SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Transkript

1

2 SKUPINA 6 Lektor: Jitka KAZIMÍROVÁ Allianz pojišťovna Téma: Zkušenosti s outsourcingem IT auditu

3 Předběžný časový rozvrh pracovních skupin 13 14:30 h 1. blok: představení tématu a diskuze Představení vedoucího pracovní skupiny, časového harmonogramu a způsobu organizace skupiny (rozdělení do menších skupin) (5 min) Vysvětlení metody GROW pro práci skupiny a prezentaci výstupů (5 min) Úvodní prezentace vedoucího pracovní skupiny (30 min) Představení diskuzních témat, odsouhlasení cíle pracovní skupiny (5 min) Vlastní diskuze, výměna zkušeností, studium doplňkových materiálů (45 min) 14:30 15 h přestávka h 2. blok: výstupy Diskuze nad výsledkem pracovní skupiny, představení závěrů v rámci skupiny (30 min) Příprava 5 10 min prezentace v rámci metody GROW (max. 5 slidů) (30 min)

4 Metoda GROW 1. G Goal setting stanovení cíle pracovní skupiny, potvrzení tohoto cíle s účastníky 2. R Reality prověření reality, skutečného stavu věcí současná situace v českých společnostech / veřejném sektoru daná zkušenostmi a obecným povědomím jednotlivých účastníků, dostupné nástroje, překážky, rozdíl mezi cílem a realitou 3. O Options všechny možnosti, alternativní strategie nebo postup činností k dosažení cíle, možné způsoby, jak vyřešit překážky, které na cestě k tomuto cíli stojí 4. W What Will You Do definice toho, co budeme dělat, co jsme schopni změnit, plán konkrétních kroků

5 Struktura úvodní části 1. Proč IT audit 2. Analýza IT dovedností interních auditorů 3. Co-sourcing nebo outsourcing 4. Veřejné zakázky / výběrové řízení na outsourcing IT auditu 5. Zkušenosti z Allianz

6 1. Proč IT audit? A. Kybernetická rizika/důležitost IT systémů Kybernetická rizika jsou součástí našeho života ve světě informací a informačních technologií. Jakákoliv organizace, která přichází do styku s elektronickými daty, ať již v mobilních zařízeních, počítačích, serverech nebo online je vystavena takovým rizikům. Rizika při případném úniku, ztrátě či odcizení dat a informací: ztráta zisku, pokuty ÚOOÚ, regulátora ztráta důvěry poškození dobrého jména ztráta dat

7 1. Proč IT audit? B. Požadavky regulátora na funkčnost a bezpečnost informačních systémů Zákony Vyhlášky Úřední sdělení Soulad s kybernetickým zákonem Zákon č. 181/2014 Sb., o kybernetické bezpečnosti C. Výsledek rizikové analýzy Nástroj, pomocí kterého je identifikován požadavek na IT audit. Výstup pravidelné plánovací činnosti interního auditu.

8 2. Analýza IT dovedností auditorů Má Interní audit požadované znalosti a disponuje dostatečnou kapacitou pro provedení IT auditu? Jaké jsou hlavní požadavky na znalosti auditorů pro provedení tohoto auditu? Byl již IT audit v minulosti proveden některým z členů auditního týmu? Pokud ano, jaké má auditní tým z takového auditu poznatky/zkušenosti? Jaká byla zpětná vazba od auditovaných? Jsou členové interního auditu specializováni v jednotlivých oblastech? Mají např. CISA certifikaci nebo vzdělání v IT?

9 3. Co-sourcing nebo outsourcing? Pro a proti čistého outsourcingu - diskuse Volba rozhoduje také o formě: Jednorázová zakázka / smlouva Rámcová smlouva k dlouhodobé spolupráci

10 4. Veřejné zakázky v souvislosti s IT auditem Hlavní rizika z pohledu interního auditu jako zadavatele: Délka celého procesu budu mít IT oblast auditu pokrytou včas? Předmět plnění dostanu, co skutečně potřebuji? Technické a kvalifikační předpoklady stanovím nediskriminačně a zároveň dostatečně? Mám kvalifikaci na převzetí výstupů poskytovatele? Dostanu opravdu to co si kupuji, kdo reálně provede audit? Dostanu výstup dostatečný k pozdějšímu sledování nápravných opatření?

