Iga ettevõtte seisab üks hetk silmitsi vajadusega läbida IT audit. Olgu see eesmärgiga suurendada ettevõtte usaldust, vastata kliendi ootustele või hoopis mõne reguleeriva osapoole nagu näiteks riik nõue.

Siinkohal üritan avada selle müstilise laeka kaane ja vaatame mis tegelikult on IT audit. Milliseid auditeid tehakse, kelle jaoks ja millised need välja näevad.

Aga alustame algusest, mis see IT audit siis üldse on?

IT audit

IT audit on protsess mis defineerib vastavuse millegi suhtes ajas. Ehk kas sel hetkel kui teostati auditit vastas ettevõtte mingitele nõuetele mille vastu teda auditeeriti? Ettevõtte IT audit on süsteemne hindamisprotsess ettevõtte IT-süsteemide, kordade ja protsesside tõhususe ja vastavuses määramiseks reeglina standardi vastu.

Kusjuures IT audit ei pea olema terve ettevõtte suhtes teostatud. Tihti soovitakse auditeerida vaid ühte ettevõtte äriprotsessi või ühte esindust.

Auditi protsess näeb välja võrdlemisi sarnane kõigi teiste audititega kus ainus suurem erinevus on tehnilise komponent. Olenevalt mis standardi vastu auditeeritakse ja kes auditeerib võib infosüsteemides tuhnimist olla päris palju. Siiski koosneb IT audit tavapärastest komponentidest:

1. Skoobi defineerimine
   Konsultatiivne osa kus arutatakse läbi mis on auditi eesmärk, mida täpsemalt auditeeritakse ja kuidas audit läbi viiakse.

2. Dokumentatsiooniga tutvumine
   Audiitor tutvub ettevõtte dokumentatsiooniga nagu näiteks infoturbepoliitika, töökorraldus reeglid jmt. Samuti näiteks värbamisprotsessiga ja ligipääsude andmise juhendiga.

3. Kohapealne audit
   Audiitor tuleb kohapeale ja tutvub ettevõttega, selle ruumidega kus dokumenteeritud protsesse läbi viiakse ja teostab intervjuud, vaatlused ja tõendite kogumise. Eesmärgiks on audiitoril kinnitada kas töid teostatakse nii nagu on dokumenteeritud.

4. Auditi leidude analüüs
   Audiitor teostab veel ühe tüki tööd paberil kus analüüsib leide ja paneb kirja mis on mitte vastavused või osalised vastavused. Kirjutab need lahti ja esitab tõendid.

5. Leidude esitlemine - auditi raport
   Audiitor istub koos kliendiga maha ja esitab oma töö tulemi milleks on auditi raport. Leiud arutatakse kliendiga läbi ja klient asub planeerima rakenduskava puuduste kõrvaldamiseks.

Peamine mida meeles pidada on, et audit on vastavuse kontroll mingile standardile. Audiitor alustab alati eeldusest, et ettevõte vastab nõuetele ja seda tulebki kontrollima. Juhul kui leiab mittevastavuse siis selle paneb kirja. Kuna auditid on ka ajaliselt piiratud ja kõike ei saa alati auditeerida siis pannakse põhiline tähelepanu kõige olulisematele protsessidele. Siin on oluline roll kliendi sisendil. Küll aga lõpliku otsuse kuhu vaadata ja mida kontrollida teeb audiitor.

Auditi tüübid

IT valdkonnas on palju erinevaid auditeid kui peamised millega Eestis kokku puutume on juhtimistasandi auditid ja vastavusauditid nagu näiteks ISO/IEC 27001, E-ITS ja vahest ka NIST SP 800-53. Seetõttu jätan ka praegusest auditist välja IT spetsiifilised auditi tüübid millest saab lähemalt lugeda juba mõnes muus postituses. Aga puhtalt huvi äratamiseks panen kirja paar peamist IT spetsiifilist auditi tüüpi:

• Tehniline turbeaudit

• Infosüsteemi audit

• Infotöötlusaudit

• Vastavusaudit <- Sellest räägime siin artiklis

• Arendusaudit

Vastavusauditite hulgas on peamiselt neli erinevat auditi tüüpi:

1. Siseaudit
   Siskontrolli protsess mida viivad läbi tihti ettevõtte enda töötajad. Eesmärk on teha esimene kontroll vastavuse osas ja leida võimalused protsesse parendada.

2. Eelaudit
   Eelaudit või siis ettevalmistav audit mis teostatakse kolmanda osapoole poolt. Eelauditi eesmärk on hinnata valmisolekut põhiauditi jaoks ja tagada läbisaamine niipalju kui võimalik.

3. Põhiaudit või Sertifitseerimisaudit
   Põhiaudit on peamine audit mida kardetakse ja oodatakse. Kui auditi läbimisel on oodata ka sertifikaati siis seda nimetataksegi sertifitseerimisauditiks.

4. Järelaudit
   Peale põhiauditit on jääb vajadus kontrollida kas ettevõte on rakendanud parandusmeetmeid ja kas muutuvas keskkonnas on ettevõtte endiselt vastavuses nõuetega. Selle jaoks teostatakse järelauditit.

Miks auditeerida?

