I introduksjonskurset til IT-revisjon har vi forsøkt å gi deltakerne innsikt i hvordan man kan gå frem ved gjennomføring av et internrevisjonsoppdrag.
Som et eksempel har vi gått gjennom Cybersecurity, som er et tema som er relevant for alle virksomheter, uavhengig av bransje og størrelse.
For å scope prosjektet riktig er det viktig å identifisere hvilke risikoer som kan være spesifikke for virksomheten, og å vurdere hvilke rammeverk eller standarder revisjonen skal ta utgangspunkt i. I kurset går vi gjennom de guidelines som er utarbeidet av IIA i GTAGen «Assessing Cybersecurity risk». Temaene som gjennomgås i denne GTAGen samsvarer i stor grad med elementene man gjenfinner i NSMs grunnprinsipper for IKT-sikkerhet, NIST-rammeverket og ISO 27001.
Vi gikk gjennom de 6 hovedtemaene fra «Assessing Cybersecurity Risk», som er som følger:
- Cybersecurity Governance
- Informasjonsverdier
- Sikkerhetsinnstillinger
- Tilgangsstyring
- Respons og omstilling
- Kontinuerlig overvåkning
For hvert av de 6 temaene diskuterte vi utvalgte underpunkter, hvilke erfaringer vi har gjort i forskjellige revisjoner og hvordan internrevisjonen kan bidra med verdi under hvert område. I tillegg til gjennomgang av prosesser og dokumentasjon knyttet til cybersecurity viste vi til at det også er viktig å understøtte revisjonen med test av de implementerte sikkerhetstiltakene og sikkerhetstesting. Eksempler på sikkerhetstester kan være inntrengingstester, sårbarhetsvurderinger eller nettfiskeøvelser.
Læringsmålene for gjennomgangen var å gi deltakerne kjennskap til hvordan man kan tilnærme seg revisjon av cybersecurity, få bedre risikoforståelse for virksomheten og hvilke rammeverk man kan ta utgangspunkt i gjennomføring av revisjonen.