Δεν επαρκεί μόνο μια εταιρεία να έχει πάρει όλα τα μέτρα για την ασφάλεια τής IT υποδομής της. Πρέπει να μπορεί και να το αποδείξει μέσα από μια διαδικασία που χαρακτηρίζεται ως IT security audit.
Ακόμα και σήμερα πολλές εταιρείες βρίσκουν προφάσεις για να αποφύγουν τον έλεγχο ασφαλείας της IT υποδομής τους. Ισχυρίζονται ότι οι έλεγχοι παρεμποδίζουν την εργασία και ότι αποτελούν σπατάλη χρόνου. Αδιαφορούν δε για το γεγονός ότι αυτοί οι έλεγχοι αποτελούν την απαραίτητη προϋπόθεση για την προστασία των πληροφοριακών τους συστημάτων, τόσο για τα δεδομένα όσο και για τη δικτυακή υποδομή τους. Ξεχνούν, ότι η επένδυση σε σχετικά εργαλεία και η συμμόρφωση σε πολιτικές ασφαλείας δεν επαρκεί. Χρειάζεται και ο έλεγχος ασφαλείας, που πρέπει να γίνεται σε τακτά χρονικά διαστήματα, ώστε να εξασφαλιστεί ότι οι υποδομές τους δεν είναι ευάλωτες.
Αυτό ακριβώς το σκοπό έχει το security audit, μια συγκεκριμένη διαδικασία ελέγχου που αξιολογεί τους κινδύνους ασφαλείας που υπάρχουν για μια εταιρεία στο τομέα της IT υποδομής της, αλλά και τα μέτρα που έχουν παρθεί ώστε να περιοριστούν αυτοί οι κίνδυνοι. Ο έλεγχος γίνεται από ειδικούς, οι οποίοι διαθέτουν τη σχετική τεχνογνωσία, τόσο από τεχνική όσο από και επιχειρηματική-οικονομική άποψη. Οι ελεγκτές καταγράφουν τις υφιστάμενες πολιτικές ασφαλείας, εντοπίζουν τα τρωτά σημεία της υποδομής, παίρνουν συνεντεύξεις, ελέγχουν και αξιολογούν τις διαδικασίες που ακολουθούνται όσον αφορά το τομέα της ασφάλειας, διεξάγουν, χρησιμοποιώντας ειδικά εργαλεία, δοκιμές παρείσδυσης κ.λπ.
Το security audit αποτελεί απαραίτητη προϋπόθεση του νομικού και κανονιστικού πλαισίου για αρκετούς μεγάλους οργανισμούς, όπως είναι, για παράδειγμα, οι Τράπεζες. Και επιφέρει κυρώσεις για όσους δεν έχουν φροντίζει να κλείσουν αδυναμίες ασφαλείας στις υποδομές τους, ακόμα και αν δεν τις έχει εκμεταλλευτεί κανείς. Ολα τα παραπάνω δείχνουν το πόσο σημαντικό είναι για την ομαλή λειτουργία μιας επιχείρησης το security audit.
Εσωτερικός και εξωτερικός έλεγχος
Το IT security audit διαχωρίζεται σε εξωτερικούς και εσωτερικούς ελέγχους. Ο εξωτερικός έλεγχος αποτελεί μια μετεξέλιξη των οικονομικών εταιρειών ελέγχου που απαιτούσαν την πρόσβαση στα συστήματα IT, τα οποία παρήγαγαν τα λογιστικά στοιχεία μιας εταιρείας, όπως είναι τα χρηματοπιστωτικά συστήματα και τα συστήματα μισθοδοσίας. Στην πάροδο του χρόνου, ο έλεγχος των συστημάτων IT μετατράπηκε σε ένα αυτόνομο πεδίο, που εστίαζε στην εκτίμηση της ποιότητας και της αποτελεσματικότητας κόστους των συστημάτων IT και των σχετικών διεργασιών τους.
Σήμερα, οι έλεγχοι διεξάγονται, κυρίως, από εξωτερικούς ελεγκτές – γνωστοί και ως Chief Audit Executives (CAE) – σε συνεργασία με τις διοικήσεις των οργανισμών. Αυτοί καθορίζουν ένα σχέδιο δράσης το οποίο και παραδίδουν στη Διεύθυνση Πληροφορικής. Μετά από μια καταγραφή της IT υποδομής της εξεταζόμενης εταιρείας, λαμβάνουν χώρα συγκεκριμένα τεστ. Με βάση αυτά τα τεστ γίνεται εκτίμηση της υπάρχουσας προστασίας, των αδύνατων σημείων της και των μέτρων που πρέπει να ληφθούν για μια βελτίωση της κατάστασης. Ο ελεγκτής, επίσης, υπογράφει μία συμφωνία Non Disclosure Agreements (NDA), σύμφωνα με την οποία δεσμεύεται στο να κρατήσει μυστικά τα αποτελέσματα της εξέτασης. Είναι σημαντικό, ένας ελεγκτής να έχει επαρκή εμπειρία σε θέματα δικτύωσης, αλλά και να είναι σε θέση να παίξει το ρόλο ενός εισβολέα.
