IT AUDIT Fundamentals

Transcriptie

1 5 - DA AGSE PR AK TISCHE OPLEIDING 6, 13 en 27 november & 4 en 11 december 2014 Meeting Plaza Utrecht IT AUDIT Fundamentals Zorg dat u aantoonbaar in control bent Bent u al uitgerust met de noodzakelijke kennis? Inzicht in de basisbegrippen, relevante IT control frameworks en het cruciale belang van informatiebeveiliging Onderken IT controls in uw bedrijfsprocessen Inzicht in nieuwe ontwikkelingen als Big Data en Cloud Computing De invloed van wet- en regelgeving op de controls van IT audit Reduceer het risico op het misbruik van bedrijfskritische informatie en bepaal uw ambitieniveau en differentiatie Inzichtelijke rapportages opstellen en bijhouden Binding met de praktijk als uitgangspunt inclusief boek: IT Auditing 32 PE-uren

2 5-DAAGSE PRAKTISCHE OPLEIDING 6, 13 EN 27 NOVEMBER & 4 EN 11 DECEMBER 2014 MEETING PLAZA UTRECHT Zorg dat u aantoonbaar 'in control' bent Inzicht in alle basisaspecten van IT audit! Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt uw verantwoordelijkheid, om de vertaalslag te maken van IT uitdagingen naar concrete aanbevelingen voor procesbeheersing, steeds relevanter. Bij elk bedrijf bestaat de noodzaak om de kwaliteit van de IT regelmatig te onderzoeken. Wilt u als auditor kennis opdoen van de onmisbare basisaspecten van de IT audit? Of wilt u inzicht verkrijgen in IT auditing om een volwaardig gesprekspartner te worden op dit gebied? Dan is deze opleiding bij uitstek geschikt voor u! Bent u al uitgerust met de noodzakelijke kennis? Tijdens de eerste 3 dagen van deze opleiding leert u welke waarde IT auditing voor uw organisatie heeft. Daarnaast leert u o.a. door hands-on oefeningen hoe een IT audit wordt uitgevoerd en krijgt u inzicht in de werking van de verschillende onderdelen van IT Governance. Ook informatiebeveiliging staat hoog op uw agenda! Uw organisatie is steeds meer tijd en kosten kwijt aan het doorvoeren van personele en technologische veranderingen naar identificatie- en autorisatieprocessen; zeker als ook partners en klanten toegang tot uw systemen krijgen. Hierbij is zicht op de juistheid en betrouwbaarheid van essentieel belang. Identity Management en AccessControl vereist een kader en gereedschap voor auditors. Tijdens dag 4 en dag 5 wordt u wegwijs gemaakt in de wereld van Access Governance en u leert hoe u op een praktische wijze autorisatiebeheer onder controle krijgt. In 5 dagen alle essentiële ontwikkelingen en standaarden binnen IT auditing Uw praktijk centraal Stuur uw vraagstuk omtrent informatiebeveiliging binnen uw organisatie uiterlijk 2 weken voor aanvang van de opleiding toe via de online leeromgeving van deze opleiding. Tijdens dag 5 wordt uw vraagstuk uitgebreid behandeld. Na afloop van deze praktische 5-daagse opleiding: Heeft u inzicht in de werkzaamheden van een IT auditor Begrijpt u de meest gebruikte normenkaders Bent u in staat om zelfstandig een IT audit uit te voeren Kunt u rapportages van IT auditors beoordelen op inhoud Weet u hoe op de juiste wijze toegang tot informatie kan worden gegeven Bent u in staat om te beoordelen of de juiste autorisatie is verstrekt Opleidingspunten 32 PE-uren (NBA) Deze opleiding kan bijdragen aan het behalen van uw NOREA punten Meer informatie? Bel Tonnie van Zanten, MODULE 1 6 november 2014 Introductie IT audit; wat is het werkkader van de IT audit? Wat is een IT audit? Welke verschillende types audit kan men definiëren? Wat is de relatie tussen IT audits en andere audits? Waar staat de IT audit binnen uw organisatie? Wat is de historie van de IT audit? Wat zijn de basisbegrippen van de IT audit, audit en ICT? Definitie IT audit Kwaliteitsaspecten en objecten van onderzoek bij een (IT) audit Basisbegrippen ICT zoals dbms, IP, Firewall, server, LAN, etc. Wat zijn de relevante IT control frameworks en hoe passen deze in uw organisatie? Hoe gebruikt u COSO II-ERM voor IT risicomanagement? Hoe gebruikt u COBIT in de opzet van IT beheersing en audit? Hoe gebruikt u ITIL, BiSL en ASL voor uw audit? De invloed van beveiligingsrichtlijn ISO op uw IT audit Andere frameworks die uw IT audit werkzaamheden ondersteunen Welke fasen worden onderkend in een IT audit en hoe voert u een IT audit uit? Hoe bepaalt u uw IT audit planning? Hoe voert u een vooronderzoek uit en maakt u een reële risico inschatting van IT systemen? Hoe stelt u een audit programma op? Hoe beoordeelt u de opzet en de werking van IT controls? Hoe rapporteert u de IT audit, separaat of geïntegreerd? Opzetten van een security en applicatie audit binnen uw organisatie Hoe voert u een risicoanalyse uit? Op welke wijze stelt u het normenkader op? Op welke wijze kunt u de maatregelen controleren? Hoe gebruikt u een audit werkprogramma voor de audit van het IT Management? Hoe audit u de IT beheerorganisatie van uw organisatie? Wat zijn de verschillende IT beheertaken in een organisatie? Welke risico's en controls bestaan rond IT beheer? Hoe audit u het beheer van uw IT infrastructuur? Hoe past u een audit werkprogramma toe? Hoe audit u uw IT infrastructuur? Uit welke onderdelen bestaat een IT infrastructuur? Welke risico's en controls treft u aan in besturingssystemen, datacommunicatie en databases? Hoe audit u een rekencentrum, besturingssystemen, datacommunicatie en databases in uw organisatie? Hoe stelt u een audit werkprogramma op om deze elementen te auditen?

3 MODULE 2 13 november 2014 Wat zijn audit software applicaties? Welke typen applicaties onderscheidt u? Welke typen applicatie controls onderscheidt u? Hoe identificeert u applicatie controls via een proces analyse? Welke risico's en controls treft u aan in software applicaties? Hoe stelt u een audit werkprogramma op? Wat zijn General IT Controls en welke rol vervullen zij in uw IT systeem? Wat is het belang van general IT controls voor een organisatie? Hoe zijn general IT controls gestructureerd in uw IT organisatie? Hoe audit u de logische toegangsbeveiliging op applicaties? Wat is logische toegangsbeveiliging en hoe kan dit worden geïmplementeerd? Welke risico's en controls treft u aan bij de audit van logische toegangsbeveiligingen? Hoe stelt u een audit werkprogramma op om logische toegangbeveiligingen te controleren? Hoe audit u de effectiviteiten en efficiency van uw ICT-omgeving? Op welke wijze bepaalt u de effectiviteit en efficiency? Wat voor berekeningsmethoden zijn er? Welke benchmarks zijn aanwezig? Hoe stelt u een normenkader op voor een dergelijke audit? Hoe audit u de helpdesk, incident en problem management en wijzigingsbeheer van uw organisatie? Wat is het belang van helpdesk, incident en problem management en wijzigingsbeheer voor IT beheer? Welke risico's en controls treft u aan tijdens deze audit? Hoe stelt u een audit werkprogramma op voor de audit van uw helpdesk, incident en problem management? Wat is business continuity planning en hoe audit u dit in uw organisatie? Wat is business continuity management en uit welke onderdelen bestaat een BCP plan? Welke risico's en controls treft u aan in een BCP plan? Hoe stelt u een audit werkprogramma op voor een BCP plan? MODULE 3 27 november 2014 Hoe audit u een software selectieproject? Hoe verloopt een software selectieproject? Welke risico's en controls treft u aan tijdens een software selectieproject? Hoe stelt u een audit werkprogramma op voor een softwareproject? Hoe audit u een IT ontwikkelingsproject? Uit welke fasen bestaat een