Uisg itgov 8_i_taudit
Click here to load reader
-
Upload
uisgslide -
Category
Technology
-
view
142 -
download
2
Transcript of Uisg itgov 8_i_taudit
ІТ-аудит по-українськи
Андрій ВарушаВолодимир
Стиран
Що таке ІТ-аудит?
Перевірка відповідності ІТ-процесів◦ Розробка та підтримка систем◦ Надання послуг◦ Моніторинг та реагування◦ Захист інформації
бізнес-вимогам◦ Ризик-апетит◦ Бізнес-стратегія◦ Вимоги регуляторів (закони,
постанови, стандарти тощо)
Принципи ІТ-аудиту
• Об'єктивність◦ Всі висновки підкріплені належними доказами
• Незалежність◦ Виключення конфлікту інтересів
• Методичність◦ Використання наукових методів та кращих
практик у галузі
Процес IT-аудитуАналіз ризиків
(risk analysis)
Планування
(planning)
Виконання (execution)
Створення звіту
(report)
Обговорення плану
дій (action plan)
Перевірка усунення
(follow-up)
Для чого потрібен ІТ-аудит?
Для того і щука в ставку, щоб карась не дрімав
Для чого потрібен ІТ-аудит?
Топ-менеджмент/ власники: для виконання регулятивних вимог (SOX, ISO, НБУ тощо) та службових розслідувань
ІТ: для пошуку “винних” у проблемах, для ускладнення життя
ІТ – аудит: для знаходження ризиків, пов’язаних із ІТ-функцією компанії, та вдосконалення її за рахунок усунення знайдених недоліків
Для чого потрібен ІТ-аудит?
Для чого потрібен ІТ-аудит
Як наблизити ці бачення до єдиного?
Складові успіху
Авторитет
АктуальністьКоманда
Команда
«Однажды Лебедь, Рак да Щука…»
КомандаIT навички:•Скриптові мови (VB,
Perl)•SQL•Командний рядок
(windows, *nix, PowerShell, LDAP)•Спеціалізовані
інструменти (WMI, NMap, MSF etc.)
Стандарти/кваліфікація:•CobiT, ITIL, ISO•CISA, CISM, CISSP, CGEIT
Досвід:•Адміністратор•Розробник•Впровадження систем•Інформаційна безпека
Особисті якості:•Комунікаційні та
презентаційні навички•Гарна письмова мова•Витримка та
делікатність
Стандарти/кваліфікація:•ACCA, IIA
Досвід:•Бізнес-аналітик•Консультант
Бізнес-навички•Основи обліку та
фінансів•Аналіз та моделювання
бізнес-процесів
Актуальність
Ти можеш перестати хвилюватись через переїзд, Гаррі. Ми тебе з собою не
беремо.
Актуальність Участь у комітетах:
◦ Виконавчий комітет◦ Управляючий комітет по ІТ◦ Комітет по ризиках◦ Комітет по управлінню змінами
Аналіз даних в системах:◦ Система автоматизації ІТ-процесів (напр. JIRA)◦ Система закупок (контракти з постачальниками)◦ Системи моніторингу (напр. HP OVO)◦ Системи звітування про інциденти
Інше:◦ Аудиторські звіти◦ Результати пен-тестів
Авторитет
Насправді, не такий вже він і лідер. Просто у нього багато послідовників.
Повноваження:◦ Положення про внутрішній аудит, процедура взаємодії із
підрозділами◦ Пряме підпорядкування аудиторському комітету / топ-
менеджменту◦ Погодження рекомендацій із відповідальними◦ Моніторинг статусів виконання◦ Звітування результатів моніторинга керівництву
Сприйняття:
◦ Баланс між формальним підходом до аудиту (слідувати плану аудиту і робочим програмам) і added-value підходу (реагувати на ad-hoc знахідки)
◦ Баланс між незалежністю та корисними рекомендаціями
◦ Баланс між “правильними” рекомендаціями із неочевидними ризиками і “точковими” знахідками з яскраво проілюстрованим ризиком
Авторитет
Оргструктура
Supervisory board
Executive Board
IT функція
Директори департаментів
Начальники відділів, груп, секторів тощо
Працівники
Бізнес функції
Директори департаменті
в
Начальники відділів,
груп, секторів тощо
Працівники
Інформаційна безпека
Аудиторський
комітет
Внутрішній аудит
Аудит ІТ
Бізнес (фінансовий)
аудит
ВисновкиВ компаніях з складною ІТ-інфраструктурою
та технологічними процесами ІТ-аудит необхідний
Аудит ≠ операційний контрольЦикл аудиту має бути повним (включаючи
погодження рекомендацій і моніторинг статусів), а повноваження аудиту – чітко визначеними
Позитивне сприйняття ІТ-аудиту вимагає постійних зусиль
Шлях до успіху = компетентна команда + актуальні проблеми + дотримання принципів + розумний компроміс