Ansættelsesforhold, Arbejdsmarkedet

Forkærlighed for Legoklodser

Jonas von Scholten nyder godt af sin it-baggrund i arbejdet som it-revisor – der overhovedet ikke er så tørt og kedeligt, som det lyder.

– For nogle mennesker er it og revision noget af det mest tørre og kedsommelige, de overhovedet kan komme i tanke om. Så it-revisor – hvor tørt kan det lige blive, siger 36-årige Jonas von Scholten med et stort smil.

Siden januar har han været ansat som it-revisor hos REVI-IT i København og har således taget springet fra mere traditionelle it-funktioner til en verden, hvor de lyseblå skjorter er mange og de revisionstekniske termer endnu flere.

– Det er klart, at jeg specielt her i starten virkelig skal slå ørerne ud, når mine kolleger begynder at strø om sig med fagtermer inden for revision. Til gengæld kan jeg så give dem en forklaring på en it-term eller systemmæssig problemstilling, som jeg har mere konkret erfaring med, siger han.

Siden han forlod CBS med en Master of Science i Business Administration og Business Computing i hånden, har Jonas von Scholten arbejdet med it fra forskellige vinkler. Han har blandt andet været it-driftsansvarlig i en offentlig forskningsvirksomhed og løsningsarkitekt i en hosting-virksomhed, hvor han begyndte at arbejde med it-sikkerhed og compliance.

– Jeg skiftede til REVI-IT for at få mulighed for at arbejde mere fokuseret med disse områder. Det har jeg ikke et øjeblik fortrudt.

It-erfaring er en fordel

Hans it-erfaring kommer ham ofte til gode. Meget af revisionen er baseret på kundens egen dokumentation, så hvis den for eksempel siger, at man sikrer sine webservices med SSL/TLS, giver Jonas von Scholtens tekniske baggrund ham mulighed for at stille uddybende spørgsmål.

– SSL/TLS giver ikke i sig selv den nødvendige sikkerhed. Man skal eksempelvis også sikre sig, at den webserver, den ligger på, er konfigureret til at enforce den sikkerhed, der ligger i SSL/TLS. Så det vil jeg typisk spørge mere til, forklarer han.

Hvis han eksempelvis skal tjekke en virksomheds adgangskontrol, får han typisk et screendump eller udtræk af opsætningerne. Men hvis det bliver nødvendigt, kan han også sætte sig ved siden af en medarbejder i it-afdelingen og kigge direkte ned i systemopsætningerne. 

Selve revisionen kan sommetider strække sig over to-tre måneder. Virksomheden skal fremsende de mest grundlæggende oplysninger som sikkerhedspolitikker og beredskabsplaner, og så skal der fastlægges møder med de relevante medarbejdere. Inputtet skal efterfølgende bearbejdes, så  revisionserklæringen kan udfærdiges.

– Ud fra de fremsendte dokumenter får vi et første indtryk af styrker og eventuelle svagheder. Til møderne, hvor der typisk er en it-chef og en cheftekniker til stede, stiller vi så en række opklarende spørgsmål. Vi gør meget ud af, at det former sig som en dialog og ikke som afkrydsningsøvelse i en kontrolformular. På den måde får vi det bedste grundlag for at afgive vores erklæring, siger Jonas von Scholten. 

Under revisionsbesøget bliver der typisk hentet forskellige medarbejdere ind, der har ekspertise inden for de forskellige områder, der bliver taget op. Men revisionen foregår ikke nødvendigvis kun i mødelokalet.

– Det meste foregår selvfølgelig til møderne, men hvis vi på vej til frokost for eksempel kommer forbi en skærm, som er åben og forladt, kan jeg ikke lade være med lige at bemærke det, siger Jonas von Scholten.

Nudging

De gode dage på jobbet er, når kunderne begynder at kunne se, at det virkelig giver mening eksempelvis at få opdateret sikkerhedspolitikkerne, og at de har rykket på det, når han møder dem igen.

– Det er vigtigt for mig, at det ikke blot bliver en kontrol, men at jeg kan være med til at give kunden en forståelse for, hvor der eventuelt skal sættes ind for at blive mere compliant. Vi må som del af revisionen jo ikke levere egentlig konsulentbistand, så det handler mere om at stille de rigtige spørgsmål og nudge kunden i den rigtige retning, forklarer han.

Han har et ret klart billede af, hvem der kan blive gode it-revisorer.

– Man skal nok have en forkærlighed for Legoklodser og virkelig have lyst til at få alle brikkerne til at passe sammen. Princippet er meget det samme som i arbejdet med it-revision: Der er klare regler for, hvordan de enkelte brikker sættes sammen, men de samlede konstruktioner kan se meget forskellige ud, siger Jonas von Scholten.

Derudover handler det også rigtigt meget om formidling.

– Det drejer sig om at få formidlet compliance på en god og forståelig måde til dem, der nødvendigvis må interessere sig for det, siger han.

Hygge-nørderi

Jonas von Scholten har en klar strategi, hvis han skal forklare til udenforstående, hvad han laver.

– Jeg starter i hvert tilfælde ikke med at sige, jeg er it-revisor, for så bliver jeg typisk mødt med tomme øjne. I stedet siger jeg, at jeg tager ud og tjekker, om folk passer ordentligt på deres it.

Når Jonas von Scholten ikke er i aktion som it-revisor, kan han godt lide at hoppe ud fra flyvemaskiner – med en faldskærm på ryggen. Og når han ikke er sammen med sin kæreste og sine to børn, så kan han sagtens finde på at sidde og hygge-nørde derhjemme.

– Jeg vil hævde, at jeg har bedre styr på it-infrastrukturen derhjemme end mange virksomheder, og når mørket falder på, kan jeg sagtens finde på at sidde og rode med mine 32 virtualiserede servere, syv LAN-zoner, IDS, IPS og meget andet

Hvordan foregår en it-revision?

En it-revision indeholder typisk en gennemgang af:
◦    Drift af datacentre (serverrum) og netværk
◦    Anskaffelse, ændring og vedligeholdelse af systemsoftware
◦    Adgangssikkerhed
◦    Anskaffelse, udvikling og vedligeholdelse af applikationssystemer
◦    Fysiske kontroller
◦    Funktionsadskillelse
◦    Lovmæssige reguleringer (håndtering af persondata etc.)

Revisionen udføres på basis af skriftlige politikker og procedurer samt bevis for efterlevelse, og den munder ud i en it-revisorerklæring – eller til tider blot en rapport eller en gap-analyse. De internationale standarder for informationssikkerhed, ISO-27001 og ISO-27002, er centrale for it-revisionen.