Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Tavoitteiden asettaminen

Auditoinnin tilaaminen aloitetaan määrittelemällä sen tarkoitus. Näin saadaan heti lähtökuopissa kiinni siitä, mitä tavoitellaan ja mitä sillä voi enimmillään saavuttaa. Tavoitteiden on oltava realistisia ja niihin on aina luettava mukaan myös oman toiminnan kehittyminen ja virheistä oppiminen.

Riskienhallinnan näkökulmasta auditoinnin tavoitteena on varmistaa määriteltyjen kontrollien asianmukainen toiminta. Suomeksi tämä voi tarkoittaa esimerkiksi kysymystä, onko meillä kaikki kunnossa. Auditointi saattaa olla ajankohtainen tai tarpeellinen myös viranomaisvaatimusten tai lainsäädännöllisten velvoitteiden täyttämiseksi. Auditointi voi olla tekninen kohdistuen ohjelmistoon tai puoliksi tekninen kohdistuen myös arkkitehtuuriin tai hallinnollinen kohdistuen toimintamalleihin ja prosesseihin. Monesti tavoitteiden kautta määrittyy auditointi joka on vähän jokaista osa-aluetta.

Auditoinnin tavoitteena voi olla esimerkiksi minimoida mahdollisuus tietomurtoon, parantaa järjestelmän jatkuvuutta sekä toipumiskykyä tai varmistaa toiminnan luotettavuutta. Puolueeton arvio auttaa löytämään heikkoja kohtia omasta toiminnasta ja antaa suoraa palautetta sekä parannusehdotuksia. Tuloksena on konkreettisia todisteita yhteistyökumppaneille, johdolle ja asiakkaille siitä, että on toimittu lupausten mukaisesti.

Auditoinnin tavoitteet

Osa-alueiden määritys eli auditoinnin scope

Auditoinnissa voidaan tarkistaa sekä teknisiä, hallinnollisia että prosessiasioita. Ennen auditoinnin toteutusta valitaan sen kohteena olevat osa-alueet.

Valintaan vaikuttavat tunnistetut uhkat ja riskiskenaariot, jotka myös muodostavat pohjan tavoitteelliselle auditoinnille. Uhkien kartoitukseen voidaan käyttää auditointia edeltävää riskiarviointia, joka on tehokas työkalu auditoinnin laajuuden määrittämiseen sekä myös merkityksettömien asioiden sulkemiseen kokonaan auditoinnin ulkopuolelle.

Teknisiä kohteita ovat mm. asiakkaiden käyttöön tarkoitetut järjestelmät tai sisäiset tietojärjestelmät, joissa käsitellään liiketoimintatietoa. Myös tietyt tilanteet, kuten esimerkiksi it-infrastruktuurin muutokset, ulkoistuksiin liittyvät muutokset tai valmisjärjestelmien hankinta, voivat luoda tarpeen auditoinnin tekemiselle.

Auditointi voi kohdistua omaan toimintaan, mutta myös toimittajan tai sopimuskumppanin toimintaan. Tietoturvastandardit yleensä velvoittavat organisaation valvomaan, tarkastamaan ja auditoimaan alihankkijoidensa ja muiden kumppanien palvelujen toimittamista. Lähtökohtana on, että yhteistyötahojen tietoturvan taso ei poikkeaisi omasta tasosta (ainakaan huonompaan suuntaan) ja noudattaisi osapuolten välille määriteltyjä ehtoja. Kriittisiin liiketoimintasopimuksiin sisällytetään tästä syystä monesti pykälä auditointioikeudesta.

Osa-alueiden määrittelyssä huomioidaan myös annetut rajaukset. Auditoitaessa saattaa nimittäin käydä esimerkiksi niin, että päädytään käsittelemään tietoja määritellyn osa-alueen ulkopuolisessa järjestelmässä. Tällöin rajauksilla kielletään kaikki lisätoimenpiteet, jotka voisivat kohdistua tällaiseen järjestelmään. Osa-alueiden määrittelyn lisäksi on siis huomioitava auditoitavan antamat rajaukset ja auditoinnin ulkopuolelle suljettavat kohteet.

Tulosten ostaminen

Kun perusasiat ja tavoitteet on tiedossa, on helpompi tilata auditointi. Osaava auditoija auttaa myös ostajaa – ei ole mielekästä myydä auditointipalveluita sellaisiin kohteisiin tai tavoitteisiin, jossa jo ennakkoasentelmat enteilevät huonoja tuloksia. 

Auditointi jossa ei löydy mitään havaintoja siksi että auditoijalla ei ollut selkeää tavoitetta, selkeäitä rajoja, järkevää aikataulua tai saa ajallaan vastauksia olennaisiin kysymyksiin on epäonnistunut auditointi. 

Auditointi jossa ei löydy vakavia havaintoja ei välttämättä tarkoita huonoa tulosta, kunhan itse auditointi pystyttiin suorittamaan mielekkäällä tavalla asetettujen tavoitteiden ja reunaehtojen puitteissa.

Auditoinnin punainen lanka
Mint Security people
Thomas

Auditointi

Auditointi Auditointi lyhyesti Auditointi tarkoittaa monia asioita. Meille se tarkoittaa asiakkaalle räätälöityä järjestelmä-, ympäristö sekä prosessitarkistusta. Sen lisäksi että kuuntelemme mistä asiakas on kiinnostunut, kerromme

Lue lisää »
Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.