Poradenství 

10 otázek a odpovědí z IT auditu Deloitte

IT auditoři z Deloitte se zapojili do výuky na Vysoké škole ekonomické v Praze a studentům navazujícího magisterského studia informačního managementu představili praktické aspekty svého oboru. Co všechno se studenti dozvěděli? Pojďme si dát společně s nimi malé „opáčko“, jedničku si zaslouží každý, kdo dokáže správně odpovědět minimálně na 8 otázek. Jdeme na to.

1. Kdo je vlastně IT auditor?

IT auditor je IT specialista, databázový administrátor, počítačový expert, specialista na posuzování rizik, poradce v oblasti compliance, projektový manažer, detektiv, „detektor lži“, řečník, vyjednavač a konzultant v jedné osobě.

2. Co musí mít a umět každý správný IT auditor?

Nejdůležitější je nezávislost a objektivita. Firmy si IT auditory najímají právě proto, aby získaly nezávislý názor. Na začátku každé auditní sezony tak každý člen týmu prochází jakýmsi testem, v němž musí odpovědět na otázky, které jeho nezávislost prověří. Další důležité „skills“: rozumět IT terminologii, vyznat se v IT a technologických trendech, asertivita, skeptický přístup, kritické myšlení, zvídavost, orientace na tým, etický přístup a objektivita.

3. Co dělá tým IT auditorů v Deloitte?

Deloitte poskytuje služby IT auditu klientům jako součást finančního auditu. IT auditoři prověřují a posuzují, zda je IT prostředí u klienta dostatečně zabezpečené, zda jsou data spolehlivá a chráněná a zda na ně může finanční auditor při statutárním auditu účetní závěrky bez zásadního rizika v rámci auditních procedur spoléhat a vyjadřovat se k nim. Asi z 20 % se IT audit v Deloitte věnuje také interním auditům, které si u nich firmy objednávají.

Jak pracují IT auditoři v Deloitte? S jakými bezpečnostními riziky se nejčastěji u svých klientů setkávají? A proč je skvělé rozjet kariéru právě v tomto oddělení? Nejen o tom se dočtete v dalších dílech našeho seriálu o IT auditu v Deloitte a o lidech, kteří zde pracují.

IT auditor není ajťák. Jaká je jeho role? Poznejte klíčovou profesi budoucnosti

Firmy stále nemají dostatečně zabezpečené citlivé údaje, silná hesla ani vyřešená rizika spojená s odchodem zaměstnanců

IT audit jako příležitost pro mladé vysokoškoláky bez praxe i vstupní brána do Deloitte

Ze stážisty seniorním analytikem aneb jak se kariérně roste v IT auditu v Deloitte

4. Proč je z hlediska bezpečnosti důležité aktualizovat softwary v mobilech či v noteboocích?

Software píší lidé – programátoři. Všichni děláme chyby, a tak každý SW obsahuje nějakou chybu. Hackeři nacházejí stále nové a nové cesty, jak tyto chyby zneužít a dostat se do systémů, a proto je nutné SW pravidelně aktualizovat.

5. Servery a databáze jsou pro firmu to nejcennější. Jak je co nejlépe ochránit?

Vedle primárního serveru je důležité mít také server sekundární, v němž jsou zálohována veškerá data. Ovšem pozor – je nezbytné umístit jej do jiné lokality, než se nachází server primární. A to z toho důvodu, aby v případě nehody, například požáru, nedošlo ke zničení obou z nich, a tedy i všech firemních dat.

6. Dobře ochránit přístup do firemní sítě je pro firmy primárním úkolem. Ani dnes se ale nedá říct, že by si to firmy uvědomovaly. Podceňovat sílu hesel je vždy velký risk. Víte například, kolik znaků by mělo mít opravdu bezpečné heslo?

Šestnáct znaků – takové heslo je dostatečně silné, aby jej nedokázal prolomit naprogramovaný algoritmus (se současnou kapacitou výpočetní techniky). Kratší heslo pak můžeme „posílit“ použitím speciálních znaků či velkých písmen. Protože, přiznejme si, heslo o 16 znacích si většina z nás asi těžko zapamatuje.

