1

IT auditointi & erityistoimeksiannot

DoAudit Oy

Jari Harju

Y-tunnus: 2257863-9

riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot

2

Tuotteet

13

4

5

6

Pintaraapaisu PintaaSyvemmältä

SuoraanSuoneenTM

EnsiApu ja

Tekohengitys

Erityis-

toimeksiannot

2

Kartoita

8

9

7 Tietohallintopäällikkö

Saattohoito

Balsamointi

3

Tuotteet – Kartoita [oma ja ympäristösi tila]

• Käyttäjätunnukset/salasanat => Kuinka usein joudut/pääset vaihtamaan ne (AD toimialue,

sähköposti, SAP, toiminnanohjaus-, asiakashallinta- ja tehdasjärjestelmät, mikä tahansa)?

Muistaako systeemi aikaisemmat salasanat? Kuka on vastuussa niistä?

• Milloin on viimeksi tarkastettu, että käyttäjätunnus/salasana ja henkilöt niiden takana ovat

ajan tasalla esim. HR-järjestelmästä? Ovatko työtehtävät muuttuneet käyttäjäoikeuksien

mukaan?

• “henkilökohtainen ajattelusi” (esim. oma älypuhelin/kommunikaattori, kannettava/PC,

verkkolevyt, tulostimet, Internet surffailu ja missä käytät PIN koodeja, BIOS salasanat, power-

on-password, kiintolevyn suojaus, tiedostosalasanat, nettipalvelut)

• “Social engineering“ � Kalle teki ennen tätä, varmaan natsat riittää vieläkin, fiksaatko… Hei

Kalle, kun sulla on tunnukset, kerro ne mulle niin jelppaan sua kun sulla on kiire…

1 2 3 4 5 6

4

Tuotteet - PintaRaapaisu

• Hallinnollinen IT tarkastus (hallinnolliset ohjeet, ulkopuoliset

ATK-palvelujen toimittajat sekä alihankkijat, käyttäjäoikeudet,

salasanojen käyttö)

• Tietojärjestelmien käyttöoikeuksien hallinnoinnin tarkastus

(käyttöjärjestelmä, ohjelmistot, tietokannat,

käyttäjätunnukset, salasanat)

• Perustarkastus (jatkuvuussuunnitelma, AD/Windows

toimialue, työasemat ja kannettavat, yritystason sovellukset,

paikalliset yksikön sovellukset, fyysinen turvallisuus)

3 4 5 621

5

PintaRaapaisu – IT peruskysymykset

• ensimmäisellä iterointikierroksella kyllä/ei ja kommentoidaan

lyhyesti jos tarvetta

• varsinainen IT-tarkastus menee sitten käytännön tasolle ja kysytään

kaikkea mahdollista joka voi vaikuttaa asiaan– kuka käytännössä hoitaa jotakin asiaa

– näytä dokumentointi, näytä sopimus, näytä järjestelmän asetukset, näytä

käyttäjätunnukset/salasanat, käytännössä katsotaan sovitut toimintatavat ja niiden toimivuus

– jos asia tosi tekninen, voidaan käyttää ulkopuolista arvioijaa joka myös riippumaton tarkastettavasta

toiminnosta

• Tieto ei voi tehdä sisäistä IT-tarkastusta vaikkapa omista systeemeistään jos tarjoaa juuri niitä asiakkailleen

• kaupungin oma ATK-osasto ei voi tehdä riippumatonta ja neutraalia audittia systeemeistään jos he tarjoavat

sitä oman alueensa sosiaali- ja terveyspiirilleen (jos molemmat yli 50 % kaupungin omistuksessa)

3 4 5 621

6

PintaRaapaisu – IT peruskysymykset• näiden perusteella kirjoitetaan tarkastuskertomus joka annetaan ennen

luovutusta kommentointikierrokselle

– suoranaiset asiavirheet korjataan, mutta ei niitä havaintoja joita tarkastaja kirjoittanut

