Komu potrzebny jest audyt bezpieczeństwa?

Komu potrzebny jest audyt bezpieczeństwa?

BOSTON
Tendencje
Komu potrzebny
jest audyt
bezpieczeństwa?
Zgromadzone informacje to najcenniejszy z zasobów przedsiębiorstwa. Nikogo nie trzeba już chyba
przekonywać, jak wielkie znaczenie dla funkcjonowania firmy mają takie elementy jak: znane
powszechnie know-how (umiejętności, doświadczenie), know-what (wiedza o faktach, analizy), knowwho (wiedza o tym, kto posiada umiejętności w określonej dziedzinie, z kim współpracować) czy też
know-why (wiedza o zasadach, regułach). Także kompleksowa ochrona tych informacji ma ogromny
wpływ na pozycję przedsiębiorstwa na rynku i stanowi o jego przewadze konkurencyjnej. Dlatego też
bardzo ważne jest przeprowadzanie regularnych audytów bezpieczeństwa informacji.
B
adanie z 2006 roku wskazuje, że w 52 proc. z ponad 600
przebadanych firm miało miejsce naruszenie bezpieczeństwa systemów komputerowych. Wśród dużych
firm odsetek ten jest jeszcze wyższy.
Średnio straty spowodowane naruszeniem bezpieczeństwa informacji kosztowały przedsiębiorców w 2005 roku
blisko 170 tys. USD. Natomiast łączna strata respondentów, którzy byli
w stanie je oszacować, to ok. 52,5
mln USD (11 roczne Badanie Przestępstw Komputerowych i Bezpiezczeństwa, CSI/FBI 2006 rok).
Wniosek z tych badań jest jeden.
Nie należy zastanawiać się nad tym,
które firmy powinny przeprowadzać
audyt swoich systemów komputerowych, tylko nad tym, kiedy i jak często.
W 82 proc. organizacji w USA, audyty
bezpieczeństwa przeprowadzane są
przez audytorów wewnętrznych, zaś w
62 proc. - za pomocą firm zewnętrznych. Wynika z tego, że audyt jest
najpopularniejszym sposobem oceny
skuteczności ochrony informacji.
Audyty bezpieczeństwa powinny
być przeprowadzane regularnie. Istnieją jednak sytuacje, gdy audyt ten
jest szczególnie rekomendowany.
10
Sytuacja 1 – po włamaniu
W takiej sytuacji należy sprawdzić,
co było przyczyną naruszenia bezpieczeństwa w firmie i doprowadzić
do wykrycia sprawcy. Z reguły przeprowadza się wtedy wnikliwy audyt
systemu, w którym zidentyfikowano włamanie. Trzeba szczegółowo
przeanalizować wszystkie logi i inne
ślady, które mogą wskazać źródło
naruszenia, i zabezpieczyć dowody.
Wynikiem takiego audytu – oprócz
wskazania sprawcy – powinien być
szczegółowy plan usunięcia luk
w zabezpieczeniach oraz zapewnienie ochrony przed podobnymi sytuacjami w przyszłości.
Sytuacja 2 – nowa
osoba odpowiedzialna
za bezpieczeństwo
Audyt często przeprowadza nowo
zatrudniana osoba, która będzie odpowiedzialna za kwestie bezpieczeństwa w przedsiębiorstwie. Daje jej to
obraz sytuacji, w jakiej znajduje się
przedsiębiorstwo pod względem bezpieczeństwa informacji. Jest to swego rodzaju bilans otwarcia. Audyt jest
wtedy dobrym punktem odniesienia
do oceny osiągnięć tej osoby za ja-
kiś czas. Powtórzenie audytu w takim
samym zakresie i porównanie go z bilansem otwarcia pokazuje, czy udało
się osiągnąć założone cele.
Sytuacja 3 – certyfikat
bezpieczeństwa
Często audyt realizowany jest w celu uzyskania któregoś z certyfikatów poświadczających odpowiedni
poziom bezpieczeństwa przetwarzanych informacji. W ostatnim czasie
firmy najczęściej starają się o certyfikat zgodny z normą BS 7799 (określający spójny zbiór wytycznych składających się na system zarządzania
bezpieczeństwem informacji).
