audyty

Audyty jako narzędzia ochrony biznesu

Zaufanie a kontrola

„Zaufanie jest dobre, ale kontrola lepsza” lub też „kontrola najwyższą formą zaufania” – te sięgające czasów PRL-u powiedzenia dzisiaj najczęściej wypowiadane są w formie żartobliwej. Skłaniają one jednak do pewnej refleksji. Czy w sytuacji, gdy od jakości procedur zależy ciągłość i bezpieczeństwo biznesu wystarczy nam ufność, że wszystkie osoby pracujące w naszej organizacji wykonują swoje obowiązki możliwie najlepiej? Czy może jednak audyty są nieodzownym elementem procesu poprawy jakości?

Spostrzeganie audytu przez pryzmat kontroli i wystawianego na próbę zaufania może budzić pewne niepotrzebne emocje. Warto zatem traktować audyty nie jako mechanizmy kontrolne, a narzędzia usprawniania i podnoszenia jakości. Taki właśnie charakter przypisuje się działaniom audytowym m.in. w systemach zarządzania jakością wg norm ISO. Audyty definiowane są w nich jako powtarzalny proces wchodzący w skład cyklu Deminga ( planuj -> wdrażaj – > sprawdzaj -> udoskonalaj ). I tak też warto go traktować w organizacji – jako okazję do identyfikacji słabych punktów i ich usprawnienia, zanim staną się one powodem większych problemów.

Co audytujemy?

W zależności od obszaru, który chcemy poddać kontroli do wyboru mamy kilka typów audytów związanych ze środowiskiem informatycznym i bezpieczeństwem danych. Najważniejsze z nich opisane zostały w poniższych artykułach:

Komu zlecać audyty?

W artykule pt. „Audyt bezpieczeństwa informacji – poddaj próbie swoje zabezpieczenia” przywołałem kilka przepisów prawa i norm, z których wynika konieczność cyklicznego wykonywania audytów. W tych samych przepisach zdefiniowane zostały zalecane kompetencje osób, którym audyty powinny być powierzane. I tak np. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych wymienia następujące tytuły:

  • Audytor systemu zarządzania bezpieczeństwem informacji  według normy PN ISO/IEC 27001 lub jej odpowiednika międzynarodowego.
  • Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC 20000 lub jej odpowiednika międzynarodowego.
  • Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego.
  • Certified Information System Auditor (CISA).
  • Certified in the Governance of Enterprise IT (CGEIT).
  • Certified Internal Auditor (CIA).
  • Certified Information Systems Security Professional (CISSP).
  • Europejski Certyfikat Umiejętności Zawodowych Informatyka – EUCIP Professional specjalizacja Audytor Systemów Informacyjnych.
  • Systems Security Certified Practitioner (SSCP)

Rekomendacja „D” Komisji Nadzoru Finansowego również wskazuje, iż:

Osoby odpowiedzialne za  przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje.

Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.:

  • Standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association),
  • COBIT (Control Objectives for Information and related Technology),
  • GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk),
  • normy ISO (International Organization for Standardization).

Wybierając wykonawcę prac audytowych warto zatem zadbać o weryfikację jego kompetencji. Szczególnie istotną może być też kwestia wiarygodności i wysokiego poziomu etyki zawodowej, o czym wspominałem już w artykule pt. „Testy penetracyjne – wynajmij sobie hackera”. Tam też wspomniałem przyznawany przez EC-Council certyfikat CEH (Certified Ethical Hacker), który oprócz kompetencji technicznych potwierdza wysoki poziom poufności i etyki ze strony audytora.

Jak często?

Przyjęło się, że w większości przypadków rozsądnym i wystarczającym wydaje się okres 1 roku. Pozwala on na wdrożenie odpowiednich działań naprawczych i nie powoduje nadmiernego obciążania pracowników działaniami audytowymi. Wyjątek stanowią sytuacje, w których w naszym środowisku dochodzi do dużych zmian. Zmiany te mogą być podyktowane rozwojem organizacji, wdrożeniem nowych procesów biznesowych lub wprowadzeniem nowych technologii. W takiej sytuacji wykonanie audytów zaleca się bezpośrednio po przeprowadzeniu zmian w celu możliwie sprawnego zidentyfikowania nowych zagrożeń.

Raport z audytu

Raport będący efektem prac audytowych powinien nam dostarczyć szczegółowych informacji na temat znalezionych nieprawidłowości mogących prowadzić do naruszenia bezpieczeństwa danych lub ciągłości działania organizacji. Bardzo przydatnym jest, aby w raporcie oprócz wskazania samych problemów pojawiły się wskazówki dotyczące sposobu ich rozwiązania. Przedstawione w raporcie zagrożenia powinny być opatrzone komentarzem ułatwiającym zleceniodawcy ocenę poziomu ich krytyczności. Idealną jest sytuacja, w której audytor pokusi się o swego rodzaju analizę BIA (wpływu zagrożenia na procesy biznesowe) lub analizę ryzyka. Dzięki temu wiadomo będzie, które ryzyka należy zminimalizować w pierwszej kolejności.

Plan postępowania

Odpowiedzią na wskazane w raporcie zagrożenia powinno być podjęcie decyzji o wdrożeniu odpowiednich zabezpieczeń. W normach ISO mowa jest o tzw. „planach postępowania z ryzykiem”. Plany te powinny stanowić udokumentowany harmonogram prac, w którym wskazuje się kto, do kiedy i jakie działania musi podjąć aby zidentyfikowane zagrożenie zostało wyeliminowane.

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.