– pyritään sopimaan tarkastuksen aikana kuka tekee ja mihin mennessä korjaukset jos

niitä havaitaan

– seurantapalaverin ajankohta � onko muutoksia toteutettu

• auditkertomus on apuna yrityksen johdolle joille raportti toimitetaan +

teettäjälle

– yksiköstä itsestään kiinni toteutetaanko ne

• tarkastajan/konsultoinnin havainto: kaikki PC:t ja kannettavat vanhoja, olisi hyvä uusia �

esim. yksikön päätös: uusitaan kolmen vuoden aikataululla, varataan budjettiin rahat

• tarkastajalla/konsultilla ei ole toimivaltaa eikä vastuuta tarkastettavien toimintojen osalta

3 4 5 621

7

Tuotteet - PintaaSyvemmältä

• IT osaston perustehtävä (missio, visio, organisaatio,

hallintamalli, keskitetty/hajautettu, ulkoistus)

• IT toiminnot, vastuualueet, palvelut, tuotteet, liikevaihto,

budjetti, toimenkuvat ja sijaisuudet, hallinnolliset tehtävät,

työympäristö, lainsäädäntö

• prosessit (ITIL, CoBIT ja PRINCE2 Framework jos ne

käytössä/suunnitteilla)

1 4 5 62 3

8

Tuotteet - PintaaSyvemmältä

• tekninen ympäristö, laitteet, ohjelmistot, palvelusopimukset ja

palvelutasot (SLA – Service Level Agreements)

• omaisuuden hallinta (laitteet, ohjelmistot, asset management,

laiterekisterit, leasing/myynti/romutus)

• fyysinen tietoturvatarkastus, jatkuvuussuunnitelma (Business

Continuity Plan, Disaster Recovery Plan)

1 4 5 632

9

Tuotteet - SuoraanSuoneen

• voidaan valita erikseen palvelin, palvelimet, työasemat, tulostimet,

IP-osoitteen perusteella mikä laite/järjestelmä tahansa

• IT Audit-repusta valitaan oikeat tekniset välineet

• paljastaa reaaliajassa (LIVEnä) verkossa olevien laitteiden,

ohjelmistojen, käyttäjähallinnan tilat ja tietoturvareiät

– tehdään ReadOnly (vain luku) tilassa ja parhaan tuloksen saa kun

käytetään järjestelmien ylläpitäjän (Administrator, admin, root) väliaikaisia

tunnuksia � reaalinen status ja live-tilanne ko. hetkellä

1 2 5 63 4

10

Tuotteet - SuoraanSuoneen

• Työkalupakista valitaan asiakkaan kanssa sopivimmat, esim:

– GFI LANGuard ja SystemTools Hyena – AD verkkoihin, SQL kantoihin

– Visualwaren eMailTrackerPro, VisualRoute ja Visual IP Trace –

sähköposteihin, nettipalvelut ja IP-verkkot

– Solarwinds – LAN/WAN/WLAN, IP-verkot

– Passware – unohtuneet salasanat tiedostoissa ja sovelluksissa

– Guidance Software EnCase, Sysinternals, Wireshark, Fiddler, WinHTTrack

– (Facebook, LinkedIn, Skype, Messenger, Twitter, PIPL)

– ja tietenkin sovellusten omat työkalut (admin/root ohjelmat)

1 2 5 63 4

11

Tuotteet – EnsiApu ja Tekohengitys

• kaikki data hukassa? Ei hätää, ne voidaan useimmiten pelastaa

kunhat et hätiköi vaan otat yhteyttä pikaisesti

• salasanat hukassa? Ei hätää, nekin aukeaa jos on tarvetta

• ei dokumentaatiota? � ei hätää, sitä varten on IP-pohjaisia

työkaluja (SuoraanSuoneen työkalupakista jne)

