Hvis du driver en virksomhed eller styrer et projekt, kan en cyberkriminel have katastrofale konsekvenser for din virksomhed. De kan stjæle kundedata og ødelægge dit omdømme. Det er noget, som mange ikke kommer sig over. Og i modsætning til i den fysiske verden, hvor dårlige kvarterer er mere klart afgrænset, kan cybertrusler være som en trojansk hest. De kan virke venlige, men når du ikke er på vagt, plyndrer de dine data.
Truslen kan også være intern, f.eks. at en utilfreds medarbejder saboterer alt, hvad du har opbygget i årevis, på få sekunder. Bundlinjen: Teknologi er nyttig, men den er også sårbar. Derfor skal organisationer foretage en it-revision for at sikre, at deres data og netværk er sikre mod angreb. En it-sikkerhedsrevision kan være det eneste, der står mellem succes og fiasko.
Hvad er en it-revision?
Revisioner lyder dårligt. Ingen ønsker at få det brev, der meddeler, at skattevæsenet er ved at indlede en revision af din økonomi. Men en revision betyder kun en officiel inspektion af ens regnskaber. En revision af informationsteknologi er derfor en officiel undersøgelse af en organisations it-infrastruktur, politikker og drift. Den tilføjer også en evaluering med henblik på at foreslå forbedringer. IT-revisioner har eksisteret siden midten af 1960’erne og har løbende udviklet sig siden da i takt med teknologiens udvikling. Det er en vigtig del af en god it-projektledelsesprocedure.
Du kan tænke på dette som en it-sikkerhedsrevision. Det drejer sig om at se, om de eksisterende it-kontroller beskytter virksomhedens aktiver korrekt, sikrer dataintegriteten og holder sig i overensstemmelse med virksomhedens mål og målsætninger. Det betyder, at alt, der involverer IT, inspiceres, lige fra den fysiske sikkerhed til de overordnede forretningsmæssige og økonomiske hensyn.
Fem kategorier af it-revisioner
I store træk kan en it-revision opdeles i to: generel kontrolgennemgang og gennemgang af applikationskontrol. Men hvis du ønsker at blive mere specifik, er her fem kategorier af en veludført revision.
- Systemer & Applikationer: Dette fokuserer på systemerne og applikationerne i en organisation. Det sikrer, at de er hensigtsmæssige, effektive, gyldige, pålidelige, rettidige og sikre på alle aktivitetsniveauer.
- Informationsbehandlingsfaciliteter: Kontrollerer, at processen fungerer korrekt, rettidigt og nøjagtigt, uanset om det er under normale eller forstyrrende forhold.
- Systemudvikling: For at se, om de systemer, der er under udvikling, oprettes i overensstemmelse med organisationens standarder.
- Forvaltning af it- og virksomhedsarkitektur: Sikre, at it-forvaltningen er struktureret og processerne er kontrollerede og effektive.
- Client/Server, telekommunikation, intranet og ekstranet: Dette sætter fokus på kontrol af telekommunikation, såsom en server og et netværk, som er broen mellem klienter og servere.
Alt dette kan fremskyndes ved hjælp af it-projektstyringssoftware.
Hvem er ansvarlig?
En it-revisor er ansvarlig for de interne kontroller og risici, der er forbundet med en organisations it-netværk. Det omfatter identifikation af svagheder i it-systemet og reaktion på eventuelle fund samt planlægning for at forhindre sikkerhedsbrud. Der findes certificeringer for denne kompetence, f.eks. certificeret informationssystemrevisor (CISA) og certificeret informationssystemsikkerhedsekspert (CISSP).
Hvad er en god hyppighed?
Selv om der ikke er nogen faste regler for hyppighed, skal regelmæssige it-sikkerhedsrevisioner være en del af en organisations flerårige indsats. De tager tid og kræver en indsats, så det er en balancegang. Det er bedst at undersøge, hvor ofte andre organisationer i din branche og størrelse osv. gennemfører deres for at få en baseline.
Best Practices for IT-revision
Processen med at gennemføre en IT-revision er kompleks og berører alle aspekter af dit informationssystem. Der er overordnede generelle ledelsesspørgsmål og politikker, der skal tages i betragtning. Der er også sikkerhedsarkitektur og -design, systemer og netværk, autentificering og autorisering og endda fysisk sikkerhed. Det involverer kontinuitetsplanlægning og katastrofeberedskab, ligesom enhver god risikostyring.
Der er også nogle overordnede bedste praksis, der kan styre dig gennem labyrinten, så du starter og slutter effektivt. Disse fem tips vil hjælpe dig med at gennemføre en it-sikkerhedsrevision korrekt.
