Komu potrzebny jest audyt bezpieczeństwa?
Transkrypt
Komu potrzebny jest audyt bezpieczeństwa?
BOSTON Tendencje Komu potrzebny jest audyt bezpieczeństwa? Zgromadzone informacje to najcenniejszy z zasobów przedsiębiorstwa. Nikogo nie trzeba już chyba przekonywać, jak wielkie znaczenie dla funkcjonowania firmy mają takie elementy jak: znane powszechnie know-how (umiejętności, doświadczenie), know-what (wiedza o faktach, analizy), knowwho (wiedza o tym, kto posiada umiejętności w określonej dziedzinie, z kim współpracować) czy też know-why (wiedza o zasadach, regułach). Także kompleksowa ochrona tych informacji ma ogromny wpływ na pozycję przedsiębiorstwa na rynku i stanowi o jego przewadze konkurencyjnej. Dlatego też bardzo ważne jest przeprowadzanie regularnych audytów bezpieczeństwa informacji. B adanie z 2006 roku wskazuje, że w 52 proc. z ponad 600 przebadanych firm miało miejsce naruszenie bezpieczeństwa systemów komputerowych. Wśród dużych firm odsetek ten jest jeszcze wyższy. Średnio straty spowodowane naruszeniem bezpieczeństwa informacji kosztowały przedsiębiorców w 2005 roku blisko 170 tys. USD. Natomiast łączna strata respondentów, którzy byli w stanie je oszacować, to ok. 52,5 mln USD (11 roczne Badanie Przestępstw Komputerowych i Bezpiezczeństwa, CSI/FBI 2006 rok). Wniosek z tych badań jest jeden. Nie należy zastanawiać się nad tym, które firmy powinny przeprowadzać audyt swoich systemów komputerowych, tylko nad tym, kiedy i jak często. W 82 proc. organizacji w USA, audyty bezpieczeństwa przeprowadzane są przez audytorów wewnętrznych, zaś w 62 proc. - za pomocą firm zewnętrznych. Wynika z tego, że audyt jest najpopularniejszym sposobem oceny skuteczności ochrony informacji. Audyty bezpieczeństwa powinny być przeprowadzane regularnie. Istnieją jednak sytuacje, gdy audyt ten jest szczególnie rekomendowany. 10 Sytuacja 1 – po włamaniu W takiej sytuacji należy sprawdzić, co było przyczyną naruszenia bezpieczeństwa w firmie i doprowadzić do wykrycia sprawcy. Z reguły przeprowadza się wtedy wnikliwy audyt systemu, w którym zidentyfikowano włamanie. Trzeba szczegółowo przeanalizować wszystkie logi i inne ślady, które mogą wskazać źródło naruszenia, i zabezpieczyć dowody. Wynikiem takiego audytu – oprócz wskazania sprawcy – powinien być szczegółowy plan usunięcia luk w zabezpieczeniach oraz zapewnienie ochrony przed podobnymi sytuacjami w przyszłości. Sytuacja 2 – nowa osoba odpowiedzialna za bezpieczeństwo Audyt często przeprowadza nowo zatrudniana osoba, która będzie odpowiedzialna za kwestie bezpieczeństwa w przedsiębiorstwie. Daje jej to obraz sytuacji, w jakiej znajduje się przedsiębiorstwo pod względem bezpieczeństwa informacji. Jest to swego rodzaju bilans otwarcia. Audyt jest wtedy dobrym punktem odniesienia do oceny osiągnięć tej osoby za ja- kiś czas. Powtórzenie audytu w takim samym zakresie i porównanie go z bilansem otwarcia pokazuje, czy udało się osiągnąć założone cele. Sytuacja 3 – certyfikat bezpieczeństwa Często audyt realizowany jest w celu uzyskania któregoś z certyfikatów poświadczających odpowiedni poziom bezpieczeństwa przetwarzanych informacji. W ostatnim czasie firmy najczęściej starają się o certyfikat zgodny z normą BS 7799 (określający spójny zbiór wytycznych