it auditointi& erityistoimeksiannot doaudit oy jari harju
TRANSCRIPT
1
IT auditointi & erityistoimeksiannot
DoAudit Oy
Jari Harju
Y-tunnus: 2257863-9
riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot
2
Tuotteet
13
4
5
6
Pintaraapaisu PintaaSyvemmältä
SuoraanSuoneenTM
EnsiApu ja
Tekohengitys
Erityis-
toimeksiannot
2
Kartoita
8
9
7 Tietohallintopäällikkö
Saattohoito
Balsamointi
3
Tuotteet – Kartoita [oma ja ympäristösi tila]
• Käyttäjätunnukset/salasanat => Kuinka usein joudut/pääset vaihtamaan ne (AD toimialue,
sähköposti, SAP, toiminnanohjaus-, asiakashallinta- ja tehdasjärjestelmät, mikä tahansa)?
Muistaako systeemi aikaisemmat salasanat? Kuka on vastuussa niistä?
• Milloin on viimeksi tarkastettu, että käyttäjätunnus/salasana ja henkilöt niiden takana ovat
ajan tasalla esim. HR-järjestelmästä? Ovatko työtehtävät muuttuneet käyttäjäoikeuksien
mukaan?
• “henkilökohtainen ajattelusi” (esim. oma älypuhelin/kommunikaattori, kannettava/PC,
verkkolevyt, tulostimet, Internet surffailu ja missä käytät PIN koodeja, BIOS salasanat, power-
on-password, kiintolevyn suojaus, tiedostosalasanat, nettipalvelut)
• “Social engineering“ � Kalle teki ennen tätä, varmaan natsat riittää vieläkin, fiksaatko… Hei
Kalle, kun sulla on tunnukset, kerro ne mulle niin jelppaan sua kun sulla on kiire…
1 2 3 4 5 6
4
Tuotteet - PintaRaapaisu
• Hallinnollinen IT tarkastus (hallinnolliset ohjeet, ulkopuoliset
ATK-palvelujen toimittajat sekä alihankkijat, käyttäjäoikeudet,
salasanojen käyttö)
• Tietojärjestelmien käyttöoikeuksien hallinnoinnin tarkastus
(käyttöjärjestelmä, ohjelmistot, tietokannat,
käyttäjätunnukset, salasanat)
• Perustarkastus (jatkuvuussuunnitelma, AD/Windows
toimialue, työasemat ja kannettavat, yritystason sovellukset,
paikalliset yksikön sovellukset, fyysinen turvallisuus)
3 4 5 621
5
PintaRaapaisu – IT peruskysymykset
• ensimmäisellä iterointikierroksella kyllä/ei ja kommentoidaan
lyhyesti jos tarvetta
• varsinainen IT-tarkastus menee sitten käytännön tasolle ja kysytään
kaikkea mahdollista joka voi vaikuttaa asiaan– kuka käytännössä hoitaa jotakin asiaa
– näytä dokumentointi, näytä sopimus, näytä järjestelmän asetukset, näytä
käyttäjätunnukset/salasanat, käytännössä katsotaan sovitut toimintatavat ja niiden toimivuus
– jos asia tosi tekninen, voidaan käyttää ulkopuolista arvioijaa joka myös riippumaton tarkastettavasta
toiminnosta
• Tieto ei voi tehdä sisäistä IT-tarkastusta vaikkapa omista systeemeistään jos tarjoaa juuri niitä asiakkailleen
• kaupungin oma ATK-osasto ei voi tehdä riippumatonta ja neutraalia audittia systeemeistään jos he tarjoavat
sitä oman alueensa sosiaali- ja terveyspiirilleen (jos molemmat yli 50 % kaupungin omistuksessa)
3 4 5 621
6
PintaRaapaisu – IT peruskysymykset• näiden perusteella kirjoitetaan tarkastuskertomus joka annetaan ennen
luovutusta kommentointikierrokselle
– suoranaiset asiavirheet korjataan, mutta ei niitä havaintoja joita tarkastaja kirjoittanut