11 5. Zkušenosti s outsourcingem z Allianz Cílem IT auditu bezpečnosti bylo především ověřit zda požadavky, které jsou uvedeny v bezpečnostní politice organizace a standardech, jsou v praxi dodržovány. I. Auditní program Základem pro auditní program byl GISF (Group Information Security Framework), který je založen na požadavcích ISO Audit může být např. zaměřen na: ověření jednak souladu interních IT směrnic s bezpečnostními požadavky GISF a dodržování těchto bezpečnostních požadavků v praxi, a dále konkrétní nastavení bezpečnostních parametrů na vzorku vybraných informačních systémů

12 SCOPING ROZSAH AUDITU II. Výběr aplikací / systémy do rozsahu auditu Jaké aplikace zahrnout? Na základě jakých ukazatelů rozhodnout? Je nutné je definovat ideálně již ve fázi výběrového řízení. III. Definice rozsahu auditu Může být dán oblastmi informační bezpečnosti definovanými v GISF: Role a odpovědnosti Klasifikace informací Bezpečnost komunikace Šifrování Řízení bezpečnostních incidentů Bezpečnost IT provozu

13 SCOPING ROZSAH AUDITU (pokračování) Síťová bezpečnost Personální bezpečnost Fyzická bezpečnost Řízení uživatelských přístupů Vývoj a údržba software Outsourcing Bezpečnost mobilních zařízení a UYOD / BYOD tzn. využití vlastních zařízení ve firmě (smartphony, laptopy, USB disky)

14 SCOPING ROZSAH AUDITU (pokračování) Plus: posouzení procesu Business Continuity Managementu a havarijního plánování, posouzení používaných bezpečnostních nástrojů v rámci IT bezpečnosti a provozu a stanovení doporučení na zlepšení provedení skenování zranitelností (cílem skenování zranitelností je nalezení známých zranitelností v systému, databázi, aplikaci nebo síťovém prvku vybrané části infrastruktury) pomocí nástroje např. Nessus, Nexpose, Qualys Guard )* Přístup do systému zpravidla není nutný.

15 VÝBĚROVÉ ŘÍZENÍ Výběrové řízení spolupráce s oddělením nákupu v AZP RFP, NDA, postup dle vnitřních pravidel organizace Stanovení správného složení hodnotící komise Výběr dodavatelů k oslovení Stanovení rozsahu zakázky Výběr dodavatele, dvoukolový postup užší výběr formou prezentace dodavatelů a diskuse

16 NASTAVENÍ PROJEKTU, STÍNOVÁNÍ Nastavení projektu Komunikace formou zabezpečeného e-roomu Kontaktní osoby Nastavení schůzek, detailního harmonogramu projektu Způsob komunikace, pravidelné status meetingy Stínování a vzdělávání Účast z týmů IA a IT bezpečnosti na auditních schůzkách Studium dokumentů, podkladů Konzultace s příslušnými odděleními

17 VÝSLEDKY PROJEKTU, FOLLOW-UP VII. Výsledky projektu návrh řešení, návrh nástrojů sada doporučení doporučení musí být definována tak, aby bylo možné provést následné ověření. Definováno zodpovědné oddělení, termín splnění prioritizace a nastavení harmonogramu plnění schválení představenstvem VIII. Follow-up zjištění dle typu nálezů definovat, jestli bude follow-up proveden interně auditním týmem pokud mají jeho členové dostatečné znalosti/schopnosti pro posouzení řešení nálezů pokud tyto znalosti nejsou, je nutné zajistit follow-up externě tzn. další dodatečný outsourcing

18 ZÁVĚR, VYHODNOCENÍ Závěr celkové zhodnocení, přínosy, lessons learned posoudit, zda byl splněn rozsah auditu byl audit proveden profesionálně s využitím auditních nástrojů, technik dohodnutých na začátku auditu/ve smlouvě a zda Identifikované nálezy jsou takového charakteru, že zavedení nápravných opatření pomůže při: snížení rizika úniku citlivých informací či osobních údajů a omezení zneužití či manipulace s nimi předcházení finančním ztrátám nebo výpadkům systémů zamezením nebo včasným zachycením a vyhodnocením neautorizované činnost uživatelů nebo externích hackerů, atd

19 ZPĚTNÁ VAZBA MANAGEMENTU k IT AUDITU v Allianz 1. Měl pro vás outsourcovaný audit bezpečnosti přínos? V čem? Bezpečnostní audit široce zhodnotil jednotlivé oblasti bezpečnosti a pomohl klasifikovat jednotlivá rizika. Díky tomu bylo možné se efektivně bez dalšího velkého zkoumání zaměřit na nejzávažnější nedostatky. Zjištění, která jsou potvrzena externím subjektem i interními specialisty zvyšuje důvěryhodnost identifikovaného rizika a snáze se prosazují návrhy na nápravná opatření. Ano měl, protože se podíval na problém jako celek a navrhnul řešení. 2. Byli byste pro opakování outsourcovaného auditu IT někdy v budoucnu nebo procesní interní audit bez IT backgroundu považujete za dostatečný? Opětovné provedení odborného outsourcingového IT auditu má určitě smysl. Umožňuje přinést jiný náhled na rizika, procesy a objevit některé nedostatky, které nemusí interní odborníci ze svého úhlu pohledu vidět. Ano, protože nezávislost a odbornost má svoji přidanou hodnotu.

20 NÁVRH ZADÁNÍ WORKSHOPŮ Workshop 1: Argumenty pro obhajobu rozpočtu na IT outsourcing Workshop 2: Stanovení rozsahu auditu Workshop 3: Výběr dodavatele, řízení projektu a převzetí výstupů Metoda GROW!