• Passwaren lostpassword.com – yli 180 tiedostomuotoa (lex

Nokia!) sekä kiintolevyjen kryptaus

• Kroll Ontrack – tunnettu nimellä Norman Ibas Suomessa

paremmin

1 2 3 64 5

12

Tuotteet - erityistoimeksiannot

• Computer Forensics aiheet – sähköisen aineiston tutkinta,

unohtuneet salasanojen avaamiset, rikkoutuneet mediat

(kiintolevy, CD/DVD, USB, jne), tulvat, kuolemantapaukset,

äkkilähtö yrityksestä, tj potkittu pois, ATK-päällikkö lähtenyt,

väärinkäytökset, petokset

• Due Diligence asiat IT-puolen selvitysten osalta � Non-

Disclosure Agreements (NDA)

• kilpailuttaminen, erityisesti tietoliikenneverkko, cloud

computing, Saas, hosting, virtualisointi, yritysnumerot (puhe,

data)

1 2 3 4 5 6

13

Tuotteet – tietohallintopäällikkö

• palvelun sisältö

– sopimuksen mukaan, esim. 2 pv/kk

– normaalit tietohallinnolle kuuluvat tehtävät: strategia, liiketoiminnan

kehittäminen, toimittajasopimukset ja palvelutasot, tietoturva,

tietoliikenne, toiminnan laatu

– opastusta henkilöstölle ja yrityksen johdolle IT-asioissa

– IT-kustannusten seuranta, hallinnointi ja budjetointi

– tekniset kysymykset ja uudet teknologiat

– IT-sopimukset, Service Level Agreements (SLAs)

– IT-projektit, käyttöönotot

1 2 3 4 5 76

14

Tuotteet – Saattohoito ja Balsamointi

• yksityisyyden

suoja? Hyvin

usein ”neljä

silmää” ja

dokumentaatio

lex Nokian osalta

hyvä startti

• datan lopullinen

poistaminen (tai

palauttaminen)

1 2 3 4 5 6 8 97

15

Riippumattomuus• riippumattomia niistä toiminnoista joita tarkastetaan

– riippumaton, kun tarkastaja voi suorittaa työnsä vapaasti ja objektiivisesti

– mahdollistaa puolueettoman ja tasapuolisen arvioinnin, joka olennaista tarkastuksen

asianmukaiselle suorittamiselle

• jos on käytössä sisäinen tarkastus � oma organisaatio joka raportoi

suoraan yrityksen johdolle

– yrityksen johdolla valtuudet organisaatiossa edistää toiminnan riippumattomuutta

– johto voi varmistaa tarkastustoiminnan laajan kattavuuden, tarkastusraporttien

asiallisen käsittelyn ja asianmukaiset toimenpiteet tarkastussuositusten johdosta

16

Riippumattomuus

• objektiivisuudella tarkoitetaan riippumatonta asennetta, jota

IT-tarkastajien tulee ylläpitää tehdessään tarkastuksia

– ei saa antaa muiden henkilöiden mielipiteen vaikuttaa arvioihinsa

tarkastetuista asioista

– systeemien suunnittelu, toteutus ja käyttö eivät kuulu puhtaaseen

tarkastustoimintoihin � Read-Only (vain luku)

• suositukset annetaan luonnollisesti

– menettelytapojen luonnostelu systeemeihin ei myöskään kuulu

tarkastustoimintoon

– näiden toimintojen oletetaan vaarantavan tarkastuksen

objektiivisuuden

17

Referenssit (julkiset)

• Sunila - IT audit (Lotus Notes/Domino, tietoliikenne)

• Enfo Oy - IT audit (konekeskus, tietoturva, kuorisuojaus,

kulunvalvonta, tietoliikenne)

• ACE - IT auditit

• Stockway � Trackway - IT audit, Due Diligence

• MediXine - IT audit

• Stora Enson taloushallinnon palvelukeskus – perustettavan

yksikkö (prosessit, fyysiset tilat, tietoliikenne, hosting ja

tietotekniikka)

1 2 3 4 5 6

18

Referenssit (ei julkiset)

