Om du driver ett företag eller leder ett projekt kan en cyberbrottsling få katastrofala konsekvenser för ditt företag. De kan stjäla kunddata och förstöra ditt rykte. Det är något som många inte återhämtar sig från. Och till skillnad från i den fysiska världen, där dåliga grannskap är tydligare avgränsade, kan cyberhot vara som en trojansk häst. De kan verka vänliga, men när din vakt är nere plundrar de dina data.
Hotet kan också vara internt, t.ex. en missnöjd anställd som på några sekunder saboterar allt du byggt upp under flera år. Slutsats: Tekniken är användbar, men den är också sårbar. Därför måste organisationer göra en IT-revision för att se till att deras data och nätverk är säkra mot attacker. En IT-säkerhetsrevision kan vara det enda som står mellan framgång och misslyckande.
Vad är en IT-revision?
Revisioner låter illa. Ingen vill få det där brevet som meddelar att skattemyndigheten är på väg att inleda en revision av din ekonomi. Men en revision innebär bara en officiell inspektion av ens räkenskaper. En revision av informationsteknik är därför en officiell granskning av en organisations IT-infrastruktur, policyer och verksamhet. Den lägger också till en utvärdering, för att föreslå förbättringar. IT-revisioner har pågått sedan mitten av 1960-talet och har kontinuerligt utvecklats sedan dess i takt med att tekniken går framåt. Det är en viktig del av ett bra förfarande för IT-projekthantering.
Du kan tänka dig detta som en IT-säkerhetsrevision. Poängen är att se om de IT-kontroller som finns på plats skyddar företagets tillgångar på rätt sätt, säkerställer dataintegriteten och håller sig i linje med företagets mål och målsättningar. Detta innebär att allt som har med IT att göra inspekteras, från fysisk säkerhet till övergripande affärsmässiga och ekonomiska frågor.
Fem kategorier av IT-revisioner
I stora drag kan en IT-revision delas in i två: allmän kontrollgranskning och granskning av applikationskontroller. Men om du vill bli mer specifik, så finns här fem kategorier av en väl genomförd revision.
- System & Applikationer: Detta fokuserar på systemen och applikationerna inom en organisation. Man ser till att de är lämpliga, effektiva, giltiga, tillförlitliga, lägliga och säkra på alla verksamhetsnivåer.
- Informationsbehandlingsanläggningar: Kontrollerar att processen fungerar korrekt, i rätt tid och med precision, oavsett om det sker under normala eller störande förhållanden.
- Systemutveckling: För att se om de system som är under utveckling skapas i enlighet med organisationens standarder.
- Förvaltning av IT och företagsarkitektur: Att se till att IT-hanteringen är strukturerad och att processerna är kontrollerade och effektiva.
- Klient/server, telekommunikation, intranät och extranät: Detta belyser kontroller av telekommunikation, t.ex. en server och ett nätverk, som är bryggan mellan klienter och servrar.
Alt detta kan påskyndas med hjälp av programvara för IT-projekthantering.
Vem är ansvarig?
En IT-revisor ansvarar för de interna kontroller och risker som är förknippade med en organisations IT-nätverk. Det innebär bland annat att identifiera svagheter i IT-systemet och reagera på eventuella fynd samt planera för att förhindra säkerhetsöverträdelser. Det finns certifieringar för denna kompetens, t.ex. certifierad informationssystemrevisor (CISA) och certifierade informationssystemssäkerhetsexperter (CISSP).
Vad är en bra frekvens?
Dessutom finns det inga hårda regler för frekvensen, men regelbundna IT-säkerhetsrevisioner måste vara en del av en organisations fleråriga insatser. De kräver tid och ansträngning, så det är en balansgång. Det är bäst att undersöka hur ofta andra organisationer i din bransch och storlek etc. genomför sina för att få en baslinje.
IT-revision Best Practices
Processen att genomföra en IT-revision är komplex och berör alla aspekter av ditt informationssystem. Det finns övergripande allmänna ledningsfrågor och policy att ta hänsyn till. Det finns också säkerhetsarkitektur och design, system och nätverk, autentisering och auktorisering och till och med fysisk säkerhet. Det handlar om kontinuitetsplanering och katastrofåterställning, precis som all god riskhantering.
Det finns också några övergripande bästa metoder som kan styra dig genom labyrinten, så att du börjar och slutar effektivt. Dessa fem tips hjälper dig att genomföra en IT-säkerhetsrevision på rätt sätt.
- Omfattning: Om du känner till revisionens omfattning i förväg är det mer sannolikt att du får en revision som löper utan problem. För det första vill du involvera alla relevanta intressenter när du planerar. Prata med dem som arbetar i IT-miljön. De kan hjälpa dig att förstå vilka risker du vill identifiera och förstå systemets nuvarande kapacitet. På så sätt får du en bättre uppfattning om det finns ett behov av att införa ny teknik eller inte. Känn också till tillämpliga lagar och förordningar för att se till att du följer dem.
- Externa resurser: Du kanske har ett team som kan genomföra IT-säkerhetsrevisionen på egen hand eller så kan du behöva anlita externa entreprenörer för att hjälpa till med delar av eller hela arbetet. Detta måste bestämmas i förväg. Du kanske har en IT-revisionsansvarig eller behöver anlita en konsult, som sedan kan utbilda teamet i vad de ska hålla ögonen öppna för mellan IT-revisionerna.
- Genomförande: Känn till den inventering du har och lägg ner dessa system i en lista som är organiserad efter prioritet. Känn till industristandarder, metoder och förfaranden för att se till att ni håller er till de mest aktuella metoderna. Utvärdera din revision för att se om tillgångarna är skyddade och riskerna minskade.
- Återkoppling: Om du inte är IT-specialist kan det kännas som om rapporterna är skrivna på ett annat språk. För att revisionen ska vara effektiv måste den vara tydlig för dem som är beslutsfattare. IT-revisorn bör överlämna rapporten personligen och svara på eventuella frågor, så att det inte finns några tvivel om arbetet och de sårbarheter som upptäcktes när det är klart.
- Upprepa: En IT-revision är naturligtvis inte en engångsföreteelse, men mellan revisionerna finns det fortfarande arbete att göra. Det inkluderar att ge rekommendationer för framtiden och att använda IT-programvara som automatiskt kan övervaka system, användare och tillgångar. Det är en bra idé att ha en plan för att granska tillämpliga lagar, förordningar och nyutveckling kvartalsvis, eftersom teknikområdet är notoriskt snabbt föränderligt.
ProjectManager.com för IT-revision
När man gör en IT-revision finns det många uppgifter som troligen kräver ett team för att utföras. Det låter som ett projekt. Även om det finns programvarupaket som är utformade för att övervaka IT-säkerheten är en revision ett annat djur och kan dra nytta av en projektstyrningsprogramvara för att styra den på ett effektivt sätt.
Alla revisioner kan delas upp i en serie uppgifter, precis som du använder en arbetsfördelningsstruktur (WBS) för att ta ett stort projekt och dela upp det i mindre, mer hanterbara bitar. En uppgiftslista kan prioriteras och sedan kan det kalkylbladet laddas upp till ProjectManager.com, där det omvandlas från ett statiskt ark till ett dynamiskt verktyg.
Visualisera arbetsflödet med Kanban
När det väl är importerat kan uppgiftslistan visas på flera olika sätt. Det finns kanbantavlan som visualiserar arbetsflödet. De olika uppgifterna är enskilda kort som organiseras av kolumner som anger om arbetet ska påbörjas, pågår eller är färdigt. Dessa kort kan tilldelas en eller flera teammedlemmar, som kan kommentera dem direkt för att samarbeta. Filer och bilder kan också bifogas.
Gör ett revisionsschema med Gantt
En annan vy är Gantt. Den visar din uppgiftslista till vänster och fyller dessa uppgifter över en tidslinje till höger. Uppgifterna kan återigen tilldelas, samarbetas och spåras. ProjectManager.com är en molnbaserad programvara, så alla statusuppdateringar återspeglas omedelbart. Uppgiftsberoenden kan kopplas samman för att undvika att blockera teammedlemmar och om tidsfrister behöver ändras kan det göras med ett enkelt drag och släpp på tidslinjen för uppgifter.
Projektets instrumentpaneler för övervakning av revisionen
För att övervaka framstegen i IT-säkerhetsrevisionen och rapportera tillbaka till ledningen har ProjectManager.com en instrumentpanel i realtid. Den håller projektledaren uppdaterad om vad som händer och räknar ut siffrorna automatiskt genom att visa projektmätvärden i tydliga och färgglada grafer och diagram. Dessa kan sedan filtreras för att återspegla de data du vill ha och delas eller skrivas ut för en presentation.
ProjectManager.com har också många gratis mallar för att hjälpa till med olika faser i ett projekt. Vår mall för IT-riskbedömning är ett bra ställe att börja när man gör en IT-revision.
Informationsteknik är en del av nästan alla organisationer. Fördelarna är stora, men det är också riskerna. ProjectManager.com är en molnbaserad projektledningsprogramvara som hjälper IT-proffs att hantera de komplexa uppgifter som ingår i en IT-revision. Prova den gratis idag med denna 30-dagars provperiod.