W celu uzyskania takiego certyfikatu z reguły należy przeprowadzić kilka
audytów. Pierwszy, zwany zerowym,
przeprowadza się, aby zidentyfikować
obszary, które nie spełniają wymagań
normy. Wyniki tego audytu służą do
opracowania planu poprawy. W momencie, gdy firma uzna, że jest gotowa do certyfikacji, licencjonowana
firma przeprowadzi drugi audyt – certyfikacyjny. Jeżeli audytor nie stwierdzi
nieprawidłowości, firmie przyznawany
jest certyfikat. W celu utrzymania certyfikatu niezbędne są okresowe audy-
www.boston-review.com
ty. Mają one na celu sprawdzenie, czy
firma w dalszym ciągu spełnia wymagania normy.
Sytuacja 4 – wdrożenie
nowego oprogramowania
W sytuacji wdrożenia nowego oprogramowania istnieje kilka przesłanek do przeprowadzenia audytu.
Pierwszą z nich jest sprawdzenie,
czy wdrożony system spełnia wymagania bezpieczeństwa przedsiębiorstwa oraz czy został prawidłowo
skonfigurowany i wdrożony. W związku z tym, że obecnie cykl tworzenia
oprogramowania jest coraz krótszy,
firmy coraz częściej zlecają też audyt oprogramowania. Ma on na celu
sprawdzenie, czy w oprogramowaniu
nie ma istotnych błędów, które mogą wpływać na dostępność systemu
i prawidłowość przetwarzania danych
przez oprogramowanie. Taki audyt
pozwala również wykryć ewentualne
luki mogące umożliwiać włamanie do
systemu.
Sytuacja 5 – połączenie firm
W sytuacji, gdy dochodzi do przejęcia jednej firmy przez inną, audyt
przedsiębiorstwa
przejmowanego
Nr 1/2007 (2)
BOSTON
Tendencje
jest wręcz nieodzowny. Firma, która
przeznacza kapitał na zakup, powinna minimalizować ryzyko, że inwestycja okaże się nietrafiona. Taki audyt
– zwany due dilligence – obejmuje
również kwestie IT i bezpieczeństwa.
Ma on na celu oszacowanie ryzyka
związanego z przejęciem tego przedsiębiorstwa. Dzięki takiemu audytowi
nabywca przedsiębiorstwa zdobywa
dodatkową wiedzę, która na pewno
będzie nieocenioną pomocą przy podejmowaniu decyzji o inwestycji.
MARIUSZ PAWŁOWSKI
Jest partnerem zarządzającym
w firmie Optima Partners,
świadczącej profesjonalne usługi doradcze. Zdobył bogate doświadczenie w zakresie opracowywania i wdrażania systemów
zarządzania bezpieczeństwem
informacji. Posiada certyfikaty: CISA, CISSP, CIA i SSP. Współpracuje z IsecMan.
Sytuacja 6 – wymóg prawa
Są sytuacje, w których audyty bezpieczeństwa są pośrednio lub bezpośrednio wynikiem wymagań prawnych. Najlepszym przykładem tego
jest ustawa Sarbanes-Oxley (SOX),
wprowadzona w życie w 2002 roku
w USA po serii bankructw firm notowanych na giełdach. Ustawa ta nakłada obowiązek wdrożenia, utrzymania
i regularnej weryfikacji wewnętrznego systemu kontroli, którego istotnym
elementem jest system zarządzania
bezpieczeństwem. Dotkliwe kary za
zaniedbanie tego obowiązku spowodowały, że w ciągu ostatnich czterech
lat nastąpił bardzo istotny wzrost zainteresowania usługami audytorskimi
świadczonymi zarówno przez duże,
jak i mniejsze firmy doradcze. Zanim
ta ustawa weszła w życie w przedsiębiorstwie pracował z reguły tylko
jeden audytor, który badał sprawozdania finansowe. Od 2002 roku dla
jednej firmy pracuje równocześnie po
kilka firm audytorskich i doradczych.
