Czy audytor jest potrzebny?

Jak w takim razie powinny wyglądać role w procesie zarządzania bezpieczeństwem informacji i kto powinien się w ten proces angażować? Proces zarządzania bezpieczeństwem informacji jest relacją trójstronną, w której występować powinni przedstawiciele biznesu, IT i niezależny audytor. Biznes jako właściciel informacji powinien określić wartość aktywów (informacyjnych) podlegających ochronie i oczekiwany poziom bezpieczeństwa, IT powinno dostarczyć rozwiązań zapewniających realizację założeń biznesowych oraz monitorować ich skuteczność i efektywność, a audytor powinien dokonać niezależnej i obiektywnej oceny tych rozwiązań.

Wielokrotnie spotkałem się z pytaniem, czy ocenę bezpieczeństwa musi przeprowadzać audytor. Przecież równie dobrze mogą zrobić to specjaliści z działu informatyki. Odpowiedź na to pytanie przychodzi wraz ze zrozumieniem różnicy pomiędzy monitorowaniem a niezależną oceną, jaką jest audyt. Monitorowanie jest integralnym elementem procesu zarządzania i ma na celu operacyjną weryfikację rozwiązań, ich skuteczności i efektywności. Dlatego powinno ono pozostać w gestii IT.

Niezależna ocena wykonana przez audytora ma na celu oszacowanie ryzyk związanych z przyjętą organizacją procesu i ewentualnym brakiem zgodności działań faktycznych z jego założonym przebiegiem oraz wskazanie rekomendacji usprawnień. Ocena taka wykonywana jest przez osobę niezależną od procesu i obszaru badanego, przez co jest obiektywna, a ponadto opiera się na faktycznych obserwacjach poczynionych w trakcie audytu, co stanowi o jej wiarygodności. Audytor zobowiązany jest przy tym ujawnić wszystkie istotne fakty związane z badanym obszarem, co z kolei zapewnia, że ocena jest kompletna.

Utożsamianie audytu z monitorowaniem i pozostawianie jej w rękach IT jest błędem i nie pozwala na ocenę wszystkich aspektów zarządzania bezpieczeństwem. Przekonujący jest tu argument, że rzeczą ludzką jest się mylić, tak samo jak rzeczą ludzką jest niechęć do przyznawania się do błędów. Rola audytora w procesie oceny ma za zadanie wyeliminować ten mankament poprzez włączenie w ten proces osoby zupełnie niezależnej od obszaru badanego. Nie oznacza to, że działy informatyki nie mogą przeprowadzić oceny procesu zarządzania bezpieczeństwem informacji. Co prawda, takiej oceny nie będzie można uznać za audyt, ale wniesie ona nieocenioną pomoc w usprawnianiu procesu zarządzania bezpieczeństwem.

Warsztat audytora

Podstawowym narzędziem każdego audytora systemów informatycznych jest metodyka COBIT 4.1 (Control OBjectives for Information and related Technologies). COBIT 4.1 pozwala określić kryteria oceny dla poszczególnych obszarów IT w organizacji. Towarzyszy mu przewodnik audytowania systemów informatycznych (IT Assurance Guide: Using COBIT), który zawiera szczegółowe wytyczne opisujące każdy etapów audytu, w tym planowanie, określenie zakresu, wykonanie audytu oraz raportowanie jego wyników.