riippumatonta ja puolueetonta IT auditointia haastavien IT-ympäristöjen konsultointia erityistoimeksiannot IT auditointi& erityistoimeksiannot DoAudit Oy Jari Harju Y-tunnus: 2257863-9 1
Tuotteet 6 5 Erityistoimeksiannot 4 EnsiApu ja Tekohengitys 1 2 3 SuoraanSuoneen TM Kartoita Pintaraapaisu PintaaSyvemmältä 7 Tietohallintopäällikkö 8 9 Saattohoito Balsamointi 2
Tuotteet Kartoita [oma ja ympäristösi tila] Käyttäjätunnukset/salasanat=> Kuinkauseinjoudut/pääsetvaihtamaanne (AD toimialue, sähköposti, SAP, toiminnanohjaus-, asiakashallinta- jatehdasjärjestelmät, mikätahansa)? Muistaako systeemi aikaisemmat salasanat? Kuka on vastuussa niistä? Milloin on viimeksi tarkastettu, että käyttäjätunnus/salasana ja henkilöt niiden takana ovat ajan tasalla esim. HR-järjestelmästä? Ovatko työtehtävät muuttuneet käyttäjäoikeuksien mukaan? henkilökohtainenajattelusi (esim. omaälypuhelin/kommunikaattori, kannettava/pc, verkkolevyt, tulostimet, Internet surffailu ja missä käytät PIN koodeja, BIOS salasanat, poweron-password, kiintolevyn suojaus, tiedostosalasanat, nettipalvelut) Social engineering Kalle teki ennen tätä, varmaan natsat riittää vieläkin, fiksaatko Hei Kalle, kun sullaon tunnukset, kerrone mulleniinjelppaansuakun sullaon kiire 1 2 3 4 5 6 3
Tuotteet -PintaRaapaisu Hallinnollinen IT tarkastus (hallinnolliset ohjeet, ulkopuoliset ATK-palvelujen toimittajat sekä alihankkijat, käyttäjäoikeudet, salasanojen käyttö) Tietojärjestelmien käyttöoikeuksien hallinnoinnin tarkastus (käyttöjärjestelmä, ohjelmistot, tietokannat, käyttäjätunnukset, salasanat) Perustarkastus (jatkuvuussuunnitelma, AD/Windows toimialue, työasemat ja kannettavat, yritystason sovellukset, paikalliset yksikön sovellukset, fyysinen turvallisuus) 1 2 3 4 5 6 4
PintaRaapaisu IT peruskysymykset ensimmäisellä iterointikierroksella kyllä/ei ja kommentoidaan lyhyesti jos tarvetta varsinainen IT-tarkastus menee sitten käytännön tasolle ja kysytään kaikkea mahdollista joka voi vaikuttaa asiaan kuka käytännössä hoitaa jotakin asiaa näytä dokumentointi, näytä sopimus, näytä järjestelmän asetukset, näytä käyttäjätunnukset/salasanat, käytännössä katsotaan sovitut toimintatavat ja niiden toimivuus jos asia tosi tekninen, voidaan käyttää ulkopuolista arvioijaa joka myös riippumaton tarkastettavasta toiminnosta Tieto ei voi tehdä sisäistä IT-tarkastusta vaikkapa omista systeemeistään jos tarjoaa juuri niitä asiakkailleen kaupungin oma ATK-osasto ei voi tehdä riippumatonta ja neutraalia audittia systeemeistään jos he tarjoavat sitä oman alueensa sosiaali- ja terveyspiirilleen (jos molemmat yli 50 % kaupungin omistuksessa) 1 2 3 4 5 6 5
PintaRaapaisu IT peruskysymykset näiden perusteella kirjoitetaan tarkastuskertomus joka annetaan ennen luovutusta kommentointikierrokselle suoranaiset asiavirheet korjataan, mutta ei niitä havaintoja joita tarkastaja kirjoittanut pyritään sopimaan tarkastuksen aikana kuka tekee ja mihin mennessä korjaukset jos niitä havaitaan seurantapalaverin ajankohta onko muutoksia toteutettu auditkertomus on apuna yrityksen johdolle joille raportti toimitetaan + teettäjälle yksiköstä itsestään kiinni toteutetaanko ne tarkastajan/konsultoinnin havainto: kaikki PC:t ja kannettavat vanhoja, olisi hyvä uusia esim. yksikön päätös: uusitaan kolmen vuoden aikataululla, varataan budjettiin rahat tarkastajalla/konsultilla ei ole toimivaltaa eikä vastuuta tarkastettavien toimintojen osalta 1 2 3 4 5 6 6
Tuotteet -PintaaSyvemmältä IT osastonperustehtävä(missio, visio, organisaatio, hallintamalli, keskitetty/hajautettu, ulkoistus) IT toiminnot, vastuualueet, palvelut, tuotteet, liikevaihto, budjetti, toimenkuvatjasijaisuudet, hallinnollisettehtävät, työympäristö, lainsäädäntö prosessit(itil, CoBITjaPRINCE2 Framework josne käytössä/suunnitteilla) 1 2 3 4 5 6 7