7. Systém správy uživatelů neboli identity management je další oblastí, kterou IT auditoři prověřují. Jak zajistit, aby byly veškeré IT procesy související se systémem správy uživatelů v pořádku?

Z praxe našich IT auditorů vyplývá, že prakticky žádná firma nemá absolutně všechny procesy správně. Za situace, kdy se přijímají noví zaměstnanci nebo kdy zaměstnanci z firmy odcházejí, je to ale z hlediska bezpečnosti v IT prostředí zásadní problém. Co je pro tyto případy klíčové? Především fungující komunikace mezi HR oddělením, manažerem, který přijímá (nebo propouští) zaměstnance, a IT oddělením – to je jakýsi magický trojúhelník.

8. Jak správně postupovat při odchodu zaměstnance z firmy? Smazat jeho účet, nebo jej zablokovat?

Zablokovat, nikdy nemazat – firma musí mít vždy možnost zpětné kontroly a smazáním by přišla o jedinečný identifikátor uživatele.

9. Na co po odchodu zaměstnance nezapomenout?

Zablokovat jeho účet a změnit přístupová hesla – mohou být zneužita k podvodům stávajícími zaměstnanci a ani bývalý zaměstnanec nesmí mít přístup do informačních systémů firmy.

10. A na závěr… Jaké je zlaté pravidlo každého IT administrátora?

Nesahat na fungující systém! 🙂

IT auditoři Deloitte na akademické půdě VŠE

Naši IT auditoři se na jeden den stali vyučujícími na VŠE. Nejprve v rámci přednášky studentům informačního managementu představili IT audit a vše, čím se tento obor zabývá. A následně pro ně připravili v prostorách Deloitte cvičení, kde si mohli vyzkoušet práci na reálné (ale samozřejmě anonymizované) zakázce.

Studenti byli na cvičení rozděleni do čtyř skupin, ke každé skupině byl přidělený jeden IT auditor z Deloitte, který převzal roli auditovaného a zodpovídal studentům jejich auditorské dotazy. Každý tým měl za úkol rozebrat jiný druh rizik, která v case study našel (přístupová práva, zálohování, přenos dat), a pak svůj výstup odprezentovat.

Zpětná vazba od studentů byla velmi pozitivní. Studenti ocenili celkový koncept propojení teorie s praxí. Zvláště praktická část jim přinesla zcela nové zkušenosti s reálným světem IT auditu.

Pohledem studentky – a stážistky z Deloitte

Lenka Vojnová, stážistka v oddělení IT auditu, nastoupila do Deloitte v pátém semestru studia informačního managementu na FIS VŠE. Jak srovnává teoretické znalosti, které jí dává škola, s praxí? A co ji na tomto oboru nejvíce baví?

Lenko, do jaké míry tě dokáže škola připravit na práci IT auditora?

Bylo to právě studium, které mě inspirovalo k tomu, abych se zaměřila na oblast IT auditu. Ve škole jsem absolvovala mnoho předmětů specializujících se na analýzu informačních systémů v podnicích, ať už z pohledu projektového managementu, organizační struktury, nebo bezpečnosti. Získala jsem přehled o propojení IT a byznysu v podnicích a krátce jsem nahlédla do procesních struktur.

Co tě v praxi nejvíce překvapilo?

Nejvíc mě asi překvapilo, že všechny teoretické pojmy, které znám ze školy, se ve skutečném životě opravdu používají a aplikují. Až v práci jsem však dokázala pochopit jejich praktický rozměr a funkci IT auditora, který není ajťák v pravém slova smyslu.

Co tě na IT auditu nejvíc baví?

Tohle je zatím moje první auditní sezona. Líbí se mi, že pracujeme s rozmanitými klienty a rozebíráme, z jakých procesů se podnik skládá, to potěší snad každého analytika. Vyžaduje se od nás zhodnocení efektivity IT systémů pro chod byznysu, což s sebou nese i porozumění cílům podniku. Baví mě, jak se tu propojuje analytické myšlení s prací s lidmi.

Chcete se stát součástí týmu Deloitte? Sledujte pracovní nabídky na našich stránkách www.jsmedeloitte.cz.

Kariéra v auditu IT audit

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right