składających się na system zarządzania bezpieczeństwem informacji). W celu uzyskania takiego certyfikatu z reguły należy przeprowadzić kilka audytów. Pierwszy, zwany zerowym, przeprowadza się, aby zidentyfikować obszary, które nie spełniają wymagań normy. Wyniki tego audytu służą do opracowania planu poprawy. W momencie, gdy firma uzna, że jest gotowa do certyfikacji, licencjonowana firma przeprowadzi drugi audyt – certyfikacyjny. Jeżeli audytor nie stwierdzi nieprawidłowości, firmie przyznawany jest certyfikat. W celu utrzymania certyfikatu niezbędne są okresowe audy- www.boston-review.com ty. Mają one na celu sprawdzenie, czy firma w dalszym ciągu spełnia wymagania normy. Sytuacja 4 – wdrożenie nowego oprogramowania W sytuacji wdrożenia nowego oprogramowania istnieje kilka przesłanek do przeprowadzenia audytu. Pierwszą z nich jest sprawdzenie, czy wdrożony system spełnia wymagania bezpieczeństwa przedsiębiorstwa oraz czy został prawidłowo skonfigurowany i wdrożony. W związku z tym, że obecnie cykl tworzenia oprogramowania jest coraz krótszy, firmy coraz częściej zlecają też audyt oprogramowania. Ma on na celu sprawdzenie, czy w oprogramowaniu nie ma istotnych błędów, które mogą wpływać na dostępność systemu i prawidłowość przetwarzania danych przez oprogramowanie. Taki audyt pozwala również wykryć ewentualne luki mogące umożliwiać włamanie do systemu. Sytuacja 5 – połączenie firm W sytuacji, gdy dochodzi do przejęcia jednej firmy przez inną, audyt przedsiębiorstwa przejmowanego Nr 1/2007 (2) BOSTON Tendencje jest wręcz nieodzowny. Firma, która przeznacza kapitał na zakup, powinna minimalizować ryzyko, że inwestycja okaże się nietrafiona. Taki audyt – zwany due dilligence – obejmuje również kwestie IT i bezpieczeństwa. Ma on na celu oszacowanie ryzyka związanego z przejęciem tego przedsiębiorstwa. Dzięki takiemu audytowi nabywca przedsiębiorstwa zdobywa dodatkową wiedzę, która na pewno będzie nieocenioną pomocą przy podejmowaniu decyzji o inwestycji. MARIUSZ PAWŁOWSKI Jest partnerem zarządzającym w firmie Optima Partners, świadczącej profesjonalne usługi doradcze. Zdobył bogate doświadczenie w zakresie opracowywania i wdrażania systemów zarządzania bezpieczeństwem informacji. Posiada certyfikaty: CISA, CISSP, CIA i SSP. Współpracuje z IsecMan. Sytuacja 6 – wymóg prawa Są sytuacje, w których audyty bezpieczeństwa są pośrednio lub bezpośrednio wynikiem wymagań prawnych. Najlepszym przykładem tego jest ustawa Sarbanes-Oxley (SOX), wprowadzona w życie w 2002 roku w USA po serii bankructw firm notowanych na giełdach. Ustawa ta nakłada obowiązek wdrożenia, utrzymania i regularnej weryfikacji wewnętrznego systemu kontroli, którego istotnym elementem jest system zarządzania bezpieczeństwem. Dotkliwe kary za zaniedbanie tego obowiązku spowodowały, że w ciągu ostatnich czterech lat nastąpił bardzo istotny wzrost zainteresowania usługami audytorskimi świadczonymi zarówno przez duże, jak i mniejsze firmy doradcze. Zanim ta ustawa weszła w życie w przedsiębiorstwie pracował z reguły tylko jeden audytor, który badał sprawozdania finansowe. Od 2002 roku dla jednej firmy pracuje równocześnie po kilka firm audytorskich i doradczych. Co to jest audyt bezpieczeństwa? Jest to przekrojowa analiza przedsiębiorstwa