 2 1
6
Tuotteet - PintaaSyvemmältä
• IT osaston perustehtävä (missio, visio, organisaatio, hallintamalli, keskitetty/hajautettu, ulkoistus) • IT toiminnot, vastuualueet, palvelut, tuotteet, liikevaihto, budjetti, toimenkuvat ja sijaisuudet, hallinnolliset tehtävät, työympäristö, lainsäädäntö • prosessit (ITIL, CoBIT ja PRINCE2 Framework jos ne käytössä/suunnitteilla)
1
2 3
4 5 6
7
Tuotteet - PintaaSyvemmältä
• tekninen ympäristö, laitteet, ohjelmistot, palvelusopimukset ja palvelutasot (SLA – Service Level Agreements) • omaisuuden hallinta (laitteet, ohjelmistot, asset management, laiterekisterit, leasing/myynti/romutus) • fyysinen tietoturvatarkastus, jatkuvuussuunnitelma (Business Continuity Plan, Disaster Recovery Plan)
1
4 5 6 3 2
8
Tuotteet - SuoraanSuoneen
• voidaan valita erikseen palvelin, palvelimet, työasemat, tulostimet, IP-osoitteen perusteella mikä laite/järjestelmä tahansa • IT Audit-repusta valitaan oikeat tekniset välineet • paljastaa reaaliajassa (LIVEnä) verkossa olevien laitteiden, ohjelmistojen, käyttäjähallinnan tilat ja tietoturvareiät – tehdään ReadOnly (vain luku) tilassa ja parhaan tuloksen saa kun käytetään järjestelmien ylläpitäjän (Administrator, admin, root) väliaikaisia tunnuksia reaalinen status ja live-tilanne ko. hetkellä
1 2
3 4
5 6
9
Tuotteet - SuoraanSuoneen • Työkalupakista valitaan asiakkaan kanssa sopivimmat, esim: – GFI LANGuard ja SystemTools Hyena – AD verkkoihin, SQL kantoihin – Visualwaren eMailTrackerPro, VisualRoute ja Visual IP Trace – sähköposteihin, nettipalvelut ja IP-verkkot – Solarwinds – LAN/WAN/WLAN, IP-verkot – Passware – unohtuneet salasanat tiedostoissa ja sovelluksissa – Guidance Software EnCase, Sysinternals, Wireshark, Fiddler, WinHTTrack – (Facebook, LinkedIn, Skype, Messenger, Twitter, PIPL) – ja tietenkin sovellusten omat työkalut (admin/root ohjelmat)
1 2
3 4
5 6
10
Tuotteet – EnsiApu ja Tekohengitys
• kaikki data hukassa? Ei hätää, ne voidaan useimmiten pelastaa kunhat et hätiköi vaan otat yhteyttä pikaisesti • salasanat hukassa? Ei hätää, nekin aukeaa jos on tarvetta • ei dokumentaatiota? ei hätää, sitä varten on IP-pohjaisia työkaluja (SuoraanSuoneen työkalupakista jne) • Passwaren lostpassword.com – yli 180 tiedostomuotoa (lex Nokia!) sekä kiintolevyjen kryptaus • Kroll Ontrack – tunnettu nimellä Norman Ibas Suomessa paremmin
1 2 3
4 5
6
11
Tuotteet - erityistoimeksiannot
• Computer Forensics aiheet – sähköisen aineiston tutkinta, unohtuneet salasanojen avaamiset, rikkoutuneet mediat (kiintolevy, CD/DVD, USB, jne), tulvat, kuolemantapaukset, äkkilähtö yrityksestä, tj potkittu pois, ATK-päällikkö lähtenyt, väärinkäytökset, petokset • Due Diligence asiat IT-puolen selvitysten osalta Non- Disclosure Agreements (NDA) • kilpailuttaminen, erityisesti tietoliikenneverkko, cloud computing, Saas, hosting, virtualisointi, yritysnumerot (puhe, data)
1 2 3 4 5 6
12
Tuotteet – tietohallintopäällikkö • palvelun sisältö – sopimuksen mukaan, esim. 2 pv/kk – normaalit tietohallinnolle kuuluvat tehtävät: strategia, liiketoiminnan kehittäminen, toimittajasopimukset ja palvelutasot, tietoturva, tietoliikenne, toiminnan laatu
– opastusta henkilöstölle ja yrityksen johdolle IT-asioissa – IT-kustannusten seuranta, hallinnointi ja budjetointi – tekniset kysymykset ja uudet teknologiat – IT-sopimukset, Service Level Agreements (SLAs) – IT-projektit, käyttöönotot
1 2 3 4 5
7 6
13
Tuotteet – Saattohoito ja Balsamointi
• yksityisyyden suoja? Hyvin usein ”neljä silmää” ja
dokumentaatio lex Nokian osalta hyvä startti • datan lopullinen poistaminen (tai palauttaminen)
1 2 3 4 5 6
7
8 9
14
Riippumattomuus • riippumattomia niistä toiminnoista joita tarkastetaan – riippumaton, kun tarkastaja voi suorittaa työnsä vapaasti ja objektiivisesti – mahdollistaa puolueettoman ja tasapuolisen arvioinnin, joka olennaista tarkastuksen asianmukaiselle suorittamiselle • jos on käytössä sisäinen tarkastus oma organisaatio joka raportoi suoraan yrityksen johdolle – yrityksen johdolla valtuudet organisaatiossa edistää toiminnan riippumattomuutta – johto voi varmistaa tarkastustoiminnan laajan kattavuuden, tarkastusraporttien asiallisen käsittelyn ja asianmukaiset toimenpiteet tarkastussuositusten johdosta