Tuotteet -PintaaSyvemmältä tekninen ympäristö, laitteet, ohjelmistot, palvelusopimukset ja palvelutasot(sla Service Level Agreements) omaisuudenhallinta(laitteet, ohjelmistot, asset management, laiterekisterit, leasing/myynti/romutus) fyysinentietoturvatarkastus, jatkuvuussuunnitelma(business Continuity Plan, Disaster Recovery Plan) 1 2 3 4 5 6 8
Tuotteet -SuoraanSuoneen voidaan valita erikseen palvelin, palvelimet, työasemat, tulostimet, IP-osoitteen perusteella mikä laite/järjestelmä tahansa IT Audit-repusta valitaan oikeat tekniset välineet paljastaa reaaliajassa (LIVEnä) verkossa olevien laitteiden, ohjelmistojen, käyttäjähallinnan tilat ja tietoturvareiät tehdään ReadOnly (vain luku) tilassa ja parhaan tuloksen saa kun käytetään järjestelmien ylläpitäjän (Administrator, admin, root) väliaikaisia tunnuksia reaalinen status ja live-tilanne ko. hetkellä 1 2 3 4 5 6 9
Tuotteet -SuoraanSuoneen Työkalupakista valitaan asiakkaan kanssa sopivimmat, esim: GFI LANGuard ja SystemTools Hyena AD verkkoihin, SQL kantoihin Visualwaren emailtrackerpro, VisualRoute ja Visual IP Trace sähköposteihin, nettipalvelut ja IP-verkkot Solarwinds LAN/WAN/WLAN, IP-verkot Passware unohtuneet salasanat tiedostoissa ja sovelluksissa Guidance Software EnCase, Sysinternals, Wireshark, Fiddler, WinHTTrack (Facebook, LinkedIn, Skype, Messenger, Twitter, PIPL) ja tietenkin sovellusten omat työkalut (admin/root ohjelmat) 1 2 3 4 5 6 10
Tuotteet EnsiApu ja Tekohengitys kaikki data hukassa? Ei hätää, ne voidaan useimmiten pelastaa kunhat et hätiköi vaan otat yhteyttä pikaisesti salasanat hukassa? Ei hätää, nekin aukeaa jos on tarvetta ei dokumentaatiota? ei hätää, sitä varten on IP-pohjaisia työkaluja (SuoraanSuoneen työkalupakista jne) Passwarenlostpassword.com yli 180 tiedostomuotoa (lex Nokia!) sekä kiintolevyjen kryptaus KrollOntrack tunnettu nimellä Norman IbasSuomessa paremmin 1 2 3 4 5 6 11
Tuotteet -erityistoimeksiannot Computer Forensics aiheet sähköisen aineiston tutkinta, unohtuneet salasanojen avaamiset, rikkoutuneet mediat (kiintolevy, CD/DVD, USB, jne), tulvat, kuolemantapaukset, äkkilähtö yrityksestä, tj potkittu pois, ATK-päällikkö lähtenyt, väärinkäytökset, petokset Due Diligence asiat IT-puolen selvitysten osalta Non- Disclosure Agreements (NDA) kilpailuttaminen, erityisesti tietoliikenneverkko, cloud computing, Saas, hosting, virtualisointi, yritysnumerot (puhe, data) 1 2 3 4 5 6 12
Tuotteet tietohallintopäällikkö palvelun sisältö sopimuksen mukaan, esim. 2 pv/kk normaalit tietohallinnolle kuuluvat tehtävät: strategia, liiketoiminnan kehittäminen, toimittajasopimukset ja palvelutasot, tietoturva, tietoliikenne, toiminnan laatu opastusta henkilöstölle ja yrityksen johdolle IT-asioissa IT-kustannusten seuranta, hallinnointi ja budjetointi tekniset kysymykset ja uudet teknologiat IT-sopimukset, Service Level Agreements (SLAs) IT-projektit, käyttöönotot 1 2 3 4 5 6 7 13
Tuotteet Saattohoito ja Balsamointi yksityisyyden suoja? Hyvin usein neljä silmää ja dokumentaatio lex Nokian osalta hyvä startti datan lopullinen poistaminen (tai palauttaminen) 1 2 3 4 5 6 7 8 9 14
Riippumattomuus riippumattomia niistä toiminnoista joita tarkastetaan riippumaton, kun tarkastaja voi suorittaa työnsä vapaasti ja objektiivisesti mahdollistaa puolueettoman ja tasapuolisen arvioinnin, joka olennaista tarkastuksen asianmukaiselle suorittamiselle jos on käytössä sisäinen tarkastus oma organisaatio joka raportoi suoraan yrityksen johdolle yrityksen johdolla valtuudet organisaatiossa edistää toiminnan riippumattomuutta johto voi varmistaa tarkastustoiminnan laajan kattavuuden, tarkastusraporttien asiallisen käsittelyn ja asianmukaiset toimenpiteet tarkastussuositusten johdosta 15