systeemontwikkelingsproject? Welke risico's en controls treft u aan bij systeemontwikkelingsprojecten? Hoe stelt u een audit werkprogramma op voor systeemontwikkelingsprojecten? Wat is de rol van de auditor bij IT outsourcing en offshoring? Hoe audit u offshoring en outsourcing van IT diensten? Welke risico s en controls treft u aan bij offshoring en outsourcing? Hoe stelt u uw audit werkprogramma op bij offshoring en outsourcing? De rol van de auditor in nieuwe ontwikkelingen c.q. grote ontwikkelingen Cloud ERP E-overheid Continuous monitoring Gehele middag praktijk centraal Tijdens de middag van dag 3 wordt de huiswerkopdracht klassikaal behandeld. De uitkomst van uw opdracht, correcties en nuttige praktijktips vormen de basis voor een IT audit-model en geven inzicht in de kansen en valkuilen van een IT audit binnen uw organisatie. Hoe zet u een deugdelijke IT audit op in de praktijk en hoe interpreteert u de resultaten? Leer van de praktijkervaringen van de Belastingdienst Tijdens deze case krijgt u inzicht in het managen van risico s bij een gedegen uitvoering van een IT audit. Opzetten van een privacy audit binnen uw organisatie? Hoe voert u een risicoanalyse uit? Op welke wijze stelt u het normenkader op? Op welke wijze kunt u de maatregelen controleren? Uitleg huiswerkopdracht Na afloop van deze lesdag ontvangt u van de docent een huiswerkopdracht, die de basis vormt van uw eigen IT audit-model, dat direct toepasbaar is in uw eigen praktijk.

4 MODULE 4 4 december 2014 Introductie autorisatiebeheer & Access Governance Access Governance biedt de garanties om de kwaliteit van het autorisatiebeheerproces te waarborgen. Het behelst onder meer een aanpak, waarbij op een geautomatiseerde wijze autorisaties worden geanalyseerd tegen vastgestelde regels zoals een autorisatiematrix, met als doel autorisaties op te schonen en de risico's van ongeautoriseerde toegang te verminderen. Waarom zijn autorisatiebeheer en Access Governance zo belangrijk? Aanpak op hoofdlijnen Attestatie Wat is de relatie met Identity & Access Management? De uitdaging voor uw organisatie Uw organisatie heeft te maken met wet- en regelgeving, die u verplicht om aan te tonen dat u de logische toegangsbeveiliging tot uw IT-systemen onder controle heeft. Sarbanes-Oxly wet: deze wet is van toepassing op vrijwel alle internationale beursgenoteerde bedrijven Wet- en regelgeving en Compliance Access Governance voldoende antwoord voor uw toezichthouder? Wat zijn de vereisten vanuit wet- en regelgeving op het gebied van autorisatiemanagement? Zijn deze vereisten de laatste jaren echt veranderd? Welke componenten en processen onderkennen we binnen Access Governance? Wat is de relatie tussen eigenaarschap en Access Governance? Vanuit Access Governance de stap zetten naar meer preventieve IAM (Identity & Access) implementatie Welke componenten onderkennen we binnen IAM? Bepalen ambitieniveau Mogelijke groeiscenario's richting preventieve controlemaatregelen Differentiatie van ambities en maatregelen binnen uw organisatie MODULE 5 11 december 2014 Hoe beoordeelt u Identiteiten- en toegangsbeheer? Welke aspecten van IAM neemt u op in het auditplan? Welke processen zijn er en wat zijn de controlepunten? Hoe is de logische toegangsbeveiliging in IT systemen geregeld? Wat zijn kritische aspecten rond het gebruik van wachtwoorden? Hoe beoordeelt u het gebruik van andere authenticatievormen? Hoe beoordeelt u het gebruik van kritische accounts? Hoe gaat u om met geblokkeerde accounts? Hoe is de logische toegangsbeveiliging in informatiesystemen geregeld? Hoe maakt u uw autorisatiebeheer inzichtelijk voor Financial Auditing, Risk en Compliance? Hoe past u uw autorisatiematrix aan op basis van de uitkomsten van de rapportages? Welke tools kunt u gebruiken om het onderzoek uit te voeren? Welk soort verificaties zijn relevant? Hoe stelt u rapportages op, zodat u een overzicht van geaccordeerde en niet-geaccordeerde afwijkingen en uitzonderingen en status follow-up hebt? Wat definieert u als belangrijke KPI's (ghost accounts, beveiligingsrisico's, etc.)