Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Uisg itgov 8_i_taudit

340 views

Published on

Published in: Technology, Education
  • Be the first to comment

  • Be the first to like this

Uisg itgov 8_i_taudit

  1. 1. ІТ-аудит по-українськи<br />Андрій Варуша<br />Володимир Стиран<br />
  2. 2. Що таке ІТ-аудит?<br />Перевірка відповідності ІТ-процесів<br />Розробка та підтримка систем<br />Надання послуг<br />Моніторинг та реагування<br />Захист інформації<br />бізнес-вимогам<br />Ризик-апетит<br />Бізнес-стратегія<br />Вимоги регуляторів (закони, постанови, стандарти тощо)<br />
  3. 3. Принципи ІТ-аудиту<br /><ul><li>Об'єктивність</li></ul>Всі висновки підкріплені належними доказами<br /><ul><li>Незалежність</li></ul>Виключення конфлікту інтересів<br /><ul><li>Методичність</li></ul>Використання наукових методів та кращих практик у галузі<br />
  4. 4. Процес IT-аудиту<br />
  5. 5. Для чого потрібен ІТ-аудит?<br />Для того і щука в ставку, щоб карась не дрімав<br />
  6. 6. Для чого потрібен ІТ-аудит?<br />Топ-менеджмент/власники: <br />для виконання регулятивних вимог (SOX, ISO, НБУ тощо) та службових розслідувань<br />ІТ: <br />для пошуку “винних” у проблемах, для ускладнення життя<br />ІТ – аудит: <br />для знаходженняризиків, пов’язаних із ІТ-функцією компанії, та вдосконалення її за рахунок усунення знайдених недоліків<br />
  7. 7. Для чого потрібен ІТ-аудит?<br />
  8. 8. Для чого потрібен ІТ-аудит<br />Як наблизити ці бачення до єдиного?<br />
  9. 9. Складові успіху<br />
  10. 10. Команда<br />«Однажды Лебедь, Рак да Щука…»<br />
  11. 11. Команда<br />IT навички:<br /><ul><li>Скриптові мови (VB, Perl)
  12. 12. SQL
  13. 13. Командний рядок (windows, *nix, PowerShell, LDAP)
  14. 14. Спеціалізовані інструменти (WMI, NMap, MSF etc.)</li></ul>Особисті якості:<br /><ul><li>Комунікаційні та презентаційні навички
  15. 15. Гарна письмова мова
  16. 16. Витримка та делікатність</li></ul>Бізнес-навички<br /><ul><li>Основи обліку та фінансів
  17. 17. Аналіз та моделювання бізнес-процесів</li></ul>Стандарти/кваліфікація:<br /><ul><li>CobiT, ITIL, ISO
  18. 18. CISA, CISM, CISSP, CGEIT</li></ul>Стандарти/кваліфікація:<br /><ul><li>ACCA, IIA</li></ul>Досвід:<br /><ul><li>Адміністратор
  19. 19. Розробник
  20. 20. Впровадження систем
  21. 21. Інформаційна безпека</li></ul>Досвід:<br /><ul><li>Бізнес-аналітик
  22. 22. Консультант</li></li></ul><li>Актуальність<br />Ти можеш перестати хвилюватись через переїзд, Гаррі. Ми тебе з собою не беремо.<br />
  23. 23. Актуальність<br />Участь у комітетах:<br />Виконавчий комітет<br />Управляючий комітет по ІТ<br />Комітет по ризиках<br />Комітет по управлінню змінами<br />Аналіз даних в системах:<br />Система автоматизації ІТ-процесів (напр. JIRA)<br />Система закупок (контракти з постачальниками)<br />Системи моніторингу (напр. HP OVO)<br />Системи звітування про інциденти<br />Інше:<br />Аудиторські звіти<br />Результати пен-тестів<br />
  24. 24. Авторитет<br />Насправді, не такий вже він і лідер. Просто у нього багато послідовників.<br />
  25. 25. Авторитет<br />Повноваження:<br />Положення про внутрішній аудит, процедура взаємодії із підрозділами<br />Пряме підпорядкування аудиторському комітету / топ-менеджменту<br />Погодження рекомендацій із відповідальними<br />Моніторинг статусів виконання<br />Звітування результатів моніторинга керівництву<br />Сприйняття:<br />Баланс між формальним підходом до аудиту (слідувати плану аудиту і робочим програмам) і added-value підходу (реагувати на ad-hoc знахідки)<br />Баланс між незалежністю та корисними рекомендаціями<br />Баланс між “правильними” рекомендаціями із неочевидними ризиками і “точковими” знахідками з яскраво проілюстрованим ризиком<br />
  26. 26. Оргструктура<br />
  27. 27. Висновки<br />В компаніях з складною ІТ-інфраструктурою та технологічними процесами ІТ-аудит необхідний<br />Аудит ≠ операційний контроль<br />Цикл аудиту має бути повним (включаючи погодження рекомендацій і моніторинг статусів), а повноваження аудиту – чітко визначеними<br />Позитивне сприйняття ІТ-аудиту вимагає постійних зусиль<br />Шлях до успіху = компетентна команда + актуальні проблеми + дотримання принципів + розумний компроміс<br />

×