– pyritään sopimaan tarkastuksen aikana kuka tekee ja mihin mennessä korjaukset jos
niitä havaitaan
– seurantapalaverin ajankohta � onko muutoksia toteutettu
• auditkertomus on apuna yrityksen johdolle joille raportti toimitetaan +
teettäjälle
– yksiköstä itsestään kiinni toteutetaanko ne
• tarkastajan/konsultoinnin havainto: kaikki PC:t ja kannettavat vanhoja, olisi hyvä uusia �
esim. yksikön päätös: uusitaan kolmen vuoden aikataululla, varataan budjettiin rahat
• tarkastajalla/konsultilla ei ole toimivaltaa eikä vastuuta tarkastettavien toimintojen osalta
3 4 5 621
7
Tuotteet - PintaaSyvemmältä
• IT osaston perustehtävä (missio, visio, organisaatio,
hallintamalli, keskitetty/hajautettu, ulkoistus)
• IT toiminnot, vastuualueet, palvelut, tuotteet, liikevaihto,
budjetti, toimenkuvat ja sijaisuudet, hallinnolliset tehtävät,
työympäristö, lainsäädäntö
• prosessit (ITIL, CoBIT ja PRINCE2 Framework jos ne
käytössä/suunnitteilla)
1 4 5 62 3
8
Tuotteet - PintaaSyvemmältä
• tekninen ympäristö, laitteet, ohjelmistot, palvelusopimukset ja
palvelutasot (SLA – Service Level Agreements)
• omaisuuden hallinta (laitteet, ohjelmistot, asset management,
laiterekisterit, leasing/myynti/romutus)
• fyysinen tietoturvatarkastus, jatkuvuussuunnitelma (Business
Continuity Plan, Disaster Recovery Plan)
1 4 5 632
9
Tuotteet - SuoraanSuoneen
• voidaan valita erikseen palvelin, palvelimet, työasemat, tulostimet,
IP-osoitteen perusteella mikä laite/järjestelmä tahansa
• IT Audit-repusta valitaan oikeat tekniset välineet
• paljastaa reaaliajassa (LIVEnä) verkossa olevien laitteiden,
ohjelmistojen, käyttäjähallinnan tilat ja tietoturvareiät
– tehdään ReadOnly (vain luku) tilassa ja parhaan tuloksen saa kun
käytetään järjestelmien ylläpitäjän (Administrator, admin, root) väliaikaisia
tunnuksia � reaalinen status ja live-tilanne ko. hetkellä
1 2 5 63 4
10
Tuotteet - SuoraanSuoneen
• Työkalupakista valitaan asiakkaan kanssa sopivimmat, esim:
– GFI LANGuard ja SystemTools Hyena – AD verkkoihin, SQL kantoihin
– Visualwaren eMailTrackerPro, VisualRoute ja Visual IP Trace –
sähköposteihin, nettipalvelut ja IP-verkkot
– Solarwinds – LAN/WAN/WLAN, IP-verkot
– Passware – unohtuneet salasanat tiedostoissa ja sovelluksissa
– Guidance Software EnCase, Sysinternals, Wireshark, Fiddler, WinHTTrack
– (Facebook, LinkedIn, Skype, Messenger, Twitter, PIPL)
– ja tietenkin sovellusten omat työkalut (admin/root ohjelmat)
1 2 5 63 4
11
Tuotteet – EnsiApu ja Tekohengitys
• kaikki data hukassa? Ei hätää, ne voidaan useimmiten pelastaa
kunhat et hätiköi vaan otat yhteyttä pikaisesti
• salasanat hukassa? Ei hätää, nekin aukeaa jos on tarvetta
• ei dokumentaatiota? � ei hätää, sitä varten on IP-pohjaisia
työkaluja (SuoraanSuoneen työkalupakista jne)
• Passwaren lostpassword.com – yli 180 tiedostomuotoa (lex
Nokia!) sekä kiintolevyjen kryptaus
• Kroll Ontrack – tunnettu nimellä Norman Ibas Suomessa