Co to jest audyt
bezpieczeństwa?
Jest to przekrojowa analiza przedsiębiorstwa pod kątem bezpieczeństwa.
Obejmuje zarówno kwestie organizacyjno-procesowe, jak i kwestie techniczne (np. konfigurację bezpieczeństwa, bezpieczeństwo fizyczne).
Nie należy zastanawiać się nad tym, które firmy
powinny przeprowadzać audyt swoich systemów
komputerowych, tylko nad tym, kiedy i jak często
taki audyt przeprowadzać.
Jedna z nich jest głównym audytorem,
który bada sprawozdania finansowe
i zgodność systemu kontroli wewnętrznej z SOX. Pozostali pomagają firmie
spełniać wymagania ustawy.
W Polsce nie ma ustawy, która
nakazywałaby przeprowadzanie regularnych audytów bezpieczeństwa.
Są natomiast organy państwowe (np.
GIODO, GINB), które w ramach szerszych monitoringów przeprowadzają
też audyty bezpieczeństwa. Od kilku
lat elementy tego typu działań są
częścią badania sprawozdań finansowych przedsiębiorstw.
Nr 1/2007 (2)
Kwestie bezpieczeństwa są inaczej
postrzegane wewnątrz organizacji,
a inaczej przez audytorów z zewnątrz.
Często wewnątrz organizacji istnieje
przekonanie, że sytuacja bezpieczeństwa informacji jest pod kontrolą.
Jednak bez uporządkowanego systemu zarządzania bezpieczeństwem
i systematycznych audytów istnieje
bardzo duże ryzyko pojawienia się
luk. Poza tym audyt może okazać się
pomocny również z tego względu, że
wprowadza on niezbędne usystematyzowanie kwestii bezpieczeństwa informacji w firmie.
Audyty z reguły przeprowadzają
audytorzy wewnętrzni lub zewnętrzni.
Istnieją specyficzne odmiany audytu,
które mają na celu dokładne zbadanie
konkretnej kwestii. Przykładem tego
są testy penetracyjne, które mają na
celu próbę włamania się do systemów
informatycznych w taki sposób, w jaki
przeprowadzają to „hakerzy”.
Określenie celu audytu
Niezależnie od powodu, dla którego
przeprowadzamy audyt, aby dał on
pożądany efekt, należy stosować się
do kilku podstawowych zasad.
Przed rozpoczęciem jakichkolwiek
prac, musimy sobie zdefiniować cel
audytu. Najogólniej mówiąc, audyty
mają na celu weryfikację prawidłowości działania systemu i poszczególnych jego elementów. Cel determinuje nam podejście i zakres
audytu. W przypadku wystąpienia
naruszenia bezpieczeństwa, audyt
będzie skierowany na ten obszar,
w którym wystąpiło naruszenie.
Jeżeli chcemy ubiegać się o certyfikat zgodności z normą (np. BS
779911), celem audytu jest przekrojowa analiza bezpieczeństwa we
wszystkich obszarach. W pierwszym
przypadku audyt powinien być wąski
w swym zakresie, ale bardzo szczegó-
www.boston-review.com
łowy. Natomiast w drugim przypadku
– przekrojowy, ale na wyższym poziomie ogólności.
Dodatkowo audyt powinien wskazywać poziom ryzyka związanego z wykrytymi lukami i nieprawidłowościami.
Przygotowanie do audytu
Zazwyczaj menedżerowie mają świadomość co do większości braków
w zakresie bezpieczeństwa w swojej
firmie. Zdarza się jednak, że popełniają oni kardynalny błąd i przez dłuższy czas nie podejmują żadnych działań w celu uzdrowienia sytuacji.
Jeżeli niski stan bezpieczeństwa
utrzymuje się w firmie przez jakiś
czas, audyt staje się niezbędny. Jednak przed przystąpieniem do niego
warto usprawnić te obszary, o których
wiadomo, że mogą zawierać duże
braki. Można uzgodnić z audytorem,
że obszary, w których sami zidentyfikowaliśmy problemy, nie będą przedmiotem prac. Przed przystąpieniem
do audytu warto zinwentaryzować
i zweryfikować posiadane procedury.
Określenie zakresu audytu
Przystępując do audytu, musimy
odpowiedzieć sobie na pytanie, czy
ma on dotyczyć miękkich kwestii
bezpieczeństwa (organizacji, pro-
11
BOSTON
Tendencje
cesów, mechanizmów kontrolnych),
twardych kwestii (konfiguracji systemów, ustawień), czy też obu naraz.
Odpowiedź na to pytanie pomoże
nam określić, jakiego dostawcy
usług potrzebujemy. Są firmy, które
specjalizują się w technicznych audytach bezpieczeństwa i idealnie będą nadawały się do audytu twardych
kwestii. Firmy te mogą jednak nie
mieć odpowiedniego doświadczenia w zakresie audytu organizacji,
procesów i mechanizmów bezpieczeństwa. Dla tego wybór audytora
powinien zależeć przede wszystkim
od tych właśnie oczekiwań.
Analiza ryzyka
Przed przystąpieniem do audytu należy przeprowadzić analizę ryzyka.
Jej celem jest określenie obszarów
bezpieczeństwa szczególnie istotnych dla danego przedsiębiorstwa.
Prace audytorskie w tych obszarach
powinny być bardziej szczegółowe.
Obszary, w których ryzyko jest największe, zależą m.in. od branży,
w jakiej dane przedsiębiorstwo
działa. Na przykład w bankowości
najbardziej zagrożone są poufność
i integralność informacji. Nie jest
tu tak ważna dostępność informa-
W momencie jego przeprowadzania
stan ten może być zadowalający,
jednakże z czasem (np. w wyniku
zmian w środowisku informatycznym) mogą wystąpić luki zwiększające ryzyko naruszenia bezpieczeństwa.
Ryzyko kontroli zwiększa także
zlecenie audytu firmie, która nie
posiada odpowiednich kwalifikacji
w tym zakresie. Wybierając audytora, należy zwrócić uwagę zarówno
na jego renomę, jak i na doświadczenie oraz umiejętności konkretnych osób, które będą przeprowadzać audyt.
Innym czynnikiem zwiększającym ryzyko kontroli jest przekazanie audytorowi niekompletnych lub
nieprawidłowych informacji. Należy
pamiętać, że nie jest on w stanie
sprawdzić wszystkich mechanizmów
kontrolnych i wszystkich ustawień
konfiguracyjnych. Nawet gdyby mógł
taki szczegółowy audyt przeprowadzić, jego koszt byłby nieproporcjonalny w stosunku do odniesionych
korzyści. Audyt jest sztuką kompromisu pomiędzy zakresem i szczegółowością przeprowadzanych testów,
kosztów, czasu trwania audytu oraz
szacowanego ryzyka.
Często wewnątrz organizacji istnieje
przekonanie, że sytuacja bezpieczeństwa
informacji jest pod kontrolą. Jednak bez
uporządkowanego systemu zarządzania
bezpieczeństwem i systematycznych audytów
istnieje bardzo duże ryzyko pojawienia się luk.
Poza tym audyt może okazać się pomocny
również z tego względu, że wprowadza on
niezbędne usystematyzowanie kwestii
bezpieczeństwa informacji w firmie.
cji. Inaczej jest w przypadku firmy
działającej w Internecie - tu brak dostępu do usług może spowodować
ogromne straty.
Przed przeprowadzeniem audytu,
należy też przeanalizować kwestię
ryzyka kontroli. Ryzyko to dotyczy
zaistnienia sytuacji, w której istotne
kwestie bezpieczeństwa nie zostaną
wykryte w trakcie audytu. Przyczyny
tego mogą być różne. Należy wyraźnie podkreślić, że audyt jest weryfikacją pewnego stanu w czasie.
12
Określenie
kryterium pomiaru
Istotną kwestią jest określenie kryterium, według którego będziemy
dokonywać pomiaru.
