Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Asetamme tavoitteet ja osa-alueet

Huomioitava ennen auditointia

Kun asiakas on todennut auditointitarpeen ja tilannut meiltä auditoinnin, toteutus aloitetaan määrittelemällä yhdessä auditoinnin tavoitteet ja osa-alueet. 

Auditointi voi olla tekninen kohdistuen ohjelmistoon tai puoliksi tekninen kohdistuen myös arkkitehtuuriin tai hallinnollinen kohdistuen toimintamalleihin ja prosesseihin. 

Tässä työvaiheessa on tyypillisesti mukana asiakkaan puolelta toiminnosta,  järjestelmästä tai projektista vastaava henkilö ja/tai hänen valtuuttamansa henkilöt. Olennaista on, että nämä henkilöt tuntevat auditoinnin kohteena olevan järjestelmän tai prosessin. Toisena osapuolena on auditoinnin suorittavan tahon edustaja.

Auditoinnin esivalmisteluissa kerätään taustatietoja, jotka varmistavat työn laadun ja mahdollistavat haluttujen asioiden tehokkaan testaamisen. Esitiedot voivat olla teknisiä tai käytännön asioita.

Pidetään "scope meeting"

Auditointi alkaa ns. scope meetingillä, jossa tutustutaan auditoinnin kohteena olevaan toimintoon, palveluun tai järjestelmään sellaisena kuin mitä se tulee auditoinnin aikana olemaan. Mahdollinen salassapitositoumus tulee olla allekirjoitettuna viimeistään ennen scope meetingiä.

Kokoonnutaan aloituspalaveriin

Varsinaisen auditoinnin aloituspalaveri on tyypillisesti korkeintaan muutaman tunnin mittainen ja sen yhtenä päätarkoituksena on tutustuttaa auditoija tai auditointitiimi auditoinnin kohteeseen. Muita tavoitteita ovat auditoinnissa tarvittavien käyttäjätunnusten, osoitteiden, pääsynvalvontamuutosten ja muiden vastaavien yksityiskohtien kartoittaminen sekä vastuutus jatkotoimia varten sekä mahdollisten tietoturvakontrollien käytöstä poistosta sopiminen auditoinnin suorittamisen ajaksi. Jos auditointi kattaa sekä hallinnollisia että teknisiä osuuksia, voidaan aloituspalverit jakaa myös osiin jotta ajankäyttö olisi tehokasta.

Yleisesti on hyvä tiedostaa ja ymmärtää molemmin puolin, mitä auditoidaan ja miksi auditoidaan. Tärkeää on myös tietää rajoitukset eli sopia mitä EI testata tai arvioida. Se mitä ei arvioida, siitä ei myöskään tule kirjausta raporttiin.

Käytännön järjestelyt ja aikataulu

Käytännön järjestelyissä sovitaan muun muassa seuraavista asioista:

  • Onko auditointi mahdollista tehdä etänä vai tarvitaanko läsnäoloa tietyssä paikassa?
  • Onko testauksen ajankohdalle olemassa rajoitteita/toiveita, esim. virastoaika tai yöaika?
  • Missä ja mahdolliset henkilöhaastattelut suoritetaan
  • Mitä prosessi- tai arkkitehtuurikuvauksia tai muuta kirjallista materiaalia saadaan käyttöön
  • Millä tavoin kirjallinen materiaali jaetaan

Kun asiat on sovittu ja aloitusajankohta saavutettu, alkaa varsinainen auditointi eli testaus- ja katselmointivaihe. Työn laajuudesta ja kestosta riippuen yhteydenpito tilaajaan voi olla satunnaista, tarpeen mukaan tapahtuvaa tai säännönmukaista – lähes poikkeuksetta sitä kuitenkin tapahtuu.

Sovitut yhteydenpitokanavat (puhelin, sähköposti, Slack, Teams jne.) on hyvä testata ja todeta toimiviksi ennen työn aloittamista. Mitä kriittisempi tekninen auditointi, sitä tärkeämpi on toimiva kommunikaatio.

Tässä vaiheessa tiedetään, mitä testataan, miten testataan eikä laajuutta (scopea) enää muuteta. Mikäli auditoinnin aikana ilmenee työtä vaikeuttavia tai estäviä asioita, niistä ilmoitetaan sovituille kontakteille.

Raportoidaan

Yleensä toimitetaan jo alustavia tietoja auditoinnin aikana. Tämä koskettaa erityisesti teknisiä auditointeja, jossa toteutustiimille on eduksi saada mahdolliset kriittiset ongelmat heti tietoonsa.

Auditoinnin suorittamisen jälkeen toimitetaan sovitulle yhteyshenkilölle tai -henkilöille auditointiraportti. Raportti sisältää yksityiskohtaisia kuvauksia löydöksistä, suosituksia mahdollisten virheiden korjaamiseksi sekä – teknisen auditoinnin ollessa kyseessä – tarvittavat toimenpiteet, joita noudattamalla voidaan esim. toistaa tai todentaa löydös.

On tärkeä tiedostaa, että auditointiraportti ei ole diplomi tai sertifikaatti eikä se takaa että ”kaikki on ok” tästä hetkestä tulevaisuuteen. Auditointihetkellä mahdollisesti todettu hyväksyttävä tila kuvaa vain sitä nimenomaista hetkeä, jolloin auditointi on suoritettu. Korkeaan tietoturvan tasoon liittyy, että määritelty ja saavutettu taso säilyy vähintään samanlaisena ainakin siihen asti, kunnes palvelu tai prosessi poistuu käytöstä. Tämä toteutuu vain noudattamalla auditointiraportin korjaavia havaintoja, sekä huolehtimalla tietoturvasta jatkuvasti.

Auditoinnista raporttiin
Mint Security people
Thomas

Auditointi

Auditointi Auditointi lyhyesti Auditointi tarkoittaa monia asioita. Meille se tarkoittaa asiakkaalle räätälöityä järjestelmä-, ympäristö sekä prosessitarkistusta. Sen lisäksi että kuuntelemme mistä asiakas on kiinnostunut, kerromme

Lue lisää »
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.