Riippumattomuus objektiivisuudella tarkoitetaan riippumatonta asennetta, jota IT-tarkastajien tulee ylläpitää tehdessään tarkastuksia ei saa antaa muiden henkilöiden mielipiteen vaikuttaa arvioihinsa tarkastetuista asioista systeemien suunnittelu, toteutus ja käyttö eivät kuulu puhtaaseen tarkastustoimintoihin Read-Only (vain luku) suositukset annetaan luonnollisesti menettelytapojen luonnostelu systeemeihin ei myöskään kuulu tarkastustoimintoon näiden toimintojen oletetaan vaarantavan tarkastuksen objektiivisuuden 16
Referenssit (julkiset) Sunila - IT audit (Lotus Notes/Domino, tietoliikenne) Enfo Oy -IT audit (konekeskus, tietoturva, kuorisuojaus, kulunvalvonta, tietoliikenne) ACE -IT auditit Stockway Trackway -IT audit, Due Diligence MediXine -IT audit Stora Enson taloushallinnon palvelukeskus perustettavan yksikkö (prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka) 1 2 3 4 5 6 17
Referenssit (ei julkiset) SEPAn (Single European Payment Area) vaikutus tietojärjestelmiin ja aikataulu SEPA päivitykset (Basware Analyste, AditroTikon, VismaNova, webservices& PKI eri tuotteissa) Windows 7 ja Microsoft Server 2008 R2 -roadmap ja siirtyminen uuteen ympäristöön Microsoft Office 2010, Visio 2010, Project 2010 ja SharePoint 2010 yhdessä Windows 7:n kanssa - projektit Exchange 2003/2007 auditoinnit AD-toimialueessa 1 2 3 4 5 6 7 18
Referenssit (ei julkiset) Therefore(ex Canon ADOS) - arkistointiprojektit LAN/WAN/WLAN-verkon pullonkaulat selvitykset yrityksen.fi ympäristön siirto kokonaan uudelle fi-domainille ja kaikkien tietojen siirto muutoksen yhteydessä WordPress& MySQL projekti uusien webteknologioiden osalta erityistoimeksiannot lex Nokia, datan pelastaminen, saattohoito, yksityisyyden suojaan liittyvät asiat, YTneuvottelujen osalta saattohoidot ja balsamoinnit 1 2 3 4 5 6 7 8 9 19
Referenssit (ei julkiset) perustettavan taloushallinnon palvelukeskuksen tarkastus (prosessit, fyysiset tilat, tietoliikenne, hosting ja tietotekniikka) taloushallinnon palvelukeskukset Suomessa, Ruotsissa ja Saksassa Basware, OpusCapita, SOX auditit Financial Services muutto Bryssel Lontoo muutto Financial Services Lontoo SOX audit Financial Services Lontoo Helsinki muutto Credit Limit Control system IT audit 1 2 3 4 5 6 20
Referenssit (ei julkiset) Active Directory (AD) riskianalyysi, penetration testit + pääsynhallinta auditit Exchange 2003 migraatio 5.5 2003 audit, SOX ja AD auditit konsernin th prosessit, ITIL/CoBIT, reviews, SOX prosessit Uudet tekniikat pilotointi (MOSS 2007, Exchange 2007, MOC 2007, Windows Server 2008, Vista, älypuhelimet, RFID, jne) 1 2 3 4 5 6 21
Referenssit (ei julkiset) SAP IT audit, SOX, ITIL prosessit, käyttäjäoikeuksien hallinta, pääsynhallinta, tietoturva-ja sovelluskontrollit, Unix/Windows-ympäristöt, Business Continuity Plans (BCP) konsernin intranet SOX, ITIL, CoBIT prosessit, tietoliikenne konsernin Internet penetraatiotestit, tietoliikenne, prosessit Tutkimuskeskus IT audit Maailmanlaajuisen myyntikonttoriverkosto IT audit, SOX prosessit audit, AD-ympäristö, Disaster Recovery Plans (DRP) 1 2 3 4 5 6 22
Referenssit (ei julkiset) LiveLink (Open Text) IT audit Document Management, Windows Sharepoint Services IT audit Portals IBM WebSphere, MS Sharepoint ja LiveLink benchmark Maailmanlaajuinen myyntijärjestelmä IT audit, SOX, ITIL prosessit, Business Continuity Plans (BCP) 1 2 3 4 5 6 23
riippumatonta ja puolueetonta IT auditointia haastavien IT-ympäristöjen konsultointia erityistoimeksiannot Lisätietoa? http://www.doaudit.fi/ ota yhteyttä Jari Harju, jari.harju@doaudit.fi, 040 566 8833 ITIL, CoBIT, HIPAA, SOX, COSO IT-prosessien läpikäynti sovelletaan käytännön kokemuksella ISO-standardeihin ulkoinen ja sisäinen IT auditointi nykypäivää, riippumatonta ja puolueetonta tietoa myös sisäiselle auditoinnille, yrityksen johdolle ja eri osapuolille 24