Из аудитора в ИТ-аудитора

Опубликовано в 09/02/2022 - аудит, статьи - метки:

Автор: Александра Власова, CIA (Дипломированный внутренний аудитор), ACCA, CISA, CRMA, член Ассоциации «Институт внутренних аудиторов»

Риски информационной безопасности становятся все более и более значимыми, и многие компании задумываются о найме штатного ИТ-аудитора. Удаленная работа сделала ИТ-риски еще более актуальными, особенно в части защиты сети и данных.

В этой статье я поделюсь личным опытом становления в ИТ-аудите. Сразу уточню, что мое профильное образование не имеет отношения к ИТ, но это не помешало мне получить международный сертификат в области ИТ-аудита и информационной безопасности (CISA).

По моему мнению и опыту, ИТ-аудитором можно стать и без образования в сфере ИТ, но с инвестированием времени и сил в получение сертификации и в самообразование. Важно понять, готовы ли вы строить карьеру в области ИТ-аудита и какие задачи планируете выполнять.

О мотивации

Моя мотивация сложилась по принципу «мотивация от», поскольку в компании возникла острая необходимость в ИТ-аудиторе. Несколько лет назад я занимала позицию руководителя СВА в одном из крупных банков в Центральной Азии. Отдельной штатной единицы внутреннего ИТ-аудитора в данном банке предусмотрено не было, и ИТ-аудит выполнялся внешними силами. В режиме постоянного ограничения бюджета проверялись только самые значимые зоны, при этом обходили стороной многие другие, которые, на мой взгляд, также несли существенные риски для компании.

В рамках операционных аудитов я старалась покрывать зоны по общим ИТ-контролям, включая контроли SOX (применительно к Закону Сарбейнза – Оксли), включала в программы аудита проверку на риски информационной безопасности, исходя из полученных знаний при подготовке и сдаче экзаменов CIA (часть 3). Естественно, это не покрывало все существенные риски и потенциальные угрозы.

Тогда я стала задумываться над привлечением штатного ИТ-аудитора. Но из-за ограничения бюджета по найму персонала этим планам не удалось осуществиться. Поэтому я решила заняться ИТ-аудитом самостоятельно.

Я начала готовиться к получению сертификации CISA, изучать профильную литературу, инвестируя время и деньги. И после нескольких месяцев изучения материалов решила рискнуть и согласовала с комитетом по аудиту проведение нескольких небольших внеплановых ИТ-аудитов, которые были успешно проведены.

В получении базовых знаний в области ИТ-аудита мне помогли следующие основные стандарты (прим.: англ. – Framework):

  1. ISO, стандарты 27001 и 27002 (прим.: Международные стандарты по информационной безопасности)

  2. COBIT 2019 (ранее известный как COBIT 5, представляет собой методологию управления информационными технологиями, которая состоит из пакета международных и национальных стандартов и руководств в области управления ИТ, аудита ИТ-безопасности, основанных на анализе и гармонизации существующих стандартов и ведущих практик в области управления ИТ)

  3. стандарты NIST (специальная публикация 800-53)

  4. лучшие практики в информационной безопасности (Amazon Web Solutions Cloud Adoption Framework, Azure Information Protection и других).

ИТ-аудит может быть разным

Можно выделить несколько уровней ИТ-аудиторов:

  • ИТ-аудитор с сильными техническими навыками. Отмечу, что без фундаментального ИТ-образования и практики браться за сугубо технические аудиты будет сложно и не совсем профессионально.

  • ИТ-аудитор, работающий с определенным направлением: например, проверка соблюдения стандартов PCIDSS. Данный аудитор должен иметь соответствующий сертификат (для этого необходимо пройти курсы в США в PCI SSC и сдать экзамены) и достаточно хорошие технические навыки.

  • ИТ-аудитор с теоретическими техническими знаниями и высокой осведомленностью в информационной безопасности и основных ИТ-контролях.

В своей практике я соединяла аудит процессов с ИТ-аудитом, что дало возможность изучать новые риски и получать опыт в ИТ-аудите без широкой ИТ-программы, с которой я на тот момент не справилась бы.

С чего начать ИТ-аудит?

Начать лучше с теории, или методологической части. Важно оценить, какие политики и процессы в области ИТ и ИБ должны быть выстроены в компании. Также необходимо понимать структуру компании, знать и интересоваться присущими отрасли рисками и владеть информацией о верхнеуровневой ИТ-инфраструктуре.

Начинать нужно всегда с верхнего по иерархии и идти вниз: например, рассмотреть политику информационной безопасности, далее – процедуры и имеющиеся контроли. Или же определить «вшитые» в различные политики и процедуры контроли и далее сделать анализ отклонений, учитывая лучшие практики и отраслевые стандарты. Важно не уйти в детали, а быть четко нацеленным на закрытие существующих и потенциальных рисков. Будет уместным и упражнение по обновлению журнала рисков, если таковым в компании не занимались или же занимались очень формально.

На данном этапе важно уметь коммуницировать с людьми, использовать любую имеющуюся информацию и пытаться применить теорию на практике.

