信息技术在不断进步. 个人和商业计算解决方案越来越复杂和深远. 以及物联网(IoT)等概念, 机器学习(ML)和人工智能(AI)已经开始在实际中应用.
这种进步使个人受益,对他们来说,它预示着生活质量的改变. 它也使组织受益,它们看到了成倍增长的创新机会. 同时,它增加了技术的复杂性,增加了攻击面.
因此,IT保证的期望发生了变化. 这要求该领域的专业人员对组织及其不断变化的环境有深刻的理解. 这对他们来说是一个巨大的挑战, 他们必须掌握来自不同来源和学科的各种复杂的知识,才能有效地完成工作.
与此同时, 经典的保证策略, 主要是内部控制文件, 不响应这些新要求. 对于大多数IT保证工作来说,它们是有限的和不够的. 他们缺乏必要的方法, 技术和工具,因为它们基于继承自一般保证的标准, 不是面向系统工程的. 其他漏洞, 它们不能发现和关联多个组织和计算机组件, 内部和外部代理的多样性, 以及一系列相关的事实.
如果IT保证工作不符合这些新要求, 组织将受到负面影响. 内部控制的不完整和肤浅的知识可能导致测试程序的缺失或无效. 因此, IT保证报告不能反映现实, 他们的结论不能确定IT对组织使命的贡献程度.
在我 最近 杂志 文章中, 我将展示如何通过规划IT保证工作的新方法和软件来迎接和克服这一挑战, 我将其命名为IT语义审计.
编者按: 有关此主题的进一步见解,请阅读 瓦斯 门德斯在最近的期刊文章中, “IT审核过程中的创新”, ISACA® 期刊,2020年第1卷.