Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Audyt zdemitologizowany

Audyt zdemitologizowany

Mit 4: Testy penetracyjne są skuteczniejsze

Negatywne komentarze wobec audytorów często wynikają z tego, że przekrojową wiedzę audytorów opartą na standardach konfrontuje się ze znacznie głębszą, ale ściśle techniczną wiedzą ekspertów i praktyków.

Audyt i testowanie bezpieczeństwa to zadania o podobnym charakterze, ale wykonywane w zupełnie innym celu i w rezultacie zupełnie innymi środkami i metodami. Metafora porównująca audyt do manewrów sztabowych (figurkami na mapie), a testy techniczne do strzelania na poligonie jest bardzo trafna - nie powinien to być jednak argument dyskredytujący audytora. Kontynuując metaforę: oddziałów polowych nie będziemy szkolili w sztabie, ale mapa przydaje się, jeżeli chcemy wygrać bitwę lub kampanię, a nie małą potyczkę.

Test penetracyjny, szczególnie ten zakończony skutecznym włamaniem, jest wydarzeniem spektakularnym i przemawia nawet do kadry menedżerskiej - nawet nieznającej się na informatyce. Natomiast wyciągnięcie wniosków odnoszących się do całości zagadnień związanych z bezpieczeństwem na podstawie takiego testu jest niemożliwe. Do tego potrzebna jest "mapa", czyli właśnie standard lub norma - taka jak ISO 17799 lub COBIT - i wiedza na temat tego, gdzie się na niej znajduje organizacja.

Oczywiście audytorzy informatyczni także stosują testy penetracyjne jako metodę testową, ale jest to tylko jedno z narzędzi w ich "arsenale" - stosowane w odniesieniu do specyficznych systemów czy rozwiązań technicznych. Wiele prac wykonywanych przez audytora koncentruje się na podstawowych kwestiach eksploatacji systemów: hasłach, prawach dostępu, dziennikach systemowych - nieciekawych dla informatyków i niezasługujących na wzmianki na pierwszych stronach gazet, tak jak spektakularne ataki hakerów i wirusy. Okazuje się jednak, że niestety również tutaj pozostaje wiele do zrobienia i dlatego te kwestie są nie mniej ważne.

Takie przypadki, jak wyprowadzanie danych z systemu przez administratorów, fałszowanie wydruków systemowych, podszywanie się pod innego użytkownika systemu czy nawet szantażowanie pracodawcy przez informatyków zdarzają się praktycznie codziennie, a do tego, aby te zjawiska ograniczyć, wystarczy ABC dobrej praktyki informatycznej zawarte w normach i standardach.

Jakub Bojanowski jest dyrektorem w Dziale Zarządzania Ryzykiem firmy Deloitte, posiadaczem certyfikatów CISA i CIA.

Radosław Kaczorek jest menedżerem w Dziale Zarządzania Ryzykiem firmy Deloitte, posiadaczem certyfikatów CISA i CIA, a także członkiem zarządu Stowarzyszenia do spraw Audytu i Kontroli Systemów Informatycznych ISACA w Polsce.

Zmiany zza oceanu

Niedoceniane do niedawna standardy zyskują ostatnio na znaczeniu - głównie za sprawą amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC). Wbrew informacjom zawartym w artykule Moniki Stępień, Komisja nie wymaga od firm certyfikatów bezpieczeństwa, tak jak nie jest jej zadaniem "ubezpieczanie" decydentów. Wprowadzona w USA ustawa Sarbanes-Oxley nakłada natomiast na firmy obowiązek deklarowania, czy stosowane rozwiązania zapewniające poprawność informacji finansowej (w tym systemy informatyczne) działają skutecznie.

Firmy zostały zobowiązane do wykonania samodzielnej oceny w tym zakresie, a począwszy od 15 listopada 2004 r. ocena ta będzie także przedmiotem dodatkowej analizy ze strony audytora, co ma na celu wywarcie nacisku na decydentów, by poważnie i systematycznie podeszli do kwestii dokumentacji i oceny procesów gospodarczych. Ustawa dotyczy firm amerykańskich, ale rozciąga swój zakres funkcjonowania także na spółki od nich zależne w innych krajach (również w Polsce). Od przyszłego roku będą nią objęte także firmy europejskie notowane na giełdach amerykańskich.

Oceniając swoje systemy, firmy stanęły przed dylematem dotyczącym kryteriów, według których ta ocena może zostać wykonana. Rozwiązaniem okazały się standardy, które audytorzy informatyczni od dawna wykorzystują, czyli np. COBIT. Procesy opisane w COBIT zostały ponownie przeanalizowane i niektóre z nich przy ocenie pod kątem ustawy Sarbanes-Oxley nie muszą być brane pod uwagę, ale główny schemat oceny pozostaje bez zmian. Doceniono także audytorów informatycznych, których kwalifikacje stały się bardzo poszukiwane na rynku.

Przede wszystkim audyt służy jednak organizacjom w zarządzaniu ryzykiem niepowodzenia w realizacji celów biznesowych. Zasoby informatyczne, od których zależne są całe branże, nabrały charakteru kluczowych czynników sukcesu dla wielu organizacji. Należy uświadomić sobie, że czasy, w których inżynierowie informatycy posiadali tajemną, sobie tylko znaną wiedzę, bezpowrotnie minęły. Rozwiązaniom technicznego zapewniania bezpieczeństwa muszą towarzyszyć obecnie sprawnie funkcjonujące procesy zarządzania informatyką i jej bezpieczeństwem.

Człowiek - jako najsłabsze ogniwo w procesie zarządzania bezpieczeństwem - musi podlegać określonym regułom, a tych nie można jednorazowo zaprogramować. Audyt jest jedyną metodą dokonania niezależnej oceny zmian, które zaszły w organizacji, i oceny, w jakim stopniu te zmiany wpływają na organizację.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas