ИТ аудит

Стремительная автоматизация устаревающих методов работы существенно повышают ценность информационных технологий практически для любого вида бизнеса. Информация стала новым видом финансовых активов, которые требуют надлежащего управления. Своевременное и квалифицированное реагирование на постоянно изменяющийся ландшафт ИТ и ИБ позволит предотвратить как прямые потери, связанные с компрометацией информационных систем, так и косвенные, появляющиеся в виде затрат на устранение брешей в безопасности, возможных штрафных санкций со стороны регуляторов или вследствие имущественных взысканий по решению суда.

Международная команда экспертов Baker Tilly, имеющих многолетний опыт в области практической информационной безопасности и управления информационными технологиями, обеспечит комплексный подход в вопросах независимой оценки эффективности и безопасности информационных технологий. Результатом нашей работы является описание выявленных несоответствий, детальная методология и свидетельства их обнаружения, а также квалифицированные рекомендации по устранению идентифицированных рисков. Основной задачей является непредвзятое определение и профессиональная корректировка конкретных процессов управления информационными технологиями или безопасностью, которые и допускают образование уязвимостей и несоответствий.

Результаты ИТ аудита

Результаты аудита ИТ, представленные в виде подписанного отчёта с независимым аудиторским заключением, дают текущую оценку актуального состояния ИТ-инфраструктуры, систем, а также эффективности действий персонала и действующих процессов управления ИТ и ИБ.

Наглядное представление выявленных несоответствий действующим требованиям и критериям аудита сопровождаются описанием собранных свидетельств и доказательствами, позволяющими их воспроизвести. В отчёт включается оценка рисков по каждому из несоответствий с выводами о вероятности наступления последствий и оценкой предполагаемого ущерба, который может возникнуть в результате самого негативного развития событий.

IT audit types

IT audit types

Применение результатов ИТ аудита

По сложившейся практике линейные ИТ / ИБ руководители и топ-менеджмент организации используют результаты аудита для принятия конкретных мер по существу, для улучшения действующих и внедрения актуальных процессов в области управления ИТ и ИБ, например:

  • оценка персонала позволяет выявить высокорисковые зоны, связанные с человеческим фактором, и провести реорганизацию процессов таким образом, чтобы минимизировать или полностью исключить риски;
  • реестр выявленных несоответствий, недостатков или уязвимостей представляет собой список ключевых зон, процессов и систем с указанием конкретных изъянов, и рекомендуемых способов их устранения;
  • пути и способы минимизации рисков, выраженные в виде рекомендаций, позволяют выявить неявные риски, включить их в действующие методики по управлению рисками и наметить план действий по снижению рисков до приемлемого уровня;
  • обоснование затрат на покупку или модернизацию оборудования и программного обеспечения зачастую проистекает из выводов и рекомендаций, изложенных в отчёте, что позволяет направить вектор бюджетного планирования в ИТ и ИБ подразделениях в сторону повышения эффективности конкретных компонентов инфраструктуры;
  • обоснование инвестиций в обучение является вероятным следствием результатов оценки персонала и подтверждённой независимой оценкой необходимостью регулярного повышения квалификации как одного из важных факторов управления процессами в области информационной безопасности;
  • управление TCO (Total Cost of Ownership, совокупная стоимость владения) позволяет определить рамки границ эффективности ИТ-решений с учётом объективных капитальных затрат, а также прямых и косвенных эксплуатационных расходов, возникающих в том числе из-за инцидентов информационной безопасности;
  • эффективное использование систем является прямым следствием соблюдения рекомендаций, изложенных в аудиторском заключении.
Ит комплаенс (ИТ аудит)