paremmin
1 2 3 64 5
12
Tuotteet - erityistoimeksiannot
• Computer Forensics aiheet – sähköisen aineiston tutkinta,
unohtuneet salasanojen avaamiset, rikkoutuneet mediat
(kiintolevy, CD/DVD, USB, jne), tulvat, kuolemantapaukset,
äkkilähtö yrityksestä, tj potkittu pois, ATK-päällikkö lähtenyt,
väärinkäytökset, petokset
• Due Diligence asiat IT-puolen selvitysten osalta � Non-
Disclosure Agreements (NDA)
• kilpailuttaminen, erityisesti tietoliikenneverkko, cloud
computing, Saas, hosting, virtualisointi, yritysnumerot (puhe,
data)
1 2 3 4 5 6
13
Tuotteet – tietohallintopäällikkö
• palvelun sisältö
– sopimuksen mukaan, esim. 2 pv/kk
– normaalit tietohallinnolle kuuluvat tehtävät: strategia, liiketoiminnan
kehittäminen, toimittajasopimukset ja palvelutasot, tietoturva,
tietoliikenne, toiminnan laatu
– opastusta henkilöstölle ja yrityksen johdolle IT-asioissa
– IT-kustannusten seuranta, hallinnointi ja budjetointi
– tekniset kysymykset ja uudet teknologiat
– IT-sopimukset, Service Level Agreements (SLAs)
– IT-projektit, käyttöönotot
1 2 3 4 5 76
14
Tuotteet – Saattohoito ja Balsamointi
• yksityisyyden
suoja? Hyvin
usein ”neljä
silmää” ja
dokumentaatio
lex Nokian osalta
hyvä startti
• datan lopullinen
poistaminen (tai
palauttaminen)
1 2 3 4 5 6 8 97
15
Riippumattomuus• riippumattomia niistä toiminnoista joita tarkastetaan
– riippumaton, kun tarkastaja voi suorittaa työnsä vapaasti ja objektiivisesti
– mahdollistaa puolueettoman ja tasapuolisen arvioinnin, joka olennaista tarkastuksen
asianmukaiselle suorittamiselle
• jos on käytössä sisäinen tarkastus � oma organisaatio joka raportoi
suoraan yrityksen johdolle
– yrityksen johdolla valtuudet organisaatiossa edistää toiminnan riippumattomuutta
– johto voi varmistaa tarkastustoiminnan laajan kattavuuden, tarkastusraporttien
asiallisen käsittelyn ja asianmukaiset toimenpiteet tarkastussuositusten johdosta
16
Riippumattomuus
• objektiivisuudella tarkoitetaan riippumatonta asennetta, jota
IT-tarkastajien tulee ylläpitää tehdessään tarkastuksia
– ei saa antaa muiden henkilöiden mielipiteen vaikuttaa arvioihinsa
tarkastetuista asioista
– systeemien suunnittelu, toteutus ja käyttö eivät kuulu puhtaaseen
tarkastustoimintoihin � Read-Only (vain luku)
• suositukset annetaan luonnollisesti
– menettelytapojen luonnostelu systeemeihin ei myöskään kuulu
tarkastustoimintoon
– näiden toimintojen oletetaan vaarantavan tarkastuksen
objektiivisuuden
17
Referenssit (julkiset)
• Sunila - IT audit (Lotus Notes/Domino, tietoliikenne)
• Enfo Oy - IT audit (konekeskus, tietoturva, kuorisuojaus,
kulunvalvonta, tietoliikenne)
• ACE - IT auditit
• Stockway � Trackway - IT audit, Due Diligence
• MediXine - IT audit
• Stora Enson taloushallinnon palvelukeskus – perustettavan
yksikkö (prosessit, fyysiset tilat, tietoliikenne, hosting ja
tietotekniikka)
1 2 3 4 5 6
18
Referenssit (ei julkiset)
• SEPAn (Single European Payment Area) vaikutus