- Omfang: Ved at kende revisionens omfang på forhånd er der større sandsynlighed for at få en revision, der forløber uden problemer. For det første vil du gerne involvere alle relevante interessenter, når du planlægger. Tal med dem, der arbejder i it-miljøet. De kan hjælpe dig med at forstå, hvilke risici du søger at identificere, og forstå systemets nuværende kapacitet. På den måde får du en bedre idé om, hvorvidt der er behov for at indføre nye teknologier eller ej. Du skal også kende de gældende love og bestemmelser for at sikre, at du overholder reglerne.
- Eksterne ressourcer: Du har måske et team samlet internt, som er i stand til selv at gennemføre it-sikkerhedsrevisionen, eller du kan være nødt til at søge eksterne entreprenører til at hjælpe med dele eller det hele. Dette skal afgøres på forhånd. Du har måske en it-revisionsleder eller har brug for at hyre en konsulent, som så kan uddanne holdet i, hvad de skal holde øje med i mellem it-revisionerne.
- Gennemførelse: Kend den opgørelse, du har, og sæt disse systemer ned på en liste organiseret efter prioritet. Kend branchestandarder, metoder og procedurer for at sikre, at du følger med i den mest aktuelle praksis. Evaluer din revision for at se, om aktiverne er beskyttet og risiciene afbødes.
- Feedback: Hvis du ikke er it-professionel, kan it-revisionsrapporterne føles som om, de er skrevet på et andet sprog. For at revisionen skal være effektiv, skal revisionen være klar for dem, der er beslutningstagere. It-revisor bør give rapporten personligt og besvare eventuelle spørgsmål, så der efter endt arbejde ikke er nogen tvivl om arbejdet og de sårbarheder, der er blevet opdaget.
- Gentagelse: En it-revision er naturligvis ikke en engangsbegivenhed, men mellem revisionerne er der stadig arbejde, der skal gøres. Det omfatter bl.a. at give anbefalinger fremadrettet ved hjælp af it-software, der automatisk kan overvåge systemer, brugere og aktiver. Det er en god idé at have en plan for at gennemgå gældende love, regler og nye udviklinger hvert kvartal, da teknologiområdet er notorisk hurtigt bevægeligt.
ProjectManager.com for IT-revision
Når man laver en IT-revision, er der mange opgaver, som sandsynligvis kræver et team til at udføre. Lyder som et projekt. Selv om der findes softwarepakker, der er designet til at overvåge it-sikkerhed, er en revision et andet dyr, og den kan med fordel styres effektivt med et projektstyringsprogram.
Alle revisioner kan opdeles i en række opgaver, ligesom du bruger en arbejdsfordelingsstruktur (WBS) til at tage et stort projekt og opdele det i mindre, mere overskuelige dele. En opgaveliste kan prioriteres, og derefter kan dette regneark uploades til ProjectManager.com, hvor det omdannes fra et statisk ark til et dynamisk værktøj.
Visualisér arbejdsgangen med Kanban
Når den er importeret, kan opgavelisten vises på en række forskellige måder. Der er kanban-tavlen, der visualiserer arbejdsgangen. De forskellige opgaver er individuelle kort, som er organiseret efter kolonner, der angiver, om arbejdet skal påbegyndes, er i gang eller er udført. Disse kort kan tildeles et eller flere teammedlemmer, som kan kommentere direkte på dem for at samarbejde. Der kan også vedhæftes filer og billeder.
Lægge en revisionsskema med Gantt
En anden visning er Gantt. Denne viser din opgaveliste til venstre og udfylder disse opgaver på tværs af en tidslinje til højre. Opgaverne kan igen tildeles, samarbejdes om og spores. ProjectManager.com er en cloud-baseret software, så alle statusopdateringer afspejles øjeblikkeligt. Opgaveafhængigheder kan knyttes sammen for at undgå at blokere teammedlemmer, og hvis tidsfrister skal ændres, kan det gøres med et simpelt træk og slip på opgavetidslinjen.
Projektets dashboards til overvågning af revisionen
Med hensyn til overvågning af udviklingen i it-sikkerhedsrevisionen og rapportering til ledelsen har ProjectManager.com et dashboard i realtid. Det holder projektlederen underrettet om, hvad der sker, og det udregner tallene automatisk og viser projektmetrikker i klare og farverige grafer og diagrammer. Disse kan derefter filtreres, så de afspejler de data, du ønsker, og deles eller udskrives til en præsentation.
ProjectManager.com har også mange gratis skabeloner til at hjælpe med de forskellige faser af ethvert projekt. Vores skabelon til it-risikovurdering er et godt sted at starte, når du laver en it-revision.
Informationsteknologi er en del af næsten alle organisationer. Fordelene er store, men det er risiciene også. ProjectManager.com er en cloud-baseret projektstyringssoftware, der hjælper it-professionelle med at håndtere de komplekse opgaver, der er forbundet med en it-revision. Prøv det gratis i dag med denne 30-dages prøveperiode.