Information Technology Auditing Checklist for Educational Purposes
Rebiai, Alex (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024121235012
https://urn.fi/URN:NBN:fi:amk-2024121235012
Tiivistelmä
In response to the fast-changing digital climate and the growing need for IT auditing skills, a structured IT auditing checklist was to be constructed to serve as an educational tool. The primary objective was to develop an IT auditing checklist from an educational standpoint, focusing on guiding students toward accurate auditing practices relevant to the Auditing, Penetration Testing, and Red Teaming course, which is organized by JAMK University of Applied Sciences. The research was an assignment proposed by the Institute of Information Technology.
Some commonly used industry standards and relevant IT auditing checklists were evaluated through qualitative research methods, and then cross-referenced to create a comprehensive checklist. As a result, two IT auditing checklists were created for differing purposes. The main checklist created for the cybersecurity course was meant to address critical areas, including network security, firewall auditing, and data protection. The second checklist serves as supplementary material to the main checklist. It could possibly be used on its own in the future for various educational IT auditing exercises.
Findings suggest that the checklists could improve students’ ability to understand the basics of IT auditing while complying to the specified course criteria. Furthermore, the proposed checklist was designed for potential use in practical auditing scenarios, offering opportunities for hands-on learning and engagement with real-world cybersecurity practices. Because the second checklist was concluded to work better as supportive material, it was possible for the main checklist to match the needs of the course. Vastauksena nopeasti muuttuvaan digitaaliseen ilmapiiriin ja kasvavaan IT-auditointitaitojen tarpeeseen suunniteltiin jäsennelty IT-auditointitarkistuslista, joka on luotu opetusvälineeksi. Tavoitteena oli kehittää IT-auditointiin suunnattu tarkistuslista opetusnäkökulmasta, keskittyen ohjaamaan opiskelijoita tarkkoihin auditointikäytäntöihin Jyväskylän Ammattikorkeakoulun tarjoamalla Auditointi, Penetraatiotestaus ja Red Team -toiminta opintojaksolla. Tutkimus oli IT-instituutin esittämä toimeksianto.
Tiettyihin yleisesti käytettyihin alan standardeihin ja olemassa oleviin IT-auditointitarkistuslistoihin perehdyttiin kvalitatiivisten tutkimusmenetelmien avulla, ja ne ristiviitattiin kattavan tarkistuslistan muodostamiseksi. Tuloksena syntyi kaksi erilaiseen tarkoitukseen suunnattua IT-auditointitarkistuslistaa. Kyberturvallisuuskurssille kehitetty päälista kattaa keskeiset osa-alueet, kuten verkon turvallisuuden, palomuurien auditoinnin ja tietosuojan. Toinen tarkastuslista tarjoaa täydentävää materiaalia päälistalle ja sitä voitaisiin mahdollisesti käyttää itsenäisesti tulevaisuudessa erilaisissa opetuksellisissa IT-auditointiharjoituksissa.
Havaintojen perusteella tarkistuslistat voisivat parantaa opiskelijoiden kykyä ymmärtää IT-auditoinnin perusteita ja täyttää samalla kurssin vaatimukset. Ehdotettu tarkistuslista suunniteltiin soveltuvaksi myös käytännön auditointitilanteisiin, tarjoten opiskelijoille mahdollisuuden oppia IT-auditoinnin ja kyberturvallisuuden osa-alueita käytännönläheisesti. Koska toinen tarkistuslista todettiin paremmin päälistaa tukevaksi materiaaliksi, oli mahdollista sovittaa päälista paremmin kurssin tarpeisiin.
Some commonly used industry standards and relevant IT auditing checklists were evaluated through qualitative research methods, and then cross-referenced to create a comprehensive checklist. As a result, two IT auditing checklists were created for differing purposes. The main checklist created for the cybersecurity course was meant to address critical areas, including network security, firewall auditing, and data protection. The second checklist serves as supplementary material to the main checklist. It could possibly be used on its own in the future for various educational IT auditing exercises.
Findings suggest that the checklists could improve students’ ability to understand the basics of IT auditing while complying to the specified course criteria. Furthermore, the proposed checklist was designed for potential use in practical auditing scenarios, offering opportunities for hands-on learning and engagement with real-world cybersecurity practices. Because the second checklist was concluded to work better as supportive material, it was possible for the main checklist to match the needs of the course.
Tiettyihin yleisesti käytettyihin alan standardeihin ja olemassa oleviin IT-auditointitarkistuslistoihin perehdyttiin kvalitatiivisten tutkimusmenetelmien avulla, ja ne ristiviitattiin kattavan tarkistuslistan muodostamiseksi. Tuloksena syntyi kaksi erilaiseen tarkoitukseen suunnattua IT-auditointitarkistuslistaa. Kyberturvallisuuskurssille kehitetty päälista kattaa keskeiset osa-alueet, kuten verkon turvallisuuden, palomuurien auditoinnin ja tietosuojan. Toinen tarkastuslista tarjoaa täydentävää materiaalia päälistalle ja sitä voitaisiin mahdollisesti käyttää itsenäisesti tulevaisuudessa erilaisissa opetuksellisissa IT-auditointiharjoituksissa.
Havaintojen perusteella tarkistuslistat voisivat parantaa opiskelijoiden kykyä ymmärtää IT-auditoinnin perusteita ja täyttää samalla kurssin vaatimukset. Ehdotettu tarkistuslista suunniteltiin soveltuvaksi myös käytännön auditointitilanteisiin, tarjoten opiskelijoille mahdollisuuden oppia IT-auditoinnin ja kyberturvallisuuden osa-alueita käytännönläheisesti. Koska toinen tarkistuslista todettiin paremmin päälistaa tukevaksi materiaaliksi, oli mahdollista sovittaa päälista paremmin kurssin tarpeisiin.