ИТ аудит и информационная безопасность

 

Стремительная автоматизация устаревающих методов работы существенно повышают ценность информационных технологий практически для любого вида бизнеса. Информация стала новым видом финансовых активов, которые требуют надлежащего управления. Своевременное и квалифицированное реагирование на постоянно изменяющийся ландшафт ИТ и ИБ позволит предотвратить как прямые потери, связанные с компрометацией информационных систем, так и косвенные, появляющиеся в виде затрат на устранение брешей в безопасности, возможных штрафных санкций со стороны регуляторов или вследствие имущественных взысканий по решению суда.

Международная команда экспертов Baker Tilly, имеющих многолетний опыт в области практической информационной безопасности и управления информационными технологиями, обеспечит комплексный подход в вопросах независимой оценки эффективности и безопасности информационных технологий. Результатом нашей работы является описание выявленных несоответствий, детальная методология и свидетельства их обнаружения, а также квалифицированные рекомендации по устранению идентифицированных рисков. Основной задачей является непредвзятое определение и профессиональная корректировка конкретных процессов управления информационными технологиями или безопасностью, которые и допускают образование уязвимостей и несоответствий.

 

Результаты ИТ аудита

Результаты аудита ИТ, представленные в виде подписанного отчёта с независимым аудиторским заключением, дают текущую оценку актуального состояния ИТ-инфраструктуры, систем, а также эффективности действий персонала и действующих процессов управления ИТ и ИБ.

Наглядное представление выявленных несоответствий действующим требованиям и критериям аудита сопровождаются описанием собранных свидетельств и доказательствами, позволяющими их воспроизвести. В отчёт включается оценка рисков по каждому из несоответствий с выводами о вероятности наступления последствий и оценкой предполагаемого ущерба, который может возникнуть в результате самого негативного развития событий.

 

IT audit types

IT audit types

Применение результатов ИТ аудита

По сложившейся практике линейные ИТ / ИБ руководители и топ-менеджмент организации используют результаты аудита для принятия конкретных мер по существу, для улучшения действующих и внедрения актуальных процессов в области управления ИТ и ИБ, например:

  • оценка персонала позволяет выявить высокорисковые зоны, связанные с человеческим фактором, и провести реорганизацию процессов таким образом, чтобы минимизировать или полностью исключить риски
  • реестр выявленных несоответствий, недостатков или уязвимостей представляет собой список ключевых зон, процессов и систем с указанием конкретных изъянов, и рекомендуемых способов их устранения
  • пути и способы минимизации рисков, выраженные в виде рекомендаций, позволяют выявить неявные риски, включить их в действующие методики по управлению рисками и наметить план действий по снижению рисков до приемлемого уровня
  • обоснование затрат на покупку или модернизацию оборудования и программного обеспечения зачастую проистекает из выводов и рекомендаций, изложенных в отчёте, что позволяет направить вектор бюджетного планирования в ИТ и ИБ подразделениях в сторону повышения эффективности конкретных компонентов инфраструктуры
  • обоснование инвестиций в обучение является вероятным следствием результатов оценки персонала и подтверждённой независимой оценкой необходимостью регулярного повышения квалификации как одного из важных факторов управления процессами в области информационной безопасности
  • управление TCO (Total Cost of Ownership, совокупная стоимость владения) позволяет определить рамки границ эффективности ИТ-решений с учётом объективных капитальных затрат, а также прямых и косвенных эксплуатационных расходов, возникающих в том числе из-за инцидентов информационной безопасности
  • эффективное использование систем является прямым следствием соблюдения рекомендаций, изложенных в аудиторском заключении.

Наши специалисты прошли профессиональную отраслевую подготовку в ведущих учебных заведениях, в том числе в Техасском университете TAMU (США), Федеральном институте управления чрезвычайными ситуациями и защите критической инфраструктуры (FEMA) при Департаменте внутренней безопасности США (US Homeland Security Dept.), Академии этичного хакинга (EH Academy); являются членами отраслевых объединений, такими как Институт Внутренних Аудиторов (IIA, Moscow Charter); обладают подтверждающими сертификатами мирового уровня специалистов по управлению рисками информационной безопасности, защите критической информационной инфраструктуры, Ведущего аудитора систем управления информационной безопасностью ISO27001, ISACA CISA Certification Training Program as Certified Information System Auditor, Сертифицированный инженер Red Hat (RHCE) и другими. Компания Baker Tilly с 2017 года является партнёром Лаборатории Касперского в сфере управления инцидентами ИБ.

Заказать проведение ИТ аудита