Bardzo popularne w Polsce i na
Zachodzie jest przeprowadzanie audytu według różnego rodzaju norm
i standardów (np. wspomniana wcześniej BS 7799). Zaletą takiego podejścia jest standaryzacja wymagań
bezpieczeństwa i porównywalność
wyników między różnymi firmami.
Rzadko zdarza się, że przedsiębiorstwa przeprowadzają audyt
według wymagań bezpieczeństwa
określonych w Politykach Bezpieczeństwa. Wynika to z faktu, że niewiele przedsiębiorstw ma dobrze
zdefiniowane wymagania bezpieczeństwa.
Przeprowadzenie audytu
Świadomość menedżerów o tym, jak
bardzo istotne jest dla firmy bezpieczeństwo informacji i dbałość o jego
należyty poziom, stanowi ochronę
tego kluczowego zasobu przedsiębiorstwa. Nie można zlecić audytorowi prac i czekać na wyniki końcowe
Zazwyczaj menedżerowie mają świadomość co
do większości braków w zakresie bezpieczeństwa
w swojej firmie. Zdarza się jednak, że popełniają
oni kardynalny błąd i przez dłuższy czas nie
podejmują żadnych działań w celu uzdrowienia
sytuacji. Jeżeli niski stan bezpieczeństwa
utrzymuje się w firmie przez jakiś czas, audyt staje
się niezbędny.
Często firmy polegają na audytorze
i jego doświadczeniu. W takiej sytuacji audyt przeprowadza się zgodnie z dobrymi praktykami, czyli doświadczeniami audytora zdobytymi
podczas realizacji innych projektów.
Wadą tego podejścia jest jednak jego duży subiektywizm. Tym bardziej
istotne jest tu bogate doświadczenie.
Wybór audytora
W ostatnich latach, w Polsce i za
granicą, widoczny jest bardzo wyraźny trend odchodzenia od audytów
bezpieczeństwa realizowanych przez
międzynarodowe korporacje. Lokalne firmy posiadają już odpowiednie
kompetencje i równie duże doświadczenie. W wielu sytuacjach różnica
w kosztach audytu realizowanego
przez międzynarodowe korporacje
w żaden sposób nie przekłada się na
różnicę w doświadczeniu osób, które realizują audyt. Warto sprawdzić
ich wiedzę i profesjonalizm przez
analizę posiadanych certyfikatów
i doświadczenia w podobnych projektach dla firm z danej branży.
Uznanymi certyfikatami, które powinien posiadać dobry audytor, są:
CISA, CISSP, CIA.
Dużą rolę przy wyborze audytora
powinna odgrywać także jego niezależność od osób i firm, które wdrażają systemy zarządzania bezpieczeństwem w danym przedsiębiorstwie.
W żadnym wypadku audytor nie
może audytować tego, co sam zrealizował.
www.boston-review.com
bez stałego zaangażowania w działania i bez monitorowania ich. Należy poprosić audytora o regularne
raportowanie istotnych kwestii do
kadry zarządzającej tak, by można
było podjąć odpowiednie działania
zapobiegawcze. Warto pamiętać, że
audytorzy nie powinni mieć wysokich
uprawnień do ingerowania w system.
Czasami dostęp taki jest potrzebny,
ale powinien on być ściśle kontrolowany.
Wyniki
Wyniki audytu powinny mieć nadane
odpowiednie priorytety, gdyż ułatwi
to zaplanowanie dalszych działań.
Dobry audytor w ramach swoich prac
jest w stanie zaproponować taki plan
wraz z określeniem ich harmonogramu i niezbędnych zasobów, a także
szacowanych kosztów.
Trzeba pamiętać, że audyt nie jest
jednorazowym
przedsięwzięciem.
W zależności od poziomu ryzyka,
należy go okresowo powtarzać,
w przypadkach wysokiego ryzyka co
najmniej raz na kwartał, gdy to ryzyko jest mniejsze - przynajmniej raz
w roku. ◆
1
W oparciu o BS7799 została opracowana
norma ISO 27001 (dawniej ISO 17799).
Nr 1/2007 (2)