Audit ako zrkadlo bezpečnosti
DANIEL CHROMEK, ČLÁNOK UVEREJNENÝ V ČASOPISE INFOWARE, MAREC 2011
Audit bezpečnosti je chápaný ako preverenie existujúceho stavu bezpečnosti v organizácii, ktoré odráža existujúce, pre organizáciu známe, skryté alebo nepoznané problémy v oblasti bezpečnosti. Toto zrkadlo slúži ako podnet a návrh pre vrcholový manažment, manažérov bezpečnosti, IT manažérov ako aj vedúcich ďalších oddelení na odstránenie zistených problémov a prijatie krokov k zlepšeniu stavu bezpečnosti v organizácii.
Motivácia
Motivácia organizácie vykonať audit bezpečnosti môže byť rôzna:
- Preverenie plnenia legislatívnych požiadaviek
- Preverenie plnenia požiadaviek noriem
- Snaha zistiť reálny stav bezpečnosti a potrebu implementácie opatrení
- Snaha preveriť efektívnosť aplikovaných opatrení
V prvých dvoch prípadoch je rozsah a cieľ auditu definovaný legislatívou alebo príslušnou normou a je teda zrejmý. Ďalej sa preto zameriame na vykonanie auditu bezpečnosti vychádzajúceho z potrieb samotnej organizácie.
Pre audítora je veľmi dôležité poznať motiváciu organizácie pre vykonanie auditu, pretože motivácia by mala byť premietnutá do cieľov auditu, ktoré musí dodávateľ splniť. Je potrebné vedieť, čo ako výstup auditu očakáva vrcholový manažment a čo očakávajú jednotliví kľúčoví zamestnanci.
Z pohľadu vrcholného manažmentu je potrebné vedieť, aký je skutočný stav bezpečnosti v jednotlivých častiach organizácie, z pohľadu manažéra je potrebné poznať hlavne stav bezpečnosti v oblasti jeho pôsobnosti a z pohľadu administrátora zase, kde konkrétne boli zistené problémy a nedostatky a čo je s nimi potrebné urobiť. Všetky tieto pohľady je nutné zahrnúť do poznania motivácie organizácie vykonať audit.
Definovanie cieľov
Schopnosť organizácie definovať svoje ciele, resp. premietnuť svoju motiváciu do cieľov je kľúčová pre úspech auditu. V mnohých prípadoch nie je cieľ auditu definovaný samotnou organizáciou vôbec alebo je cieľ zamieňaný s prvotnou motiváciou - t.j. „chceme vedieť, ako na tom sme“. Motiváciu je potrebné „rozmeniť na drobné“, aby bolo možné zadefinovať konkrétne ciele auditu tak, aby realizovaný audit efektívne pokryl očakávania všetkých zainteresovaných častí organizácie.
Pri definovaní cieľov auditu je preto žiaduce zamyslieť sa aj nad nasledovnými otázkami:
- V ktorých oblastiach bezpečnosti má organizácia problémy a ktoré oblasti nie sú pokryté bezpečnostnými opatreniami vôbec?
- Ktoré aplikované procesné, personálne a technické opatrenia je potrebné skontrolovať a ako detailná by mala byť kontrola?
- Existuje štandard voči ktorému je možné kontrolovať celkový stav bezpečnosti alebo niektorého opatrenia? Očakáva sa, že dodávateľ stanoví štandard?
- Aké kontroly nie sú akceptovateľné z pohľadu kultúry organizácie?
- Ako má vyzerať výstup z auditu, tak aby bol použiteľný pre organizáciu?
- Pre koho je výstup z auditu určený a kedy má byť výstup k dispozícii?
Zodpovedanie týchto otázok dá odpoveď na to, čo konkrétne chce organizácia preveriť auditom a v akom detaile.
Výber partnera
Definovanie cieľov auditu dáva návod na výber partnera pre vykonanie auditu. Partner, ktorý vykoná bezpečnostný audit, by mal organizácii preukázať svoju kompetenciu pre naplnenie cieľov auditu:
- Preukázaním odbornosti auditného tímu napr. tým, že jeho členovia sú držiteľmi certifikátu audítora (napr. CISA)
- Preukázaním úspešne vykonaných projektov s rovnakými alebo podobnými cieľmi v organizáciách podobnej veľkosti a obchodného zamerania
Pre výber partnera je vhodné zadefinovať primerané kritériá výberového konania, ktoré vychádzajú z vopred zadefinovaných cieľov bezpečnostného auditu. Pri výbere partnera je však potrebné zvážiť aj ďalšie otázky, ako napr.:
- Vyžaduje auditná politika organizácie rotáciu auditných partnerov?
- Vzťahuje sa audit len na jednu lokalitu alebo na viacero lokalít, prípadne vo viacerých štátoch?
- Aké zdroje je potrebné v projekte použiť, aby audit skončil v definovanom čase pri zachovaní uvažovaného rozsahu?
Ďalšie podmienky úspechu
Vyhodnotením výberového konania sa audit len začína. Na úspešné ukončenie projektu je potrebná hlavne spolupráca oboch strán. Je vhodné pred realizáciou auditu spraviť v organizácii osvetu (ideálne smerom od manažmentu organizácie), aby dotknutí zamestnanci nevnímali audit ako nástroj na hľadanie chýb v ich práci a následnú perzekúciu, ale ako nástroj, ktorý má pomôcť zlepšiť stav informačnej bezpečnosti v organizácii. Pokiaľ má byť audit informačnej bezpečnosti zrkadlom súčasného stavu, nemá zmysel, ak sa jednotliví zamestnanci snažia nedostatky skrývať alebo „vylepšovať“.
Záver
Bezpečnostný audit je zrkadlo odrážajúce stav bezpečnosti v organizácií. Čo všetko toto zrkadlo nakoniec zobrazí a či bude odraz čistý alebo zahmlený závisí tak od organizácie, ktorá si audit objednala, ako aj od kvality partnera, ktorý audit vykonal.