DoAudit Oy - Just DO IT!

riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot

IT auditointi & erityistoimeksiannot

DoAudit Oy Jari Harju Y-tunnus: 2257863-9

1

Tuotteet

6

Erityis- toimeksiannot

5

EnsiApu ja Tekohengitys

4

3

1

2

SuoraanSuoneen TM

PintaaSyvemmältä

Kartoita

Pintaraapaisu

Tietohallintopäällikkö

7

Saattohoito

8

Balsamointi

9

2

Tuotteet – Kartoita [oma ja ympäristösi tila]

• Käyttäjätunnukset/salasanat => Kuinka usein joudut/pääset vaihtamaan ne (AD toimialue, sähköposti, SAP, toiminnanohjaus-, asiakashallinta- ja tehdasjärjestelmät, mikä tahansa)? Muistaako systeemi aikaisemmat salasanat? Kuka on vastuussa niistä? • Milloin on viimeksi tarkastettu, että käyttäjätunnus/salasana ja henkilöt niiden takana ovat ajan tasalla esim. HR-järjestelmästä? Ovatko työtehtävät muuttuneet käyttäjäoikeuksien mukaan? • “henkilökohtainen ajattelusi” (esim. oma älypuhelin/kommunikaattori, kannettava/PC, verkkolevyt, tulostimet, Internet surffailu ja missä käytät PIN koodeja, BIOS salasanat, power- on-password, kiintolevyn suojaus, tiedostosalasanat, nettipalvelut) • “Social engineering“ Kalle teki ennen tätä, varmaan natsat riittää vieläkin, fiksaatko… Hei Kalle, kun sulla on tunnukset, kerro ne mulle niin jelppaan sua kun sulla on kiire…

1 2 3 4 5 6

3

Tuotteet - PintaRaapaisu

• Hallinnollinen IT tarkastus (hallinnolliset ohjeet, ulkopuoliset ATK-palvelujen toimittajat sekä alihankkijat, käyttäjäoikeudet, salasanojen käyttö) • Tietojärjestelmien käyttöoikeuksien hallinnoinnin tarkastus (käyttöjärjestelmä, ohjelmistot, tietokannat, käyttäjätunnukset, salasanat) • Perustarkastus (jatkuvuussuunnitelma, AD/Windows toimialue, työasemat ja kannettavat, yritystason sovellukset, paikalliset yksikön sovellukset, fyysinen turvallisuus)

3 4 5 6 2 1

4

PintaRaapaisu – IT peruskysymykset

• ensimmäisellä iterointikierroksella kyllä/ei ja kommentoidaan lyhyesti jos tarvetta • varsinainen IT-tarkastus menee sitten käytännön tasolle ja kysytään kaikkea mahdollista joka voi vaikuttaa asiaan – kuka käytännössä hoitaa jotakin asiaa – näytä dokumentointi, näytä sopimus, näytä järjestelmän asetukset, näytä käyttäjätunnukset/salasanat, käytännössä katsotaan sovitut toimintatavat ja niiden toimivuus – jos asia tosi tekninen, voidaan käyttää ulkopuolista arvioijaa joka myös riippumaton tarkastettavasta toiminnosta • Tieto ei voi tehdä sisäistä IT-tarkastusta vaikkapa omista systeemeistään jos tarjoaa juuri niitä asiakkailleen • kaupungin oma ATK-osasto ei voi tehdä riippumatonta ja neutraalia audittia systeemeistään jos he tarjoavat sitä oman alueensa sosiaali- ja terveyspiirilleen (jos molemmat yli 50 % kaupungin omistuksessa)

3 4 5 6 2 1

5

PintaRaapaisu – IT peruskysymykset • näiden perusteella kirjoitetaan tarkastuskertomus joka annetaan ennen luovutusta kommentointikierrokselle – suoranaiset asiavirheet korjataan, mutta ei niitä havaintoja joita tarkastaja kirjoittanut – pyritään sopimaan tarkastuksen aikana kuka tekee ja mihin mennessä korjaukset jos niitä havaitaan – seurantapalaverin ajankohta onko muutoksia toteutettu • auditkertomus on apuna yrityksen johdolle joille raportti toimitetaan + teettäjälle – yksiköstä itsestään kiinni toteutetaanko ne • tarkastajan/konsultoinnin havainto: kaikki PC:t ja kannettavat vanhoja, olisi hyvä uusia esim. yksikön päätös: uusitaan kolmen vuoden aikataululla, varataan budjettiin rahat • tarkastajalla/konsultilla ei ole toimivaltaa eikä vastuuta tarkastettavien toimintojen osalta

3 4 5 6 2 1

6

Tuotteet - PintaaSyvemmältä

• IT osaston perustehtävä (missio, visio, organisaatio, hallintamalli, keskitetty/hajautettu, ulkoistus) • IT toiminnot, vastuualueet, palvelut, tuotteet, liikevaihto, budjetti, toimenkuvat ja sijaisuudet, hallinnolliset tehtävät, työympäristö, lainsäädäntö • prosessit (ITIL, CoBIT ja PRINCE2 Framework jos ne käytössä/suunnitteilla)