tietojärjestelmiin ja aikataulu � SEPA päivitykset (Basware
Analyste, Aditro Tikon, Visma Nova, web services & PKI eri
tuotteissa)
• Windows 7 ja Microsoft Server 2008 R2 - roadmap ja
siirtyminen uuteen ympäristöön
• Microsoft Office 2010, Visio 2010, Project 2010 ja SharePoint
2010 yhdessä Windows 7:n kanssa - projektit
• Exchange 2003/2007 auditoinnit AD-toimialueessa
1 2 3 4 5 6 7
19
Referenssit (ei julkiset)
• Therefore (ex Canon ADOS) - arkistointiprojektit
• LAN/WAN/WLAN-verkon pullonkaulat selvitykset
• yrityksen .fi ympäristön siirto kokonaan uudelle fi-domainille
ja kaikkien tietojen siirto muutoksen yhteydessä
• WordPress & MySQL projekti uusien webteknologioiden osalta
• erityistoimeksiannot – lex Nokia, datan pelastaminen,
saattohoito, yksityisyyden suojaan liittyvät asiat, YT-
neuvottelujen osalta saattohoidot ja balsamoinnit
1 2 3 4 5 6 7 8 9
20
Referenssit (ei julkiset)
• perustettavan taloushallinnon palvelukeskuksen tarkastus
(prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka)
• taloushallinnon palvelukeskukset Suomessa, Ruotsissa ja
Saksassa – Basware, OpusCapita, SOX auditit
• Financial Services muutto Bryssel � Lontoo muutto
• Financial Services Lontoo – SOX audit
• Financial Services Lontoo � Helsinki muutto
• Credit Limit Control system – IT audit
1 2 3 4 5 6
21
Referenssit (ei julkiset)
• Active Directory (AD) – riskianalyysi, penetration testit +
pääsynhallinta auditit
• Exchange 2003 – migraatio 5.5 � 2003 audit, SOX ja AD
auditit
• konsernin th – prosessit, ITIL/CoBIT, reviews, SOX prosessit
• Uudet tekniikat – pilotointi (MOSS 2007, Exchange 2007, MOC
2007, Windows Server 2008, Vista, älypuhelimet, RFID, jne)
1 2 3 4 5 6
22
Referenssit (ei julkiset)
• SAP – IT audit, SOX, ITIL prosessit, käyttäjäoikeuksien hallinta,
pääsynhallinta, tietoturva- ja sovelluskontrollit,
Unix/Windows-ympäristöt, Business Continuity Plans (BCP)
• konsernin intranet – SOX, ITIL, CoBIT prosessit, tietoliikenne
• konsernin Internet – penetraatiotestit, tietoliikenne, prosessit
• Tutkimuskeskus – IT audit
• Maailmanlaajuisen myyntikonttoriverkosto – IT audit, SOX
prosessit audit, AD-ympäristö, Disaster Recovery Plans (DRP)
1 2 3 4 5 6
23
Referenssit (ei julkiset)
• LiveLink (Open Text) – IT audit
• Document Management, Windows Sharepoint Services – IT
audit
• Portals – IBM WebSphere, MS Sharepoint ja LiveLink
benchmark
• Maailmanlaajuinen myyntijärjestelmä – IT audit, SOX, ITIL
prosessit, Business Continuity Plans (BCP)
1 2 3 4 5 6
24
Lisätietoa?
• http://www.doaudit.fi/
• ota yhteyttä � Jari Harju, [email protected], 040 566 8833
• ITIL, CoBIT, HIPAA, SOX, COSO � IT-prosessien läpikäynti
sovelletaan käytännön kokemuksella ISO-standardeihin
• ulkoinen ja sisäinen IT auditointi – nykypäivää, riippumatonta ja
puolueetonta tietoa myös sisäiselle auditoinnille, yrityksen
johdolle ja eri osapuolille
riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot