Czym jest audyt bezpieczeństwa IT? W jakim celu się go przeprowadza?

Odnosząc się do normy związanej z zarządzaniem programami audytów (pkt 3.1., ISO 19011), która zawiera informacje niezbędne do prowadzenia wewnętrznych i zewnętrznych audytów systemów zarządzania, określa kompetencję i wytyczne potrzebne do oceny audytorów, można z łatwością zdefiniować pojęcie jakim jest audyt. Jest to: „Systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu oraz ich obiektywnej oceny w celu określenia stopnia kryteriów audytu”. Rekomendowany profil Audytora, jest skrupulatnie opisany w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji (Dziennik Ustaw Nr 177) w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych.

Jakimi kryteriami należy się kierować przeprowadzając audyt? Odpowiedź jest prosta, a także w pełni zawarta w ISO27001, które jest międzynarodowym standardem zarządzania bezpieczeństwem informacji. Normę te można określić jako wymagania, procesy wdrażania i zabezpieczenia, utrzymywania i weryfikację bezpieczeństwa informacji.

Zakres audytu określa potrzeba jego wykonania.

Obserwacja, analiza i modernizacja procesów bezpieczeństwa, to nieodłączna część prac w każdej instytucji, organizacji oraz korporacji. W ostatnim czasie, zauważalny jest dość spory wzrost świadomości wśród tych przedsiębiorstw. Firmy zaczynają zdawać sobie sprawę z tego jak ważne jest bezpieczeństwo w obrębie ich pracy. W celu określenia potrzeby wykonania audytu i jego charakterystyki, trzeba zadać sobie kilka pytań.

Co wymaga uwagi? Cała organizacja, a może jeden oddział, czy też określony obszar w sieci informatycznej? Może problem leży po stronie złego doboru rozwiązań informatycznych, aplikacji lub jednego procesu?

Wszystko co wymaga szczególnej uwagi biznesowej jest kluczowym elementem zakresu audytu bezpieczeństwa. Firmy i instytucje podlegają pod przepisy i regulacje prawne w zakresie przechowywania i przetwarzania danych osobowych. Bezpieczeństwo baz danych użytkowników stało się cyklicznym elementem rozmów rozwoju biznesowego organizacji. Sektor publiczny podlega dodatkowo pod ustawy i zobowiązania placówek samorządowych dotyczących spełniania wymogów regulacji prawnych m. in. informatyzacji, ochrony danych osobowych czy Krajowych Ram Interoperacyjności.

Pochylając się nad tematem audytu warto posiadać dobry plan. Określić jego cel i sprecyzować zakres.

Jakie kategorie zakresu możemy spotkać w ofertach audytu?

  • Kontrola dostępu do informacji oraz danych,

  • Ocena świadomości pracowników,

  • Testy socjotechniczne,

  • Zgodność z przepisami i z najnowszymi regulacjami prawnymi,

  • Badanie bezpieczeństwa serwerów, urządzeń sieciowych, stacji roboczych, urządzeń bezprzewodowych i przenośnych,,

  • Testy penetracyjne,

  • Kontrola dostępu fizycznego, bezpieczeństwa fizycznego budynków i pomieszczeń szczególnego przeznaczenia,

  • Analiza i przestrzeganie obowiązujących procedur,

  • Analiza systemu kopii zapasowych.

Zapotrzebowanie na audyt bezpieczeństwa wynika z podstawowego problemu, który zaczyna dotykać każdą firmę.

  • Brak znajomości przepisów i obowiązków dotyczących bezpieczeństwa danych,

  • Brak odpowiednich zabezpieczeń sprzętowych,

  • Brak odpowiednich urządzeń i oprogramowania dla danego obszaru technologicznego,

  • Niedokończone aplikacje, brak struktury ochronnej,

  • Nieprzeprowadzanie w odpowiednim czasie, bądź ignorowanie aktualizacji systemów bądź aplikacji,

  • Brak odpowiednich analiz i raportów, które pozwalają na prewencyjne działania ochronne,

  • Brak świadomości użytkownika na podatności bezpieczeństwa i znajomość zagrożeń,

  • Brak świadomości „biznesu” na podatności bezpieczeństwa i zagrożenia mające realny wpływ na aspekty PR czy wynikające z nich problemy finansowe w danej organizacji,

  • Brak specjalistycznej wiedzy z zakresu bezpieczeństwa w strukturach organizacji,

  • Brak budżetu na kluczowe elementy bezpieczeństwa to jak czyhający na młotek gwóźdź.

Za dobry audyt trzeba odpowiednio dużo zapłacić. W zależności od trybu i czasochłonności można spodziewać się zawrotnych cen od kilku do kilkuset tysięcy złotych za taką usługę.

Audyt jest kosztem za wskazanie podatności bezpieczeństwa. Kolejnymi krokami są - odpowiednie przygotowanie procesu zmian (Change Management), rozmowy z dostawcami rozwiązań sprzętowych czy tez oprogramowania. Ważnym aspektem jest też wdrożenie zmian w strukturze aplikacji, kontakt z producentem czy dostawcą poprzedniego rozwiązania. Dalsze kroki definiuje wynik audytu, warto jednak pamiętać, że nie wszyscy podejmują odpowiednie działanie. Reakcje po audycie można przyrównać do sytuacji z lekarzem i receptą. Wyróżniamy takie osoby, które po otrzymaniu recepty, udają się do apteki aby wykupić wszystkie potrzebne leki. Są też osoby, które zdecydują się jedynie na część leków, a także takie, które kompletnie zignorują potrzebę dalszego leczenia czy wydawania pieniędzy na lekarstwa. Te osoby odsyłamy raz jeszcze do zebrania przede wszystkim listy celów i znalezieniem odpowiedniego doradcy przy spisywaniu zakresu prac.

Raport audytu powinien być spójny i odnosić się do realnych podstaw prawnych i wskazywać jednoznacznie podatności bezpieczeństwa w audytowanego środowiska

  • Wskazanie przedmiotu prac,

  • Weryfikacja norm i wymogów rozporządzeń określonych prawnie,

  • Ogólną ocenę bezpieczeństwa i konfiguracji,

  • Wykaz zidentyfikowanych podatności z konfiguracjami, adresacjami, dostępami,

  • Wyjaśnienie scenariuszy wykorzystania podatności i konsekwencji wykorzystania przez nieautoryzowane osoby,

  • Opis metodyki prac,

  • Wskazanie krytycznych podatności wraz z rekomendacjami korekcyjnymi,

  • Wskazanie materiałów źródłowych, na podstawie których uznano dany fakt za podatność.

Wybór firmy audytującej, weryfikacja audytora bądź audytorów, wskazanie kluczowych elementów biznesowych to nie lada wyzwanie. Zbudowanie listy zależności i przygotowanie projektu z dokładnym rozpisaniem zakresów oraz celów i kryteriów, przygotowanie dokumentów dla struktur organizacyjnych i decyzyjnych przysparza niekiedy o ból głowy.

IPSA – chętnie zajmie się tematem przygotowania i przeprowadzenia audytu dostarczając wiedzę merytoryczną, zarządzanie projektem i wsparcie w rozwiązaniu problemów ze wskazanymi podatnościami.