1

2 3

4 5 6

7

Tuotteet - PintaaSyvemmältä

• tekninen ympäristö, laitteet, ohjelmistot, palvelusopimukset ja palvelutasot (SLA – Service Level Agreements) • omaisuuden hallinta (laitteet, ohjelmistot, asset management, laiterekisterit, leasing/myynti/romutus) • fyysinen tietoturvatarkastus, jatkuvuussuunnitelma (Business Continuity Plan, Disaster Recovery Plan)

1

4 5 6 3 2

8

Tuotteet - SuoraanSuoneen

• voidaan valita erikseen palvelin, palvelimet, työasemat, tulostimet, IP-osoitteen perusteella mikä laite/järjestelmä tahansa • IT Audit-repusta valitaan oikeat tekniset välineet • paljastaa reaaliajassa (LIVEnä) verkossa olevien laitteiden, ohjelmistojen, käyttäjähallinnan tilat ja tietoturvareiät – tehdään ReadOnly (vain luku) tilassa ja parhaan tuloksen saa kun käytetään järjestelmien ylläpitäjän (Administrator, admin, root) väliaikaisia tunnuksia reaalinen status ja live-tilanne ko. hetkellä

1 2

3 4

5 6

9

Tuotteet - SuoraanSuoneen • Työkalupakista valitaan asiakkaan kanssa sopivimmat, esim: – GFI LANGuard ja SystemTools Hyena – AD verkkoihin, SQL kantoihin – Visualwaren eMailTrackerPro, VisualRoute ja Visual IP Trace – sähköposteihin, nettipalvelut ja IP-verkkot – Solarwinds – LAN/WAN/WLAN, IP-verkot – Passware – unohtuneet salasanat tiedostoissa ja sovelluksissa – Guidance Software EnCase, Sysinternals, Wireshark, Fiddler, WinHTTrack – (Facebook, LinkedIn, Skype, Messenger, Twitter, PIPL) – ja tietenkin sovellusten omat työkalut (admin/root ohjelmat)

1 2

3 4

5 6

10

Tuotteet – EnsiApu ja Tekohengitys

• kaikki data hukassa? Ei hätää, ne voidaan useimmiten pelastaa kunhat et hätiköi vaan otat yhteyttä pikaisesti • salasanat hukassa? Ei hätää, nekin aukeaa jos on tarvetta • ei dokumentaatiota? ei hätää, sitä varten on IP-pohjaisia työkaluja (SuoraanSuoneen työkalupakista jne) • Passwaren lostpassword.com – yli 180 tiedostomuotoa (lex Nokia!) sekä kiintolevyjen kryptaus • Kroll Ontrack – tunnettu nimellä Norman Ibas Suomessa paremmin

1 2 3

4 5

6

11

Tuotteet - erityistoimeksiannot

• Computer Forensics aiheet – sähköisen aineiston tutkinta, unohtuneet salasanojen avaamiset, rikkoutuneet mediat (kiintolevy, CD/DVD, USB, jne), tulvat, kuolemantapaukset, äkkilähtö yrityksestä, tj potkittu pois, ATK-päällikkö lähtenyt, väärinkäytökset, petokset • Due Diligence asiat IT-puolen selvitysten osalta Non- Disclosure Agreements (NDA) • kilpailuttaminen, erityisesti tietoliikenneverkko, cloud computing, Saas, hosting, virtualisointi, yritysnumerot (puhe, data)

1 2 3 4 5 6

12

Tuotteet – tietohallintopäällikkö • palvelun sisältö – sopimuksen mukaan, esim. 2 pv/kk – normaalit tietohallinnolle kuuluvat tehtävät: strategia, liiketoiminnan kehittäminen, toimittajasopimukset ja palvelutasot, tietoturva, tietoliikenne, toiminnan laatu

– opastusta henkilöstölle ja yrityksen johdolle IT-asioissa – IT-kustannusten seuranta, hallinnointi ja budjetointi – tekniset kysymykset ja uudet teknologiat – IT-sopimukset, Service Level Agreements (SLAs) – IT-projektit, käyttöönotot

1 2 3 4 5

7 6

13

Tuotteet – Saattohoito ja Balsamointi

• yksityisyyden suoja? Hyvin usein ”neljä silmää” ja

dokumentaatio lex Nokian osalta hyvä startti • datan lopullinen poistaminen (tai palauttaminen)

1 2 3 4 5 6

7

8 9

14

Riippumattomuus • riippumattomia niistä toiminnoista joita tarkastetaan – riippumaton, kun tarkastaja voi suorittaa työnsä vapaasti ja objektiivisesti – mahdollistaa puolueettoman ja tasapuolisen arvioinnin, joka olennaista tarkastuksen asianmukaiselle suorittamiselle • jos on käytössä sisäinen tarkastus oma organisaatio joka raportoi suoraan yrityksen johdolle – yrityksen johdolla valtuudet organisaatiossa edistää toiminnan riippumattomuutta – johto voi varmistaa tarkastustoiminnan laajan kattavuuden, tarkastusraporttien asiallisen käsittelyn ja asianmukaiset toimenpiteet tarkastussuositusten johdosta