15
Riippumattomuus • objektiivisuudella tarkoitetaan riippumatonta asennetta, jota IT-tarkastajien tulee ylläpitää tehdessään tarkastuksia – ei saa antaa muiden henkilöiden mielipiteen vaikuttaa arvioihinsa tarkastetuista asioista – systeemien suunnittelu, toteutus ja käyttö eivät kuulu puhtaaseen tarkastustoimintoihin Read-Only (vain luku) • suositukset annetaan luonnollisesti – menettelytapojen luonnostelu systeemeihin ei myöskään kuulu tarkastustoimintoon – näiden toimintojen oletetaan vaarantavan tarkastuksen objektiivisuuden
16
Referenssit (julkiset)
• Sunila - IT audit (Lotus Notes/Domino, tietoliikenne) • Enfo Oy - IT audit (konekeskus, tietoturva, kuorisuojaus, kulunvalvonta, tietoliikenne) • ACE - IT auditit • Stockway Trackway - IT audit, Due Diligence • MediXine - IT audit • Stora Enson taloushallinnon palvelukeskus – perustettavan yksikkö (prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka)
1 2 3 4 5 6
17
Referenssit (ei julkiset)
• SEPAn (Single European Payment Area) vaikutus tietojärjestelmiin ja aikataulu SEPA päivitykset (Basware Analyste, Aditro Tikon, Visma Nova, web services & PKI eri tuotteissa) • Windows 7 ja Microsoft Server 2008 R2 - roadmap ja siirtyminen uuteen ympäristöön • Microsoft Office 2010, Visio 2010, Project 2010 ja SharePoint 2010 yhdessä Windows 7:n kanssa - projektit • Exchange 2003/2007 auditoinnit AD-toimialueessa
1 2 3 4 5 6 7
18
Referenssit (ei julkiset)
• Therefore (ex Canon ADOS) - arkistointiprojektit • LAN/WAN/WLAN-verkon pullonkaulat selvitykset • yrityksen .fi ympäristön siirto kokonaan uudelle fi-domainille ja kaikkien tietojen siirto muutoksen yhteydessä • WordPress & MySQL projekti uusien webteknologioiden osalta • erityistoimeksiannot – lex Nokia, datan pelastaminen, saattohoito, yksityisyyden suojaan liittyvät asiat, YT- neuvottelujen osalta saattohoidot ja balsamoinnit
1 2 3 4 5 6 7 8 9
19
Referenssit (ei julkiset)
• perustettavan taloushallinnon palvelukeskuksen tarkastus (prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka) • taloushallinnon palvelukeskukset Suomessa, Ruotsissa ja Saksassa – Basware, OpusCapita, SOX auditit • Financial Services muutto Bryssel Lontoo muutto • Financial Services Lontoo – SOX audit • Financial Services Lontoo Helsinki muutto • Credit Limit Control system – IT audit
1 2 3 4 5 6
20
Referenssit (ei julkiset)
• Active Directory (AD) – riskianalyysi, penetration testit + pääsynhallinta auditit • Exchange 2003 – migraatio 5.5 2003 audit, SOX ja AD auditit • konsernin th – prosessit, ITIL/CoBIT, reviews, SOX prosessit • Uudet tekniikat – pilotointi (MOSS 2007, Exchange 2007, MOC 2007, Windows Server 2008, Vista, älypuhelimet, RFID, jne)
1 2 3 4 5 6
21
Referenssit (ei julkiset)
• SAP – IT audit, SOX, ITIL prosessit, käyttäjäoikeuksien hallinta, pääsynhallinta, tietoturva- ja sovelluskontrollit, Unix/Windows-ympäristöt, Business Continuity Plans (BCP) • konsernin intranet – SOX, ITIL, CoBIT prosessit, tietoliikenne • konsernin Internet – penetraatiotestit, tietoliikenne, prosessit • Tutkimuskeskus – IT audit • Maailmanlaajuisen myyntikonttoriverkosto – IT audit, SOX prosessit audit, AD-ympäristö, Disaster Recovery Plans (DRP)
1 2 3 4 5 6
22
Referenssit (ei julkiset)
• LiveLink (Open Text) – IT audit • Document Management, Windows Sharepoint Services – IT audit • Portals – IBM WebSphere, MS Sharepoint ja LiveLink benchmark • Maailmanlaajuinen myyntijärjestelmä – IT audit, SOX, ITIL prosessit, Business Continuity Plans (BCP)
1 2 3 4 5 6
23
riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot
Lisätietoa?
• http://www.doaudit.fi/
• ota yhteyttä
Jari Harju, jari.harju@doaudit.fi , 040 566 8833
24 IT-prosessien läpikäynti sovelletaan käytännön kokemuksella ISO-standardeihin • ulkoinen ja sisäinen IT auditointi – nykypäivää, riippumatonta ja puolueetonta tietoa myös sisäiselle auditoinnille, yrityksen johdolle ja eri osapuolille • ITIL, CoBIT, HIPAA, SOX, COSO
Made with FlippingBook Annual report