? Uw eigen vraagstuk centraal Op basis van uw vooraf ingebrachte vraagstuk bespreekt u samen met de docent en medecursisten uw vraagstuk omtrent informatiebeveiliging binnen uw organisatie. Dit met als doel u te helpen een controleprogramma op te stellen of te verbeteren. Nieuwe ontwikkelingen rondom Access Governance Impact van Cloud Computing Impact van Big Data

5 i.s.m. 31 PE Punten leeromgeving E-coaching VOOR WIE BESTEMD? Uw docenten Mischa van der Vliet Mischa is geregistreerd IT auditor (RE) en werkzaam bij diverse overheden. Vanuit de filosofie 'Voor de praktijk, door de praktijk' verzorgt hij trainingen en coachingtrajecten op het brede vakgebied IT auditing (ook wel EDP auditing genoemd). Mischa heeft niet alleen een diepgaande, maar ook een brede ervaring in het vakgebied IT auditing. André Koot André is Security Consultant bij Strict Consultancy en heeft als ervaren security professional een echte passie voor informatiebeveiliging. André is in staat om op een pragmatische wijze complexe vraagstukken te analyseren en passende oplossingen te bedenken. Hij is daarnaast actief als medewerker van het vakblad Informatiebeveiliging van het Platform voor Informatiebeveiliging (PvIB). 'De belangrijkste vraag bij informatiebeveiliging is: Wie mag wat en waarom? Als je dat weet, zit het wel goed!' Deze opleiding is speciaal ontwikkeld voor: Audit Manager IT Auditor IT Manager Kwaliteitsmanager Information Risk Manager ICT Security Specialist Business Manager IT Security Controller IT Security Manager Hoofd Informatiebeveiliging Informatiemanager Manager Internal Control Adviseur Informatisering/Informatiemanagement Internal Auditor Operational Auditor Financial Auditor External Auditor Accountant Tijdschema alle dagen uur Ontvangst uur Aanvang uur Koffie- en theepauze (15 min.) uur Lunch uur Start middagprogramma uur Koffie- en theepauze (15 min.) uur Einde Nog enkele plaatsen vrij! Wellicht ook interessant voor u of uw collega? Bekijk de opleiding via of neem contact op met Tonnie van Zanten via daagse Verkorte Opleiding 28 oktober, 4, 11, 18 en 25 november 2014 Jaarbeurs Utrecht OPERATIONAL AUDITING Een bewezen succesvolle integrale benadering met hard én soft controls! Module 1 > Hard controls: Het ontwerpen van auditonderzoek Hoe ontwerpt u een relevante, deugdelijke en doelmatige audit? Hoe betrekt u de opdrachtgever bij uw audit? Module 2 > Hard controls: Methoden- en technieken Toepassen van auditmethoden en technieken. De verwerking van gegevens, oordeelsvorming, aanbevelingen ter verbetering en follow-up van auditresultaten. Module 3 > Soft controls: Onderzoeken van houding en gedrag Wat zijn de belangrijkste factoren die houding en gedrag in organisaties bepalen? Welke onderzoeksdesigns zijn bruikbaar om houding en gedrag te onderzoeken? Hoe rapporteert u op een effectieve manier over de resultaten van uw audit naar houding en gedrag en hoe zorgt u voor de juiste impact van uw auditresultaat op de organisatie? Module 4 > Het voeren van onderzoekende, reflectieve gesprekken Welke gesprekstechnieken moet u beheersen om onderzoekende gesprekken te voeren naar houding en gedrag in uw organisatie? Hoe verwerkt en analyseert u de uit gesprekken verkregen gegevens over houding en gedrag tot een deugdelijke resultaat met een duidelijke en volledige