IT auditing: processo di esame e valutazione di aspetti che riguardano l’infrastruttura, le applicazioni, i dati, le policy e le operations
Sono trascorsi ormai quasi trent’anni da quando, nel 1997, il professor Clayton M. Christensen, nel suo best seller The Innovator’s Dilemma, ha introdotto il termine e il concetto di tecnologie dirompenti, riferendosi al creare prodotti e servizi in grado di cambiare in maniera significativa il nostro modo di lavorare, comunicare e vivere nella società civile. In particolare, l’effetto dirompente, secondo Christensen, consisteva nel radicale cambiamento nei confronti nel modo in cui tradizionalmente si agiva in quello specifico contesto.
Nel caso della comunicazione, i device mobile e i social network, contestualmente al crescente utilizzo del web, hanno trasformato per sempre il modo di fare business, unitamente all’emergere di nuove applicazioni tecnologiche. Secondo Deloitte, quando si tratta di prendere qualsiasi decisione in ambito enterprise, in 19 casi su 20 vengono effettuate ricerche online.
L’impatto delle tecnologie dirompenti è pertanto in grado di condizionare in maniera favorevole il successo di un business, introducendo molte nuove opportunità, ma ha al tempo stesso introdotto nuovi fattori di rischio, anche per quanto concerne il contesto IT.
La valutazione dei rischi derivanti dalla tecnologia sta incoraggiando nelle organizzazioni la diffusione di una disciplina come l’IT auditing. Vediamo di cosa si tratta, oltre a comprendere quali sono le responsabilità e le competenze richieste agli IT auditor.
Cosa significa IT auditing?
L’IT auditing rientra nel complesso di una prassi estremamente cross disciplinare. In termini generici è tuttavia possibile definire l’IT auditing come il processo di esame e valutazione di aspetti che riguardano l’infrastruttura, le applicazioni, l’utilizzo e la gestione dei dati, le policy e le operations di un’organizzazione, rispetto agli standard riconosciuti e alle politiche stabilite.
In altri termini, un IT auditing si pone quale obiettivo valutare se i controlli e le misure intraprese per proteggere le risorse informatiche siano o meno in grado di garantire l’integrità dei dati e dei sistemi stessi, oltre a risultare allineati con gli obiettivi di business dell’organizzazione.
In relazione all’ultimo punto, è opportuno sottolineare come, nel valutare come i controlli siano in grado di proteggere e garantire l’integrità dei dati in coerenza con gli obiettivi aziendali, un IT audit debba necessariamente considerare non soltanto gli aspetti puramente informatici, ma anche gli argomenti finanziari relativi all’information technology.
In un contesto come quello che stiamo vivendo, in cui le organizzazioni implementano continuamente tecnologie in grado di produrre effetti dirompenti e su larga scala, i processi aziendali stanno diventando sempre più informatizzati.
Affinché un processo di trasformazione digitale possa effettivamente generare un valore aggiunto senza rivelarsi un pericoloso boomerang per i rischi che ne derivano, un’efficiente attività di IT auditing dovrebbe porsi almeno i seguenti obiettivi:
- Valutare i processi e i sistemi utilizzati per garantire la sicurezza dei dati.
- Valutare i rischi legati agli asset dell’organizzazione, oltre ad individuare misure e procedure in grado di ridurli nel tempo e minimizzare, in qualsiasi momento, il loro possibile impatto.
- Valutare che i processi di IT management siano conformi con le normative, gli standard e i contratti a cui l’organizzazione deve necessariamente rispondere nel contesto in cui agisce.
- Individuare tutti gli aspetti non efficienti che riguardando il funzionamento e la gestione dei sistemi IT, proponendo misure e procedure per risolvere nell’immediato gli aspetti più critici e rischiosi, oltre ad introdurre una strategia basata sul miglioramento continuo.
Gli standard di riferimento per l’IT auditing
Ad oggi le due certificazioni più influenti nell’ambito dell’IT auditing sono la CISA (Certified Information System Auditor) e la CISM (Certified Information Security Manager).
La certificazione CISA è predisposta da ISACA, un’associazione statunitense, con oltre 200 chapter locali in tutto il mondo, che si occupa da oltre 50 anni di digital trust, oltre a formare professionisti in vari ambiti dell’IT. Per accedere alla certificazione CISA è necessaria una comprovata esperienza di almeno cinque anni nell’ambito dell’IT.
La certificazione CISM è pensata nello specifico per gli IS Manager e si focalizza nella progettazione, esecuzione e mantenimento dei programmi di information security. Anche la CISM richiede una serie di prerequisiti, che coincidono con cinque anni di esperienza nel campo della information security e almeno tre anni come security manager.
La figura dell’IT auditor
In coerenza con i principi fondamentali dell’IT auditing, l’IT auditor è la figura professionale che si occupa di analizzare e valutare come l’infrastruttura tecnologica di un’organizzazione sia in grado di assicurare che i processi e i sistemi IT lavorino secondo i criteri di sicurezza, efficienza e conformità stabiliti.
Nelle fasi di assessment, l’IT auditor ha il compito di rilevare i problemi che si manifestano a livello IT soprattutto per quanto concerne gli aspetti legati ai rischi relativi alla sicurezza dei sistemi e dei dati, oltre a saperli comunicare a tutti gli stakeholder, comprese le figure non tecniche. È dunque fondamentale che sappia suggerire strategie e azioni concrete, in grado di migliorare la situazione nel breve e nel medio termine, per garantire la sicurezza e la conformità dei sistemi IT.
Le responsabilità
Le principali responsabilità dell’IT auditor coincidono con lo sviluppo, l’implementazione, il test e la valutazione delle procedure di auditing, in conformità con gli standard prestabiliti per questo genere di attività in ciascuna organizzazione specifica.
A seconda delle circostanze, un processo di IT auditing può coinvolgere vari aspetti, come le reti, i server, il software applicativo, gli storage, i sistemi di comunicazione, i sistemi di sicurezza e qualsiasi servizio basato sull’infrastruttura tecnologica di un’azienda.
Per avere un quadro più dettagliato dei compiti che fanno capo all’IT auditor è utile riferirsi all’elenco delle responsabilità stabilite dal programma della certificazione CISA:
• procedure di gestione del rischio;
• gestione del portfolio e delle risorse IT;
• strategie per l’allineamento IT-business;
• strategie per la business continuity e il disaster recovery;
• definizione di policy, standard, processi e procedure IT all’interno dell’organizzazione;
• definizione e gestione del framework per i controlli legati agli aspetti IT;
• gestione e monitoraggio dell’attività svolta dal personale IT.
Le skills richieste per l’IT auditing
Le competenze richieste per chi intende specializzarsi nella professione di IT auditor presuppongono conoscenze informatiche sui sistemi e sulle tecnologie più diffuse nel contesto enterprise, oltre ad una serie di soft skills e una spiccata attitudine al problem solving. Facendo riferimento a quanto predisposto da ISACA, le skill che qualsiasi candidato IT auditor dovrebbe possedere sarebbero le seguenti:
• IT security and infrastructure
• Internal audit
• IT risk
• Data analysis
• Data analysis and visualization tools (ACL, MS Excel, SAS, Tableau)
• Security risk management
• Security testing and auditing
• Computer security
• Internal auditing standards including SOX, MAR, COSO and COBIT
• Communication skills
• Analytical and critical thinking skills
Il possesso di una certificazione come CISA, anche se non strettamente indispensabile per svolgere la professione, costituisce un plus non indifferente a livello di credibilità, soprattutto se supportato da una comprovata e pluriennale casistica nell’ambito dell’IT auditing a livello aziendale.