Ανάμεσα στις τακτικές που ακολουθεί ένας ελεγκτής για αυτό το σκοπό είναι οι εξής: να επιχειρήσει να αποσπάσει κρίσιμα δεδομένα από το προσωπικό της εταιρείας μέσω του Social Engineering, να διεξάγει security scans μέσω ειδικών προγραμμάτων (port scanners), να εξετάσει τον έλεγχο πρόσβασης σε εφαρμογές και λειτουργικά σύστημα, να αναλύσει τη φυσική πρόσβαση στο σύστημα. Μια επιπλέον μέθοδος είναι να εντοπίσει τρωτά σημεία στη δικτυακή υποδομή, εφαρμόζοντας τεστ διείσδυσης (penetration tests). Μέσω αυτών εξομοιώνονται επιθέσεις στην IT υποδομή της εταιρείας, τόσο από έξωθεν (Internet) όσο και από το εσωτερικό της εταιρείας. Αυτή η διαδικασία διείσδυσης χαρακτηρίζεται συχνά ως friendly hacking και ο auditor ως «white-hat hacker». Εκτός από τους εξωτερικούς ελέγχους, όλο και περισσότεροι οργανισμοί έχουν δημιουργήσει τους δικούς τους εσωτερικούς ελεγκτικούς μηχανισμούς, εξαιτίας της ανάγκης διαχείρισης του επιχειρησιακού κινδύνου και τήρησης των κανόνων συμμόρφωσης, δίνοντας, παράλληλα, μια πρόσθετη εστίαση στην εκτίμηση της αποτελεσματικότητα των διεργασιών IT.
Με αυτό τον τρόπο δημιουργήθηκε το εσωτερικό IT auditing. Οι εσωτερικές ελεγκτικές ομάδες αξιολογούν, ενδεχόμενα, τα πάντα, από τις εταιρικές εφαρμογές και τα συστήματα business intelligence, έως την πολιτική που ακολουθείται για τα social media και την ενσωμάτωσή τους. Το πιο πιθανό είναι να λογοδοτούν στο Διοικητικό Συμβούλιο και πιο συγκεκριμένα στις ειδικές επιτροπές ελέγχου και αξιολόγησης κινδύνου, που ενδεχομένως υπάρχουν. Συνήθως δε αυτές οι ομάδες λειτουργούν υπό την επίβλεψη του CFO. Οσον αφορά το ρόλο που καλείται να παίξει η εσωτερική ομάδα ελέγχου υπάρχουν διχογνωμίες. Θα πρέπει να περιοριστεί στο εντοπισμό και αναφορά των προβλημάτων ή να δώσει και οδηγίες για το πώς μπορούν να βελτιωθούν τα πράγματα; Σίγουρα υπάρχει μια λεπτή διαχωριστική γραμμή ανάμεσα σε αυτά τα δύο, ενώ συχνά η εσωτερική ομάδα ελέγχου λειτουργεί στη γκρίζα ζώνη, κάπου στο ενδιάμεσο δηλαδή.
Cloud, ένας πρόσθετος πονοκέφαλος
Η εξέλιξη της τεχνολογίας από μόνη της παράγει πρόσθετες προκλήσεις για τις εσωτερικές ομάδες ελέγχου. Τo cloud computing, για παράδειγμα, θολώνει τα όρια για το τι βρίσκεται εντός και τι εκτός του οργανισμού. Επειδή, όπως είναι λογικό, δεν μπορούν όλοι όσοι χρησιμοποιούν μια υπηρεσία cloud να την ελέγξουν ο καθένας διαφορετικά, αυτό που συνήθως γίνεται, είναι να γίνεται ο έλεγχος της υπηρεσίας cloud μια φορά και τα αποτελέσματα αυτού του ελέγχου να χρησιμοποιούνται από όλους τους υπόλοιπους στις αναφορές τους.
Το γεγονός, επίσης, ότι στις υπηρεσίες cloud είναι δύσκολο να ξέρει κανείς που αποθηκεύονται τα δεδομένα, αποτελεί ένα πρόσθετο πρόβλημα. Γι΄αυτό και οι πάροχοι υπηρεσιών cloud αναπτύσσουν τακτικές αξιολόγησης που θα τους επιτρέψουν να δημιουργήσουν αναφορές, οι οποίες θα ικανοποιούν όλες τις απαιτήσεις. Δεν είναι μόνο το cloud που δημιουργεί προβληματισμό στις ομάδες έλεγχου. Οπως δείχνουν έρευνες της Deloitte για τους εσωτερικούς ελεγκτές, υπάρχει αρκετά συχνά δυσκολία γι’ αυτούς ώστε να εκτιμήσουν σωστά μια IT υποδομή. Κάτι που οφείλεται εν μέρη στη μεγάλη ταχύτητα με την οποία μεταβάλλεται η τεχνολογία. Αυτή η αδυναμία τούς ωθεί να ζητούν και να βάζουν στο τραπέζι την εμπειρία τρίτων, εξωτερικών, ελεγκτών.
