Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

08.11.2017. Киберармия КНДР насчитывает 6 тыс. хакеров

 >>


02.08.2017. В России хотят создать национальный фильтр интернета

К 2020 году в России появится Национальная система фильтрации интернет-трафика (НаСФИТ) >>



Архив: 2013 2014 2015 2016 2017.
В начало библиотеки

IT-аудитор в компании: важная необходимость или непозволительная роскошь?

Роль информационных технологий (IT) в бизнесе стремительно растет: они позволяют осуществлять текущее руководство различными сферами деятельности — планированием ресурсов, организацией снабжения и сбыта, взаимодействием с клиентами, регулированием потребительского спроса и т. д. Применение передовых технологий способствует совершенствованию корпоративного управления. В результате повышаются требования к IT-обеспечению любой компании, соответственно растет и стоимость хороших специалистов.

За что платим?

Сокращение штата сотрудников или закупка сложного дорогостоящего ПО вовсе не гарантирует решения проблем в управлении бизнесом. Компаниям приходится нести большие затраты на обеспечение IT-отдела профессионалами, способными эти затраты оправдать. Поскольку IT-персонал не приносит прибыли, а «всего лишь» обеспечивает нормальную и бесперебойную работу организации, рано или поздно у руководства возникают вопросы: оправданы ли затраты на IT? Оптимальна ли работа IT -департамента?

Для ответа на эти вопросы необходима системная и профессиональная проверка IT -инфраструктуры. Таким образом, возникает необходимость в IT -аудите — без него не обойтись при реструктуризации или при слиянии нескольких компаний, когда необходимо объединить разные IT-структуры.

Кому платим?

Перед руководителем встает другой вопрос: есть ли необходимость в собственном специалисте по IT-аудиту или лучше прибегнуть к услугам независимых консультантов из аудиторских компаний?

Даже если компания предпочтет пользоваться услугами внешних консультантов, наличие собственного специалиста крайне важно. Внутренний IT-аудитор может подготовить необходимые документы и информацию для приглашенных консультантов, позволяя сократить срок внешнего аудита, а соответственно и затраты.

Важно оценить экономическую эффективность создания внутренней службы аудита, которая призвана стать дополнительным источником информации для руководителя, принимающего решения. IT-аудит позволяет определить наличие и состояние необходимых для выполнения бизнес-задач ресурсов: это не только информация, но и аппаратно-программные средства для ее обработки и хранения. Получив отчет об IT-ресурсах, можно разработать выводы и рекомендации по модификациям программно-аппаратных средств или реинжинирингу бизнес-процессов.

Что оцениваем?

В первую очередь собирается информация о системах обработки информации, которая классифицируется следующим образом:

  • технические средства;
  • программное обеспечение;
  • системные интерфейсы (внешние и внутренние связи);
  • исходные данные и обработанная информация;
  • персонал поддержки и эксплуатации;
  • назначение систем (например, осуществляемые процессы);
  • критичность систем и данных (важность систем для организации);
  • чувствительность систем и данных.

В процессе аудита также определяется эффективность контроля IT -процессов, т. е. степень достижимости требуемых показателей благодаря установленным мерам и процедурам контроля. Затем аудитор производит анализ рисков в тех областях, где выявлена недостаточность мер контроля, и выдает рекомендации по принятию определенных действий, направленных на снижение рисков.

Стандарты в области IT -аудита

Проводить IT-аудит без системного подхода и определенных знаний невозможно. Найти на рынке готового специалиста крайне сложно, поэтому возникает необходимость в подготовке нужных кадров самостоятельно. Для решения подобной задачи была создана Ассоциация аудита и контроля информационных систем (Information System Audit and Control Association). ISACA — мировой лидер в области разработки стандартов по управлению и IT-аудиту. Ассоциация присваивает квалификацию аудитора информационных систем (Certified Information System Auditor, CISA).

Программа CISA направлена на сертификацию аудиторов информационных систем. В задачу аудитора входит проверка соответствия политик безопасности компании требованиям законодательства, стандартам в области управления IT и назначенным бизнес-целям компании.

Для получения сертификата CISA необходимо успешно пройти тестирование, в ходе которого проверяется наличие у кандидата необходимых аудитору знаний:

  • методов аудита информационной системы предприятия;
  • требований, на соответствие которым производится проверка;
  • документов, разрабатываемых на основе результатов аудита.

Кроме того, кандидат должен иметь опыт работы в области аудита не менее 5 лет. После получения сертификата CISA его необходимо поддерживать в актуальном состоянии. Для этого следует соблюдать профессиональную этику, придерживаться стандартов при проведении аудита и постоянно обновлять свои профессиональные знания. Сертифицированный специалист является в некотором роде членом «виртуального клуба» профессионалов, из которого его могут исключить при несоблюдении правил поведения или если он выполняет свою работу некачественно.

Также ISACA присваивает квалификацию CISM (Certified Information Security Manager). Сертификации CISA и CISM ориентированы на внутренних IT-аудиторов и опытных управленцев системами информационной безопасности. Можно сказать, что CISA/CISM является менеджмент-сертификацией в определенной предметной области и сфокусирована на управлении рисками информационных систем.

Резюме

IT -аудит — важная часть аудита всей деятельности компании, и его следует доверить профессионалам. Привлекать консультантов со стороны или выращивать их внутри компании — решать руководителю. Главное, чтобы выбранный специалист обладал нужными знаниями и квалификацией, в идеале подтвержденными соответствующими сертификатами, — только в этом случае затраты на IT-аудит себя оправдают. Качественный аудит помогает вовремя получить необходимую информацию о рисках, связанных с проблемами в работе IT -ресурсов компании, и принять меры по их устранению, а значит поддержать бизнес в стабильном состоянии и обеспечить его развитие.

Марьяна Даниленко, HR-консультант ITJobs Ltd.

30.01.2008

www.softobserver.com.ua



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v