15

Riippumattomuus • objektiivisuudella tarkoitetaan riippumatonta asennetta, jota IT-tarkastajien tulee ylläpitää tehdessään tarkastuksia – ei saa antaa muiden henkilöiden mielipiteen vaikuttaa arvioihinsa tarkastetuista asioista – systeemien suunnittelu, toteutus ja käyttö eivät kuulu puhtaaseen tarkastustoimintoihin Read-Only (vain luku) • suositukset annetaan luonnollisesti – menettelytapojen luonnostelu systeemeihin ei myöskään kuulu tarkastustoimintoon – näiden toimintojen oletetaan vaarantavan tarkastuksen objektiivisuuden

16

Referenssit (julkiset)

• Sunila - IT audit (Lotus Notes/Domino, tietoliikenne) • Enfo Oy - IT audit (konekeskus, tietoturva, kuorisuojaus, kulunvalvonta, tietoliikenne) • ACE - IT auditit • Stockway Trackway - IT audit, Due Diligence • MediXine - IT audit • Stora Enson taloushallinnon palvelukeskus – perustettavan yksikkö (prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka)

1 2 3 4 5 6

17

Referenssit (ei julkiset)

• SEPAn (Single European Payment Area) vaikutus tietojärjestelmiin ja aikataulu SEPA päivitykset (Basware Analyste, Aditro Tikon, Visma Nova, web services & PKI eri tuotteissa) • Windows 7 ja Microsoft Server 2008 R2 - roadmap ja siirtyminen uuteen ympäristöön • Microsoft Office 2010, Visio 2010, Project 2010 ja SharePoint 2010 yhdessä Windows 7:n kanssa - projektit • Exchange 2003/2007 auditoinnit AD-toimialueessa

1 2 3 4 5 6 7

18

Referenssit (ei julkiset)

• Therefore (ex Canon ADOS) - arkistointiprojektit • LAN/WAN/WLAN-verkon pullonkaulat selvitykset • yrityksen .fi ympäristön siirto kokonaan uudelle fi-domainille ja kaikkien tietojen siirto muutoksen yhteydessä • WordPress & MySQL projekti uusien webteknologioiden osalta • erityistoimeksiannot – lex Nokia, datan pelastaminen, saattohoito, yksityisyyden suojaan liittyvät asiat, YT- neuvottelujen osalta saattohoidot ja balsamoinnit

1 2 3 4 5 6 7 8 9

19

Referenssit (ei julkiset)

• perustettavan taloushallinnon palvelukeskuksen tarkastus (prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka) • taloushallinnon palvelukeskukset Suomessa, Ruotsissa ja Saksassa – Basware, OpusCapita, SOX auditit • Financial Services muutto Bryssel Lontoo muutto • Financial Services Lontoo – SOX audit • Financial Services Lontoo Helsinki muutto • Credit Limit Control system – IT audit

1 2 3 4 5 6

20

Referenssit (ei julkiset)

• Active Directory (AD) – riskianalyysi, penetration testit + pääsynhallinta auditit • Exchange 2003 – migraatio 5.5 2003 audit, SOX ja AD auditit • konsernin th – prosessit, ITIL/CoBIT, reviews, SOX prosessit • Uudet tekniikat – pilotointi (MOSS 2007, Exchange 2007, MOC 2007, Windows Server 2008, Vista, älypuhelimet, RFID, jne)

1 2 3 4 5 6

21

Referenssit (ei julkiset)

• SAP – IT audit, SOX, ITIL prosessit, käyttäjäoikeuksien hallinta, pääsynhallinta, tietoturva- ja sovelluskontrollit, Unix/Windows-ympäristöt, Business Continuity Plans (BCP) • konsernin intranet – SOX, ITIL, CoBIT prosessit, tietoliikenne • konsernin Internet – penetraatiotestit, tietoliikenne, prosessit • Tutkimuskeskus – IT audit • Maailmanlaajuisen myyntikonttoriverkosto – IT audit, SOX prosessit audit, AD-ympäristö, Disaster Recovery Plans (DRP)

1 2 3 4 5 6

22

Referenssit (ei julkiset)

• LiveLink (Open Text) – IT audit • Document Management, Windows Sharepoint Services – IT audit • Portals – IBM WebSphere, MS Sharepoint ja LiveLink benchmark • Maailmanlaajuinen myyntijärjestelmä – IT audit, SOX, ITIL prosessit, Business Continuity Plans (BCP)

1 2 3 4 5 6

23

riippumatonta ja puolueetonta IT auditointia ● haastavien IT-ympäristöjen konsultointia ● erityistoimeksiannot

Lisätietoa?

• http://www.doaudit.fi/

• ota yhteyttä

Jari Harju, jari.harju@doaudit.fi , 040 566 8833

24 IT-prosessien läpikäynti sovelletaan käytännön kokemuksella ISO-standardeihin • ulkoinen ja sisäinen IT auditointi – nykypäivää, riippumatonta ja puolueetonta tietoa myös sisäiselle auditoinnille, yrityksen johdolle ja eri osapuolille • ITIL, CoBIT, HIPAA, SOX, COSO