Σίγουρα είναι δύσκολο να βρει κανείς ειδικούς με το κατάλληλο μείγμα οικονομικών, επιχειρηματικών, συμβουλευτικών και τεχνικών ικανοτήτων για τη θέση των ελεγκτών. Κάποιες εταιρείες αρέσκονται στο να προσλαμβάνουν ελεγκτές με διπλά πτυχία και μεταπτυχιακά, ώστε να μπορούν να αντεπεξέλθουν με επιτυχία στα καθήκοντα τους. Ωστόσο, τα περισσότερα πράγματα τα μαθαίνει ένας ελεγκτής στην πράξη. Επιπλέον, χρειάζεται να διαθέτει το κατάλληλο σετ συμβουλευτικών ικανοτήτων, ενώ χρειάζεται να έχει την κατάλληλη τεχνογνωσία για το χώρο του IT, ώστε να μπορεί να εμπλακεί στα χωράφια των CIOs και να κάνει με αξιοπιστία τις αξιολογήσεις του.
Oι κανόνες της επιτυχίας
To security audit είναι μια πολύπλοκη διαδικασία και η επιτυχία του εξαρτάται από πολλούς παράγοντες. Μερικοί γενικοί κανόνες που οδηγούν σε μια επιτυχημένη διαδικασία ελέγχου είναι οι εξής:
• Εξωθεν βοήθεια. H χρήση ενός εξωτερικού auditor μπορεί να συμβάλει περισσότερο στην επιτυχία του ελέγχου, καθώς αυτός δεν θα επηρεάζεται από την επιχείρηση. Μετά την ολοκλήρωση του εξωτερικού ελέγχου μπορούν να αναλάβουν δράση οι εσωτερικοί auditors και να συνεχίσουν με τους δικούς τους ελέγχους.
• Υγιή δυσπιστία. O auditor πρέπει σε κάθε περίπτωση να υπογράψει ένα “Non Disclosure Agreement”.Αυτό είναι ιδιαίτερα σημαντικό όταν ο έλεγχος προέρχεται εκτός εταιρείας.
• Ανεξαρτησία. Ο ελεγκτής πρέπει να είναι ανεξάρτητος. Γι’ αυτό δεν πρέπει να ελέγχει το τμήμα του, διότι μπορεί να είναι προκατειλημμένος με αυτό.
• Εκτίμηση εξ αρχής των αποτελεσμάτων. Ηδη, πριν την έναρξη του ελέγχου, πρέπει να αποφασίζεται πως θα αξιοποιηθούν τα αποτελέσματα του, Αυτό είναι ιδιαίτερα σημαντικό στην περίπτωση που τα αποτελέσματα είναι διαφορετικά από αυτά που θα περίμενε κανείς.
• Kανένας αποδιοπομπαίος τράγος. Aν τα αποτελέσματα των ελέγχων δεν πάνε κατ’ ευχή, τότε οι επιχειρήσεις δεν πρέπει να υποπέσουν στο λάθος να ψάχνουν για τους υπευθύνους. Η σωστή τακτική είναι η εξής: πρέπει να δουν τα αρνητικά αποτελέσματα ως ευκαιρία για να αναγνωρίσουν που υπάρχουν προβλήματα, να βελτιώσουν τα πράγματα και να περιορίζουν κατά το δυνατό τις μελλοντικές απειλές.
• Και κανένας φόβος. Πριν και μετά από έναν έλεγχο θα πρέπει οι εταιρείες να καθησυχάζουν τους εργαζόμενους και να αποφεύγουν να τους ασκούν πίεση. Ενα αρνητικό κλίμα επηρεάζει την ποιότητα της εξέτασης.
• Continuity. Η συνέχεια είναι τα πάντα. Πράγματα που είχαν παραμεληθεί για χρόνια ή μήνες δεν πρέπει να επανεξετάζονται λίγο πριν τη διεξαγωγή ενός ελέγχου. Είναι σημαντικό να τίθενται εφικτοί στόχοι.
• «Out of the box» δράση. Είναι σημαντικό να υπάρχει μια εστίαση σε διαδικασίες ανεξαρτήτως τμημάτων. Μόνο όποιος καταλαβαίνει πλήρως την επιχειρηματική λειτουργία μπορεί να εκτιμήσει σωστά τις αλληλεπιδράσεις ανάμεσα στα διάφορα τμήματα.
• Πολύπλευρη αξιολόγηση κινδύνου. Οι εξαρτήσεις ανάμεσα σε διαφορετικές επιχειρηματικές διαδικασίες πρέπει να προσδιοριστούν και να ταξινομηθούν. Αυτές δεν πρέπει να παραλείπονται σε μια αξιολόγηση του κινδύνου.
• Οχι ψέματα. Θα πρέπει να αποφευχθεί η εσκεμμένη παροχή ψευδών πληροφοριών. Ενας καλός ελεγκτής ξέρει πώς να το αποφεύγει αυτό. • Ενημέρωση του management. Το τμήμα διαχείρισης της εταιρείας θα πρέπει να ενημερώνεται για τα μέτρα ελέγχου. Με αυτό τον τρόπο αποφεύγονται δυσάρεστες εκπλήξεις, που μπορεί να δημιουργήσουν προβλήματα στο προγραμματισμό.