pod kątem bezpieczeństwa. Obejmuje zarówno kwestie organizacyjno-procesowe, jak i kwestie techniczne (np. konfigurację bezpieczeństwa, bezpieczeństwo fizyczne). Nie należy zastanawiać się nad tym, które firmy powinny przeprowadzać audyt swoich systemów komputerowych, tylko nad tym, kiedy i jak często taki audyt przeprowadzać. Jedna z nich jest głównym audytorem, który bada sprawozdania finansowe i zgodność systemu kontroli wewnętrznej z SOX. Pozostali pomagają firmie spełniać wymagania ustawy. W Polsce nie ma ustawy, która nakazywałaby przeprowadzanie regularnych audytów bezpieczeństwa. Są natomiast organy państwowe (np. GIODO, GINB), które w ramach szerszych monitoringów przeprowadzają też audyty bezpieczeństwa. Od kilku lat elementy tego typu działań są częścią badania sprawozdań finansowych przedsiębiorstw. Nr 1/2007 (2) Kwestie bezpieczeństwa są inaczej postrzegane wewnątrz organizacji, a inaczej przez audytorów z zewnątrz. Często wewnątrz organizacji istnieje przekonanie, że sytuacja bezpieczeństwa informacji jest pod kontrolą. Jednak bez uporządkowanego systemu zarządzania bezpieczeństwem i systematycznych audytów istnieje bardzo duże ryzyko pojawienia się luk. Poza tym audyt może okazać się pomocny również z tego względu, że wprowadza on niezbędne usystematyzowanie kwestii bezpieczeństwa informacji w firmie. Audyty z reguły przeprowadzają audytorzy wewnętrzni lub zewnętrzni. Istnieją specyficzne odmiany audytu, które mają na celu dokładne zbadanie konkretnej kwestii. Przykładem tego są testy penetracyjne, które mają na celu próbę włamania się do systemów informatycznych w taki sposób, w jaki przeprowadzają to „hakerzy”. Określenie celu audytu Niezależnie od powodu, dla którego przeprowadzamy audyt, aby dał on pożądany efekt, należy stosować się do kilku podstawowych zasad. Przed rozpoczęciem jakichkolwiek prac, musimy sobie zdefiniować cel audytu. Najogólniej mówiąc, audyty mają na celu weryfikację prawidłowości działania systemu i poszczególnych jego elementów. Cel determinuje nam podejście i zakres audytu. W przypadku wystąpienia naruszenia bezpieczeństwa, audyt będzie skierowany na ten obszar, w którym wystąpiło naruszenie. Jeżeli chcemy ubiegać się o certyfikat zgodności z normą (np. BS 779911), celem audytu jest przekrojowa analiza bezpieczeństwa we wszystkich obszarach. W pierwszym przypadku audyt powinien być wąski w swym zakresie, ale bardzo szczegó- www.boston-review.com łowy. Natomiast w drugim przypadku – przekrojowy, ale na wyższym poziomie ogólności. Dodatkowo audyt powinien wskazywać poziom ryzyka związanego z wykrytymi lukami i nieprawidłowościami. Przygotowanie do audytu Zazwyczaj menedżerowie mają świadomość co do większości braków w zakresie bezpieczeństwa w swojej firmie. Zdarza się jednak, że popełniają oni kardynalny błąd i przez dłuższy czas nie podejmują żadnych działań w celu uzdrowienia sytuacji. Jeżeli niski stan bezpieczeństwa utrzymuje się w firmie przez jakiś czas, audyt staje się niezbędny. Jednak przed przystąpieniem do niego warto usprawnić te obszary, o których wiadomo, że mogą zawierać duże braki. Można uzgodnić z audytorem, że obszary, w których sami zidentyfikowaliśmy problemy, nie będą przedmiotem prac. Przed przystąpieniem do audytu warto