• SEPAn (Single European Payment Area) vaikutus

tietojärjestelmiin ja aikataulu � SEPA päivitykset (Basware

Analyste, Aditro Tikon, Visma Nova, web services & PKI eri

tuotteissa)

• Windows 7 ja Microsoft Server 2008 R2 - roadmap ja

siirtyminen uuteen ympäristöön

• Microsoft Office 2010, Visio 2010, Project 2010 ja SharePoint

2010 yhdessä Windows 7:n kanssa - projektit

• Exchange 2003/2007 auditoinnit AD-toimialueessa

1 2 3 4 5 6 7

19

Referenssit (ei julkiset)

• Therefore (ex Canon ADOS) - arkistointiprojektit

• LAN/WAN/WLAN-verkon pullonkaulat selvitykset

• yrityksen .fi ympäristön siirto kokonaan uudelle fi-domainille

ja kaikkien tietojen siirto muutoksen yhteydessä

• WordPress & MySQL projekti uusien webteknologioiden osalta

• erityistoimeksiannot – lex Nokia, datan pelastaminen,

saattohoito, yksityisyyden suojaan liittyvät asiat, YT-

neuvottelujen osalta saattohoidot ja balsamoinnit

1 2 3 4 5 6 7 8 9

20

Referenssit (ei julkiset)

• perustettavan taloushallinnon palvelukeskuksen tarkastus

(prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka)

• taloushallinnon palvelukeskukset Suomessa, Ruotsissa ja

Saksassa – Basware, OpusCapita, SOX auditit

• Financial Services muutto Bryssel � Lontoo muutto

• Financial Services Lontoo – SOX audit

• Financial Services Lontoo � Helsinki muutto

• Credit Limit Control system – IT audit

1 2 3 4 5 6

21

Referenssit (ei julkiset)

• Active Directory (AD) – riskianalyysi, penetration testit +

pääsynhallinta auditit

• Exchange 2003 – migraatio 5.5 � 2003 audit, SOX ja AD

auditit

• konsernin th – prosessit, ITIL/CoBIT, reviews, SOX prosessit

• Uudet tekniikat – pilotointi (MOSS 2007, Exchange 2007, MOC

2007, Windows Server 2008, Vista, älypuhelimet, RFID, jne)

1 2 3 4 5 6

22

Referenssit (ei julkiset)

• SAP – IT audit, SOX, ITIL prosessit, käyttäjäoikeuksien hallinta,

pääsynhallinta, tietoturva- ja sovelluskontrollit,

Unix/Windows-ympäristöt, Business Continuity Plans (BCP)

• konsernin intranet – SOX, ITIL, CoBIT prosessit, tietoliikenne

• konsernin Internet – penetraatiotestit, tietoliikenne, prosessit

• Tutkimuskeskus – IT audit

• Maailmanlaajuisen myyntikonttoriverkosto – IT audit, SOX

prosessit audit, AD-ympäristö, Disaster Recovery Plans (DRP)

1 2 3 4 5 6

23

Referenssit (ei julkiset)

• LiveLink (Open Text) – IT audit

• Document Management, Windows Sharepoint Services – IT

audit

• Portals – IBM WebSphere, MS Sharepoint ja LiveLink

benchmark

• Maailmanlaajuinen myyntijärjestelmä – IT audit, SOX, ITIL

prosessit, Business Continuity Plans (BCP)

1 2 3 4 5 6

24

Lisätietoa?

• http://www.doaudit.fi/

• ota yhteyttä � Jari Harju, jari.harju@doaudit.fi, 040 566 8833

• ITIL, CoBIT, HIPAA, SOX, COSO � IT-prosessien läpikäynti

sovelletaan käytännön kokemuksella ISO-standardeihin

• ulkoinen ja sisäinen IT auditointi – nykypäivää, riippumatonta ja

puolueetonta tietoa myös sisäiselle auditoinnille, yrityksen

johdolle ja eri osapuolille

riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot