Главная / Технологии / Технологии / Аудит ИТ-безопасности

Аудит ИТ-безопасности

Любая организация, желающая выжить и конкурировать с другими компаниями, должна инвестировать в информационные технологии, обеспечивающие доступность, целостность и конфиденциальность данных.  Руководителям организаций приходится иметь дело с очень сложными процессами, включая ИТ. По мере увеличения угроз ИТ-система компании может подвергаться потенциальному риску. Это одна из основных причин, по которой компании все больше инвестируют в услуги ИТ-аудита — источник.

Что такое ИТ-аудит?

ИТ-аудит можно определить так же, как и любой другой аудит, т. е. «проверку и оценку автоматизированных систем обработки информации, связанных с ними неавтоматизированных процессов и их интерфейсов». Планирование ИТ-аудита включает два основных этапа. Первым шагом является сбор информации ( обзор ) о контрольной среде и план мероприятий ( дизайн-аудит ). Второй шаг — понять существующую структуру внутреннего контроля ( пошаговое руководство ).

Все больше и больше организаций переходят на риск-ориентированный подход к аудиту. Он основан на соответствующей оценке рисков и помогает ИТ-аудитору решить, будут ли основой его деятельности проверки на соответствие или надежность, которые требуют больше времени. При подходе, основанном на оценке рисков, ИТ-аудиторы полагаются на внутренний и операционный контроль, т.е. контрольная среда. Этот тип решения об оценке риска может помочь связать анализ затрат и результатов средства контроля с известным риском.

На этапе сбора информации аудитор ИБ должен учитывать следующее:

  • Знание объекта аудита с точки зрения контрольной среды. В задачи ИТ-аудитора входит проверка управляемости среды и соблюдения внедренных процедур контроля. В организациях часто отсутствуют письменные процедуры, а управление интуитивно понятно. Однако это не означает, что отсутствует контрольная среда. Это часто имеет место в семейных предприятиях, которые растут быстро и в короткие сроки, а процедуры не поспевают за этим развитием. Аудитор должен решить, существует ли риск при проверке средств контроля.

Когда ИТ-аудитор соберет информацию и поймет суть контроля, он готов приступить к планированию или выбору областей для аудита. Ключевой информацией, которая потребуется на начальных этапах, является текущий анализ влияния пробелов ИТ-системы на бизнес, который поможет вам выбрать приложение с наиболее важной бизнес-функцией. Оценка ИТ-среды основана на понимании внутренних ИТ-процедур. Без этого базового понимания вполне вероятно, что аудиторская работа будет направлена ​​не в ту сторону, что повысит риск получения неверных выводов. Наиболее распространенными областями проверки на данном этапе работы являются: управление изменениями, безопасность, непрерывность бизнеса и аварийное восстановление.

  • Анализ отчетов о предыдущих аудитах и ​​отзывы о рекомендациях, сделанных после предыдущего аудита. Аудитор должен оценить, все ли вопросы, определенные как высокий риск, были охвачены аудиторией проверяемой области. Некоторые организации передают эту деятельность операционным отделам, которые должны отчитываться перед надзорной функцией о том, как они соблюдают результаты аудита.
  • Также важно, чтобы аудитор учитывал в своей работе новые правовые нормы и рекомендации. В настоящее время мы недавно вводим в польское законодательство положения Управления по защите персональных данных, но следует помнить, что даже Польская финансовая инспекция публикует инструкции по управлению безопасностью информационных технологий и среды ИКТ. Это правда, что эти рекомендации предназначены в основном для финансовых учреждений, но вам также следует рассматривать их с точки зрения вашего собственного бизнеса.
  • Неотъемлемая оценка риска. Каждый аудитор также должен сделать допущение о наличии ошибки, которая может быть существенной или существенной в сочетании с другими ошибками, обнаруженными в ходе аудита, при условии отсутствия соответствующих компенсационных проверок. Неотъемлемый риск – это риск, который существует независимо от аудита и может возникнуть в связи с характером бизнеса.
  • Требуемые ресурсы. Последним важным элементом планирования аудита является оценка рабочей нагрузки. Поскольку сроки и наличие адекватных человеческих ресурсов для ИТ-аудита обычно являются проблемой, выполнение этого шага должно привести к повышению качества и снижению затрат на аудит. Следует помнить, что ИТ-аудитор не всегда должен иметь полное представление о процессе. Ему часто придется использовать знания и опыт оперативных сотрудников, знакомых с этими процессами. Конечно, каждый аудитор должен оставаться скептиком, и это должно быть хорошо подкреплено профессиональным суждением.

Цели ИТ-аудита

Чаще всего цели ИТ-аудита сосредоточены на доказательстве того, что средства внутреннего контроля существуют и функционируют должным образом , и фактически минимизируют бизнес-риски. Эти цели аудита включают обеспечение соблюдения законодательных и нормативных требований, а также конфиденциальности, целостности и доступности информационных систем и данных. Но помимо книжной структуры ИТ-аудита, у аудита есть еще и главная цель. Это необходимо для обеспечения того, чтобы операционная деятельность и решения, принимаемые правлением, были свободны от риска сбоев в работе ИТ-систем. ИТ-аудит заключается не только в том, чтобы определить, все ли компьютеры и носители данных имеют пароли и установлены антивирусные программы. Это сложный процесс контроля, который должен гарантировать, что бизнес будет продолжать работать без изменений, даже когда экономика столкнется с так называемым кризисом. черные лебеди. Мы переживаем момент революции в мышлении о ведении собственного бизнеса. Лучшим примером является «выход» известных брендов из торговых центров и перевод их деятельности в электронную коммерцию. Если это направление бизнеса сохранится, ИТ-аудит станет не просто бывшим «молчаливым заказчиком», а подразделением поддержки, которое будет регулировать работу подразделения, от проверки карточек сотрудников до контроля сложных процессов, вырванных из длинной цепочки цепочка поставок.

Оставить комментарий