audittrail? Module 5 > Praktijkdag Samen met uw coach vertaalt u leerpunten van de opleiding naar de eigen organisatie en krijgt u de mogelijkheid om uw eigen vraagstuk te behandelen. Case: leer van de praktijkervaringen van twee praktijkdocenten van gemeente Veenendaal. > Inclusief: Toegang tot interactieve Digitaal naslagwerk Opleidingscertificaat Voorafgaande edities beoordeeld met een 8,8! Hoor waarom deze opleiding zo goed aansluit bij uw praktijk en bekijk het interview met enkele oud-deelnemers en docent Drs. Jan Otten op 31 Ondersteund door online leeromgeving! Tijdens de opleiding maakt u, naast de bijeenkomsten, gebruik van een online leeromgeving. Hier vindt u (extra) leermaterialen die aansluiten bij de opleidingsbijeenkomsten, zoals achtergrondartikelen en verwijzingen naar boeken en sites. De leeromgeving gebruikt u ook als netwerkinstrument en voor interactie: alle deelnemers en docenten zijn via de leeromgeving snel te bereiken. Voor aanvang van de opleiding ontvangt u een inlogcode voor de onlineleeromgeving en een uitnodiging om uw profiel aan te maken. Bent u lid van NOREA? Dan ontvangt u: * 300,- korting bij deelname aan de 5-daagse opleiding * 150,- korting bij deelname aan dag 1 t/m 3 * 100,- korting bij deelname aan dag 4 en 5

6 Postbus AV Eindhoven Gegevens onjuist? Retourneren is niet nodig. Geef uw wijzigingen door aan de klantenservice via IT AUDIT Fundamentals Zorg dat u aantoonbaar in control bent Meer informatie Klantenservice: Data en locatie 6, 13 en 27 november & 4 en 11 december 2014 Meeting Plaza Utrecht Voor routebeschrijving zie: euroforum.nl/itaudit Persoonlijk opleidingsadvies Voor inhoudelijke vragen belt u met: Tonnie van Zanten t.van.zanten@euroforum.nl 3 makkelijke manieren om u aan te melden! Via internet: Via inschrijving@euroforum.nl Telefonisch: Uw inschrijvingsbewijs sturen we u zo snel mogelijk toe. Als uw adres bij ons bekend is, ontvangt u de bevestiging van uw deelname binnen een werkdag via . Wilt u deze opleiding met uw gehele afdeling volgen? Vanaf 5 personen kunt u deze opleiding InCompany volgen. Het programma wordt specifiek afgestemd op uw organisatie, in overleg wordt een datum, locatie en tijdstip bepaald. Neem voor informatie contact op met onze adviseur: Guusje Verhoeven g.verhoeven@euroforum.nl 32 PE-uren Uw gegevens Wij houden u graag op de hoogte van de ontwikkelingen in uw vakgebied. U bent daartoe opgenomen in ons adressenbestand of in een bestand dat wij van derden betrekken. Uw gegevens kunnen verstrekt worden aan derden voor marketingdoeleinden. Kloppen uw gegevens niet of wilt u niet dat anderen deze gebruiken? Geef uw wijzigingen door aan de klantenservice via Over Euroforum Euroforum is marktleider op het gebied van congressen, cursussen en trainingen voor professionals en managers bij bedrijven, overheden en non-profit organisaties. Euroforum maakt deel uit van Informa, een wereldwijd congres- en uitgeefconcern genoteerd aan de beurs in Londen. Meer informatie op: Uw investering De kosten van deze 5-daagse opleiding bedragen 3.799,- (excl. btw) per persoon. Dit bedrag is inclusief koffie, thee, lunches, het boek IT Auditing en toegang tot de online leeromgeving. Heeft u de voorkeur voor dag 1 t/m 3 (IT audit basisaspecten) dan bedragen de kosten 2.399,- (excl. btw) per persoon. Dit bedrag is inclusief koffie, thee, lunches en toegang tot de online leeromgeving. Heeft u de voorkeur voor dag 4 t/m 5 (Access Governance in de praktijk) dan bedragen de kosten 1.699,- (excl. btw) per persoon. Dit bedrag is inclusief koffie, thee, lunches en toegang tot de online leeromgeving. Het boek IT Auditing ontvangt u enkel als u zich voor de volledige 5-daagse opleiding inschrijft.