Auditeerimine on tihti üllatus mis tuleb vajadusest vastata nõuetele. Selle vajaduse dikteerib näiteks klient või riik. Aga peale otsese vajaduse on ka muid põhjuseid miks tellida IT audit.

Üldine ettevõtte valmisolek riskide realiseerumisel
IT audit aitab anda ettevõtte juhile pildi ette mis on ettevõtte tegelik valmisolek intsidentidele reageerimiseks. Ehk kui suur on risk ettevõtte IT-le. Kui sinu ettevõte toetub oluliselt IT lahendustele (e-pood, e-mail, veebileht, veebikoosolekud vmt.) siis just audit annab pildi ette kui valmis on ettevõte nende probleemidega tegelema.

Arendusplaani prioriteetide seadmine
Olen näinud oma jagu IT arendusplaane mille eelarved on kordades suuremad kui kogu ettevõtte käive. Et mitte raha tuulde visata on vaja aru saada mis on kõige suuremat kasu toovad tegevused. Võttes ettevõttes kasutusele standardi nagu E-ITS või ISO 27001 annab võimaluse just auditi käigus leida nimekirja tegevusi ja nende kõrvale prioriteedi. Jah, kõik on olulised parandused aga mõned on olulisemad ja mõnega kannatab oodata ja on ka selliseid tegevusi mille puhul võib riski akspeteerida.

Kontroll oma ettevõtte infoturbe arengu osas
Vahest võib olla pealtnäha kõik hästi ja paberil toimibki. Aga ega ükski standard ole loodud standardi loomise rõõmu jaoks. Peamine eesmärk on ikka ettevõtteid kes antud standardi kasutusele võtab aidata edasi mingis valdkonnas. Nii on ka infoturbes. Kui rakendatud meetmeid ei aita meid päriselus sest viimane on lahku läinud paberil olevast siis ei ole sellest meetmest kasu. Just audit aitab leida neid probleeme kus vaev ja raha on läinud valesse kohta.

Kuidas ettevalmistada auditiks?

Selleks, et audit läheks võimalikult sujuvalt on hea mõte teha kiire sisemine kontroll. Kas ettevõttes infoturbe eest vastutavad isikud on kursis standardiga? Kas pealtnäha on kõik dokumentatsioon olemas? Kas töötajad on kursis selle dokumentatsiooniga (nagu infoturbe poliitika ja töökorralduse reeglid)?

Lisaks tasub valida enda majas auditis osalev isik. Tihti nimetatakse teda auditi giidiks kelle roll on aidata audiitorit või auditi meeskonda läbi teie ettevõtte eripärade. Kui soovitakse kellegagi intervjuud siis giid aitab selle korraldaa. Kui soovitakse näha füüsilist asukohta siis giid muretseb ligipääsu.
Lisaks on giidi roll olla auditi kliendi poolseks tunnistajaks. Tema eesmärk on kinnitada, et auditi tegevused mis on kirja pandud ka toimusid, süsteeme vaadeldi, intervjuusi peeti ja leiud tõesti olid olemas ja nende tõendusmaterjal pärines kliendi enda keskkonnast.

Kuidas valida audiitor?

Kuigi enamus auditeid võib läbi viia pea ükskõik kes tasub siiski natukene taustatööd teha. IT auditite puhul tasuks uurida kas audiitoril on IT taust. Jah tihti väidetakse, et see ei ole oluline aga mina näiteks ei tahaks sööma minna restorani kus juhataja ei ole läbinud toiduhügieeni koolitust.

Lisaks on oluline aru saada mis on standardi enda nõuded. Näiteks ISO 27001 sertifitseerimisauditi puhul oodatakse seda teostama ISO 27001 Lead Auditor sertifikaadiga isikut. E-ITS puhul sobib peale selle ka CISA (Certified Information Systems Auditor) sertifikaat. Siseauditite puhul aga on vaja lihtsalt veenduda audiitori pädevuses - kuidas seda teha on igaühe enda otsus.

Peale IT tausta ja seritfikaatide tasub kontrollida kas audiitor on varem auditeid teinud. Jah, natuke naljakas eks ta ole aga ikka aeg-ajalt kohtab head odavat pakkumist mille taga on kellegi katse esimene audit teostada. Esimese auditi tegemine ei tohiks ikkagi olla juhtaudiitori rollis vaid vaatleja või eksperdina juhtaudiitori kõrval.

Neid kõiki kontrollprotsesse saab teha nii enne audiitoriga kohtudes kui ka esimesel konsultatsioonil kus on võimalus näost-näkku suhelda ja uurida kuidas audiitor antud auditit ette kujutab. Milline näeb välja esijalgne auditi plaan, kes osalevad, kaua kestab jmt. Iga pädev audiitor oskab nende vastustega lagedale tulla kohapeal. Mõni vastus võib olenevalt kliendist olla keeruline vastata ent päris vastust võlgu ei jääda.

Aga mis see päris esimene samm peaks siis olema kui on soov ükspäev jõuda mingi standardi vastavuseni? Mina arvan, et see peaks olema siseaudiitori leidmine. Kasvõi kolmas osapool mõnest ettevõttest kes tuleb kohale näiteks 4 tundi nädalas ja nõustab, kontrollib, näitab ja koolitab. Alles siis hakkab tekkima suur pilt kus ollakse ja mida täpselt vaja edasi teha.