Predau, scriu și practic auditul sistemelor informaționale de peste 25 de ani. Pe baza acestor experințe pot afirma fără teamă:

auditul sistemelor informaționale, așa cum este (încă) explicat în manuale (de la cele academice la CISA Review Manual) a murit.

Auditul nu mai este o fotografie din trecut a sistemului informațional al unei organizații. Sau cel puțin nu ar trebui să mai fie. Acea fotografie va rămîne o simplă evaluare a conformității….o listă de verificare

Prima schimbare fundamentală este dată de ce se auditează. A apărut AI-ul.

A doua schimbare fundamentală este dată de cum se auditează.

Aici filosofia este cu totul alta pentru că auditul nu se mai bazează (nu ar trebui să) preponderent pe eșantionare. Ceea ce citeam acum 25-30 de ani despre computer assisted audit tools (CAATS), audit continuu sau monitorizarea controalelor a devenit realitate. Astăzi, informații despre abaterile/anomaliile funcționării controalelor tehnice, se obțin în majoritatea cazurilor în timp real (PAM, MFA, backup, config, tranzacție, IOC etc).

De exemplu, dacă un utilizator neautorizat obține acces la o bază de date/aplicație, este declanșată imediat o alertă/înregistrare într-un log și nu mai este descoperit șase luni mai târziu cînd vine cineva și face revizuirea. La ce bun eșantionarea cînd acum am instrumente prin care pot verifica o întreagă populație de controale?

Colectarea probelor nu mai este în primul rînd un inventar al hîrtiilor și screen-shoot ci o analiză a ceea ce se generează prin intermediul tool-urilor din organizație. Dacă aceste instrumente nu există este altă discuție…

Apoi concentrarea se mută de la intern la extern pentru că organizațiile își externalizează continuu activități din zona operațională. Și istoria recentă ne-a arătat care este impactul atacurilor asupra marilor furnizori de servicii/MSP/MSSP.

Auditorul nu mai face verificarea controalelor ci le validează; nu mai bifează controale ci validează integritatea întregului ecosistem digital al organizației!

Acel Raport de audit, livrat o dată pe an este desuet!

Într-o exprimare mai pretențioasă, astăzi auditorul trebuie să fie agile, problem solving și să ofere recomandări pragmatice, bazate pe tehnologie. Un diagnostic corect fără tratamentul adecvat nu te face sănătos. Nici tratamentul dacă nu este urmat….