Zaufanie a kontrola
„Zaufanie jest dobre, ale kontrola lepsza” lub też „kontrola najwyższą formą zaufania” – te sięgające czasów PRL-u powiedzenia dzisiaj najczęściej wypowiadane są w formie żartobliwej. Skłaniają one jednak do pewnej refleksji. Czy w sytuacji, gdy od jakości procedur zależy ciągłość i bezpieczeństwo biznesu wystarczy nam ufność, że wszystkie osoby pracujące w naszej organizacji wykonują swoje obowiązki możliwie najlepiej? Czy może jednak audyty są nieodzownym elementem procesu poprawy jakości?
Spostrzeganie audytu przez pryzmat kontroli i wystawianego na próbę zaufania może budzić pewne niepotrzebne emocje. Warto zatem traktować audyty nie jako mechanizmy kontrolne, a narzędzia usprawniania i podnoszenia jakości. Taki właśnie charakter przypisuje się działaniom audytowym m.in. w systemach zarządzania jakością wg norm ISO. Audyty definiowane są w nich jako powtarzalny proces wchodzący w skład cyklu Deminga ( planuj -> wdrażaj – > sprawdzaj -> udoskonalaj ). I tak też warto go traktować w organizacji – jako okazję do identyfikacji słabych punktów i ich usprawnienia, zanim staną się one powodem większych problemów.
Co audytujemy?
W zależności od obszaru, który chcemy poddać kontroli do wyboru mamy kilka typów audytów związanych ze środowiskiem informatycznym i bezpieczeństwem danych. Najważniejsze z nich opisane zostały w poniższych artykułach:
- Audyt informatyczny (IT/ICT)
- Audyt bezpieczeństwa informacji
- Testy penetracyjne
- Testy socjotechniczne
- Audyt danych osobowych
Komu zlecać audyty?
W artykule pt. „Audyt bezpieczeństwa informacji – poddaj próbie swoje zabezpieczenia” przywołałem kilka przepisów prawa i norm, z których wynika konieczność cyklicznego wykonywania audytów. W tych samych przepisach zdefiniowane zostały zalecane kompetencje osób, którym audyty powinny być powierzane. I tak np. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych wymienia następujące tytuły:
- Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC 27001 lub jej odpowiednika międzynarodowego.
- Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC 20000 lub jej odpowiednika międzynarodowego.
- Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego.
- Certified Information System Auditor (CISA).
- Certified in the Governance of Enterprise IT (CGEIT).
- Certified Internal Auditor (CIA).
- Certified Information Systems Security Professional (CISSP).
- Europejski Certyfikat Umiejętności Zawodowych Informatyka – EUCIP Professional specjalizacja Audytor Systemów Informacyjnych.
- Systems Security Certified Practitioner (SSCP)
Rekomendacja „D” Komisji Nadzoru Finansowego również wskazuje, iż:
Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje.
Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.:
- Standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association),
- COBIT (Control Objectives for Information and related Technology),
- GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk),
- normy ISO (International Organization for Standardization).
Wybierając wykonawcę prac audytowych warto zatem zadbać o weryfikację jego kompetencji. Szczególnie istotną może być też kwestia wiarygodności i wysokiego poziomu etyki zawodowej, o czym wspominałem już w artykule pt. „Testy penetracyjne – wynajmij sobie hackera”. Tam też wspomniałem przyznawany przez EC-Council certyfikat CEH (Certified Ethical Hacker), który oprócz kompetencji technicznych potwierdza wysoki poziom poufności i etyki ze strony audytora.
Jak często?
Przyjęło się, że w większości przypadków rozsądnym i wystarczającym wydaje się okres 1 roku. Pozwala on na wdrożenie odpowiednich działań naprawczych i nie powoduje nadmiernego obciążania pracowników działaniami audytowymi. Wyjątek stanowią sytuacje, w których w naszym środowisku dochodzi do dużych zmian. Zmiany te mogą być podyktowane rozwojem organizacji, wdrożeniem nowych procesów biznesowych lub wprowadzeniem nowych technologii. W takiej sytuacji wykonanie audytów zaleca się bezpośrednio po przeprowadzeniu zmian w celu możliwie sprawnego zidentyfikowania nowych zagrożeń.
Raport z audytu
Raport będący efektem prac audytowych powinien nam dostarczyć szczegółowych informacji na temat znalezionych nieprawidłowości mogących prowadzić do naruszenia bezpieczeństwa danych lub ciągłości działania organizacji. Bardzo przydatnym jest, aby w raporcie oprócz wskazania samych problemów pojawiły się wskazówki dotyczące sposobu ich rozwiązania. Przedstawione w raporcie zagrożenia powinny być opatrzone komentarzem ułatwiającym zleceniodawcy ocenę poziomu ich krytyczności. Idealną jest sytuacja, w której audytor pokusi się o swego rodzaju analizę BIA (wpływu zagrożenia na procesy biznesowe) lub analizę ryzyka. Dzięki temu wiadomo będzie, które ryzyka należy zminimalizować w pierwszej kolejności.
Plan postępowania
Odpowiedzią na wskazane w raporcie zagrożenia powinno być podjęcie decyzji o wdrożeniu odpowiednich zabezpieczeń. W normach ISO mowa jest o tzw. „planach postępowania z ryzykiem”. Plany te powinny stanowić udokumentowany harmonogram prac, w którym wskazuje się kto, do kiedy i jakie działania musi podjąć aby zidentyfikowane zagrożenie zostało wyeliminowane.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.