zinwentaryzować i zweryfikować posiadane procedury. Określenie zakresu audytu Przystępując do audytu, musimy odpowiedzieć sobie na pytanie, czy ma on dotyczyć miękkich kwestii bezpieczeństwa (organizacji, pro- 11 BOSTON Tendencje cesów, mechanizmów kontrolnych), twardych kwestii (konfiguracji systemów, ustawień), czy też obu naraz. Odpowiedź na to pytanie pomoże nam określić, jakiego dostawcy usług potrzebujemy. Są firmy, które specjalizują się w technicznych audytach bezpieczeństwa i idealnie będą nadawały się do audytu twardych kwestii. Firmy te mogą jednak nie mieć odpowiedniego doświadczenia w zakresie audytu organizacji, procesów i mechanizmów bezpieczeństwa. Dla tego wybór audytora powinien zależeć przede wszystkim od tych właśnie oczekiwań. Analiza ryzyka Przed przystąpieniem do audytu należy przeprowadzić analizę ryzyka. Jej celem jest określenie obszarów bezpieczeństwa szczególnie istotnych dla danego przedsiębiorstwa. Prace audytorskie w tych obszarach powinny być bardziej szczegółowe. Obszary, w których ryzyko jest największe, zależą m.in. od branży, w jakiej dane przedsiębiorstwo działa. Na przykład w bankowości najbardziej zagrożone są poufność i integralność informacji. Nie jest tu tak ważna dostępność informa- W momencie jego przeprowadzania stan ten może być zadowalający, jednakże z czasem (np. w wyniku zmian w środowisku informatycznym) mogą wystąpić luki zwiększające ryzyko naruszenia bezpieczeństwa. Ryzyko kontroli zwiększa także zlecenie audytu firmie, która nie posiada odpowiednich kwalifikacji w tym zakresie. Wybierając audytora, należy zwrócić uwagę zarówno na jego renomę, jak i na doświadczenie oraz umiejętności konkretnych osób, które będą przeprowadzać audyt. Innym czynnikiem zwiększającym ryzyko kontroli jest przekazanie audytorowi niekompletnych lub nieprawidłowych informacji. Należy pamiętać, że nie jest on w stanie sprawdzić wszystkich mechanizmów kontrolnych i wszystkich ustawień konfiguracyjnych. Nawet gdyby mógł taki szczegółowy audyt przeprowadzić, jego koszt byłby nieproporcjonalny w stosunku do odniesionych korzyści. Audyt jest sztuką kompromisu pomiędzy zakresem i szczegółowością przeprowadzanych testów, kosztów, czasu trwania audytu oraz szacowanego ryzyka. Często wewnątrz organizacji istnieje przekonanie, że sytuacja bezpieczeństwa informacji jest pod kontrolą. Jednak bez uporządkowanego systemu zarządzania bezpieczeństwem i systematycznych audytów istnieje bardzo duże ryzyko pojawienia się luk. Poza tym audyt może okazać się pomocny również z tego względu, że wprowadza on niezbędne usystematyzowanie kwestii bezpieczeństwa informacji w firmie. cji. Inaczej jest w przypadku firmy działającej w Internecie - tu brak dostępu do usług może spowodować ogromne straty. Przed przeprowadzeniem audytu, należy też przeanalizować kwestię ryzyka kontroli. Ryzyko to dotyczy zaistnienia sytuacji, w której istotne kwestie bezpieczeństwa nie zostaną wykryte w trakcie audytu. Przyczyny tego mogą być różne. Należy wyraźnie podkreślić, że audyt jest weryfikacją pewnego stanu w czasie. 12 Określenie kryterium pomiaru Istotną kwestią jest określenie kryterium, według którego będziemy dokonywać pomiaru. Bardzo popularne w Polsce i na Zachodzie jest przeprowadzanie audytu według różnego rodzaju norm i standardów (np. wspomniana wcześniej BS 7799). Zaletą takiego podejścia jest standaryzacja wymagań bezpieczeństwa i porównywalność wyników między różnymi firmami. Rzadko zdarza się, że przedsiębiorstwa przeprowadzają audyt według wymagań bezpieczeństwa określonych w Politykach Bezpieczeństwa. Wynika to z faktu, że niewiele przedsiębiorstw ma dobrze zdefiniowane wymagania bezpieczeństwa. Przeprowadzenie audytu Świadomość menedżerów o tym, jak bardzo istotne jest dla firmy bezpieczeństwo informacji i dbałość o jego należyty poziom, stanowi ochronę tego kluczowego zasobu przedsiębiorstwa. Nie można zlecić audytorowi prac i czekać na wyniki końcowe Zazwyczaj menedżerowie mają świadomość co do większości braków w zakresie bezpieczeństwa w swojej firmie. Zdarza się jednak, że popełniają oni kardynalny błąd i przez dłuższy czas nie podejmują żadnych działań w celu uzdrowienia sytuacji. Jeżeli niski stan bezpieczeństwa utrzymuje się w firmie przez jakiś czas, audyt staje się niezbędny. Często firmy polegają na audytorze i jego doświadczeniu. W takiej sytuacji audyt przeprowadza się zgodnie z dobrymi praktykami, czyli doświadczeniami audytora zdobytymi podczas realizacji innych projektów. Wadą tego podejścia jest jednak jego duży subiektywizm. Tym bardziej istotne jest tu bogate doświadczenie. Wybór audytora W ostatnich latach, w Polsce i za granicą, widoczny jest bardzo wyraźny trend odchodzenia od audytów bezpieczeństwa realizowanych przez międzynarodowe korporacje. Lokalne firmy posiadają już odpowiednie kompetencje i równie duże doświadczenie. W wielu sytuacjach różnica w kosztach audytu realizowanego przez międzynarodowe korporacje w żaden sposób nie przekłada się na różnicę w doświadczeniu osób, które realizują audyt. Warto sprawdzić ich wiedzę i profesjonalizm przez analizę posiadanych certyfikatów i doświadczenia w podobnych projektach dla firm z danej branży. Uznanymi certyfikatami, które powinien posiadać dobry audytor, są: CISA, CISSP, CIA. Dużą rolę przy wyborze audytora powinna odgrywać także jego niezależność od osób i firm, które wdrażają systemy zarządzania bezpieczeństwem w danym przedsiębiorstwie. W żadnym wypadku audytor nie może audytować tego, co sam zrealizował. www.boston-review.com bez stałego zaangażowania w działania i bez monitorowania ich. Należy poprosić audytora o regularne raportowanie istotnych kwestii do kadry zarządzającej tak, by można było podjąć odpowiednie działania zapobiegawcze. Warto pamiętać, że audytorzy nie powinni mieć wysokich uprawnień do ingerowania w system. Czasami dostęp taki jest potrzebny, ale powinien on być ściśle kontrolowany. Wyniki Wyniki audytu powinny mieć nadane odpowiednie priorytety, gdyż ułatwi to zaplanowanie dalszych działań. Dobry audytor w ramach swoich prac jest w stanie zaproponować taki plan wraz z określeniem ich harmonogramu i niezbędnych zasobów, a także szacowanych kosztów. Trzeba pamiętać, że audyt nie jest jednorazowym przedsięwzięciem. W zależności od poziomu ryzyka, należy go okresowo powtarzać, w przypadkach wysokiego ryzyka co najmniej raz na kwartał, gdy to ryzyko jest mniejsze - przynajmniej raz w roku. ◆ 1 W oparciu o BS7799 została opracowana norma ISO 27001 (dawniej ISO 17799). Nr 1/2007 (2)