И снова про контроли

После того как процесс управления рисками и основные бизнес-процессы рассмотрены, рекомендуется приступить к следующему шагу и начать пересматривать контроли уже более детально. Многие компании владеют или имеют что-то похожее на цикл по основным ИТ-контролям – ITGC (IT general controls). Данный цикл должен покрывать основные направления контролей, такие как разделение полномочий, требования к разработке, к предоставлению доступов и т.д.

В построении контролей также помогут указанные ранее основные стандарты, но есть нюанс. Если вы просто попытаетесь переписать контроли с известных стандартов, не понимая бизнес-процесса и необходимости, то контроли получатся слишком академическими/ теоретическими и, скорее всего, неэффективными по дизайну.

Поэтому необходимо изучить теорию и верхнеуровневые правила, политики и процедуры в компании, а также взять за основу лучшие практики и пойти «в поля», где вы можете провести исследование бизнес-процессов, проводя интервью и опрашивая владельцев контролей.

Без технических знаний не обойтись

Во время интервьюирования вы поймете, что без базовых технических знаний вам будет сложно. Поэтому рекомендую начать изучать, как устроена сеть, топологию сети, роутеры и машрутизаторы, серверную инфраструктуру, какая защита необходима для сети с точки зрения логических контролей.

Немаловажным будет получение знаний о базах данных, их защите, создании резервных копий (бэк-копировании), аутентификации ролей и обязанностей, чтении логов и проч. Стоит изучить актуальные технологии, например, облачные технологии и соответствующие контроли.

В целом информации по ИТ и ИБ сейчас очень много, в ней можно потеряться, поэтому важно держать структуру аудита в голове и следовать ей, опираясь на нужды организации и практическое применение.

Как и любая другая деятельность, ИТ-аудит требует постоянного мониторинга и обновления своих знаний. Подобные упражнения — это непрерывный процесс, так как технологии постоянно меняются, риски изменяются и видоизменяются.

С какого аудита начать?

Начинающему ИТ-аудитору я рекомендую начать с целевых аудитов, то есть оценки какого-то конкретного процесса, например, физической безопасности серверных помещений. Из своей практики могу выделить следующие направления, охват которых полезен для компании и с которыми сможет справиться специалист с небольшим опытом или без него:

  • аудит общей ИТ-инфраструктуры

  • аудит инфраструктуры бизнес-приложений и сервисов

  • аудит операционной инфраструктуры

  • аудит базы данных

  • индивидуальные аудиты приложений и систем

  • аудит процесса разработки

  • аудит внесения изменений

  • аудит создания резервных копий.

Исходя из уровня своей подготовки и моей команды я начала со следующих аудитов:

  1. аудит доступов и разделения полномочий в основной бухгалтерской системе,

  2. физическая безопасность ИТ-активов и помещений,

  3. аудит отдела разработок.

Отмечу сложности, с которыми я и моя команда сталкивались во время проведения аудитов:

  • недоверие из-за отсутствия ИТ-образования,

  • отказ во взаимодействии или слабое взаимодействие во время проведения аудитов,

  • сомнение в выявленных наблюдениях и постоянная перепроверка фактов со стороны аудируемых,

  • отсутствие культуры оценки и понимания ИТ-рисков руководством компании,

  • сложности понимания ИТ-инфраструктуры и отсутствие глубоких технических знаний.

В итоге команда все равно сумела показать результат и выпустила отчеты с выявлением достаточно существенных рисков в области ИТ и ИБ, которые были приняты комитетом по аудиту с пониманием и одобрением. Впоследствии мне удалось провести более десяти профильных ИТ-аудитов с выявлением существенных рисков, которые были также оценены внешним аудитором как значительные риски.

Документирование и автоматизация процессов ИТ-аудита

Необходимо уделить внимание наличию задокументированных базовых, но крайне важных элементов контроля. Таковыми являются должностные инструкции, положение об ИТ-аудите, рабочие бумаги, программы, рабочие и вспомогательные инструкции и др. Подобного рода документы должны обновляться на периодической основе и/или по мере необходимости.

Такую базу документов, если она отсутствует, не получится внедрить за один день, поэтому рекомендую иметь дорожную карту или стратегию по похожим проектам.

Не менее важно заручиться поддержкой руководства в части выделения бюджета на обучение и что самое важное – инвестиций в программное обеспечение. Для того чтобы качественно проводить аудит и выявлять все больше рисков, необходимо задуматься о покупке соответствующих программ. Их на рынке очень много, важно понимать ваши потребности, потребности компании, ее размер и вид деятельности.

Из своей практики могу сказать, что на первоначальном этапе проводить аудиты без соответствующего ПО возможно, но затем отсутствие такового может оказать существенное влияние на эффективность процесса проведения аудита.

В качестве резюме

1. Поймите свою мотивацию в становлении в ИТ-аудите.

2. Начните изучать информацию с верхнего и базового уровня.

3. Применяйте лучшие практики.

4. Будьте готовы к тому, что поначалу Вас не будут воспринимать всерьез.

5. Инвестируйте время и деньги в обучение и сертификацию.

6. Начинайте с самых простых аудитов.

7. Заручитесь поддержкой руководства.

8. Анализируйте опыт внешних аудиторов.

9. Фокусируйтесь на самых значительных рисках для отрасли/ компании.

Содержание статьи отражает субъективное мнение и личный опыт автора. Не все читатели могут быть согласны с точкой зрения автора, изложенной в публикации.

Комментарии закрыты