Γ ια να είναι μια εταιρεία σίγουρη για την ασφάλεια των πληροφοριακών της δεδομένων δεν αρκούν η επένδυση σε σχετικά εργαλεία και η συμμόρφωση με σχετικές πολιτικές. Χρειάζεται και τακτικός έλεγχος για τη διασφάλιση του ότι επικρατεί... τάξη και ασφάλεια.

Το security audit είναι μια συγκεκριμένη διαδικασία που στόχο της έχει την αξιολόγηση των κινδύνων που διατρέχει μια εταιρεία στον τομέα της ασφάλειας της πληροφορίας και των μέτρων που λαμβάνονται ώστε οι κίνδυνοι αυτοί να μετριάζονται. Πρόκειται για μια διαδικασία την οποία διεκπεραιώνει μία ομάδα ελεγκτών οι οποίοι διαθέτουν τόσο τεχνική όσο και business γνώση σχετικά με τα πληροφοριακά πάγια και τις επιχειρησιακές διαδικασίες της εταιρείας.

Όπως και σε οποιοδήποτε άλλο έλεγχο, οι ελεγκτές παίρνουν συνεντεύξεις από επιλεγμένα στελέχη προσωπικού, διεξάγουν αξιολογήσεις σχετικά με τα ευάλωτα σημεία, καταγράφουν τις υφιστάμενες πολιτικές και ελέγχους ασφαλείας και εξετάζουν τα πάγια Πληροφορικής που σχετίζονται με τα παραπάνω. Στις περισσότερες περιπτώσεις, οι ελεγκτές επαφίενται σε μεγάλο βαθμό σε εργαλεία τεχνολογίας προκειμένου να ολοκληρώσουν τη διαδικασία του ελέγχου.

Θέστε τις σωστές ερωτήσεις
Συχνά, οι έλεγχοι αυτοί έχουν περισσότερο νόημα όταν εστιάζουν σε συγκεκριμένα ερωτήματα.

Για παράδειγμα:
– Πόσο δύσκολο είναι το να παραβιάσει κανείς τα passwords;
– Υπάρχουν λίστες ελέγχου της πρόσβασης για τα πάγια του δικτύου;
– Υπάρχουν access logs για την καταγραφή του ποιος ήρθε σε επαφή με ποια δεδομένα;
– Γίνεται τακτικό σκανάρισμα των ατομικών υπολογιστών για adware και malware;
– Ποιος έχει πρόσβαση σε εταιρικές πληροφορίες σε μορφή back-up;

Οι παραπάνω ερωτήσεις αποτελούν ένα μικρό παράδειγμα των θεμάτων που θα πρέπει να θίγει μια προσπάθεια security audit. Ο έλεγχος της ασφάλειας αποτελεί, παράλληλα, μια συνεχή διαδικασία που θα πρέπει να επιφέρει στην επιχείρηση διαρκή βελτίωση.

Επιπλέον, οι έλεγχοι αυτοί δεν θα πρέπει να περιορίζονται στη διασφάλιση του ότι οι πρακτικές που ακολουθούνται είναι σύμφωνες με τα πρότυπα ασφαλείας. Θα πρέπει να εξετάζουν τη φύση και την ποιότητα των ίδιων των προτύπων και πολιτικών ασφαλείας.

Σε πολλές περιπτώσεις, οι πολιτικές ασφαλείας χάνουν το νόημά τους καθώς εμφανίζονται νέες τεχνολογίες ή δημιουργούνται νέες διαδικασίες. Το security audit αποτελεί το αποτελεσματικότερο εργαλείο για τον καθορισμό του κατά πόσο εξακολουθούν να έχουν νόημα οι υφιστάμενες πολιτικές.

Η διαδικασία του audit, «σπιθαμή προς σπιθαμή»
Χωρίς να καταργούν την ανάγκη για δράσεις που θα πρέπει να προηγούνται ενός security audit, τα παρακάτω βήματα θα πρέπει να ακολουθούνται κατά τη διάρκεια του ελέγχου της ασφάλειας:

1. Καθορισμός του φυσικού εύρους του ελέγχου: Η ομάδα των ελεγκτών θα πρέπει να ορίζει την περίμετρο ασφαλείας μέσα στην οποία θα πραγματοποιηθεί ο έλεγχος. Η περίμετρος αυτή μπορεί να κυκλώνει ένα λογικό σύνολο παγίων -όπως το LAN ενός data center- ή επιχειρησιακές διαδικασίες -όπως το financial reporting. Σε κάθε περίπτωση, το φυσικό εύρος επιτρέπει στους ελεγκτές να διαχειρίζονται άνετα τη διαδικασία ελέγχου παγίων, διαδικασιών και πολιτικών.

2. Καθορισμός του εύρους διαδικασιών του ελέγχου: Αυτό είναι συνήθως το σημείο έναρξης των security audits. Εάν το εύρος των διαδικασιών είναι υπερβολικά μεγάλο, ο έλεγχος ενδέχεται να συναντήσει δυσκολίες. Από την άλλη, αν το εύρος είναι περιορισμένο, η αξιολόγηση των κινδύνων μπορεί να είναι μερική και ελλιπής.

3. Αναδρομή στο ιστορικό της ασφάλειας: Αυτό είναι ένα βήμα της διαδικασίας το οποίο παραβλέπεται συχνά. Αφορά την αναδρομή στο ιστορικό ασφαλείας, σε «ευαισθησίες» και τρωτά σημεία που είναι ήδη γνωστά, σε παραβιάσεις ασφαλείας που ήδη προκάλεσαν ζημιά αλλά και σε πρόσφατες αλλαγές στην υποδομή Πληροφορικής και τις επιχειρησιακές διαδικασίες. Θα πρέπει ακόμα να περιλαμβάνει την αξιολόγηση προηγούμενων ελέγχων ασφαλείας. Επιπλέον, οι ελεγκτές θα πρέπει να κάνουν μια πλήρη απογραφή των παγίων που βρίσκονται στο φυσικό εύρος του ελέγχου και μια πλήρη λίστα των security controls που σχετίζονται με τα πάγια αυτά.

4. Ανάπτυξη πλάνου ελέγχου: Ενας από τους παράγοντες που κρίνουν την αποτελεσματικότητα ενός ελέγχου είναι η ανάπτυξη ενός αναλυτικού πλάνου το οποίο περιλαμβάνει την περιγραφή του εύρους του ελέγχου, κρίσιμες ημερομηνίες και σημεία και, τέλος, συμμετέχοντες.

5. Αξιολόγηση κίνδυνου ασφάλειας: Από τη στιγμή που θα ορίσετε ένα αποτελεσματικό πλάνο, μπορείτε να περάσετε στην «καρδιά» του ελέγχου -στην αξιολόγηση, δηλαδή, του κινδύνου.

Η αξιολόγηση αυτή θα πρέπει να καλύπτει τα ακόλουθα σημεία:
A. Εντοπίστε τα πάγια εκείνα που έχουν πρώτη προτεραιότητα λόγω της αξίας τους για το business. Για παράδειγμα, οι web servers που υποστηρίζουν την εφαρμογή καταχώρησης παραγγελιών έχουν μεγαλύτερη σημασία από το web server που υποστηρίζει το εσωτερικό blog της Διεύθυνσης Πληροφορικής.
B. Εντοπίστε τις δυνητικές απειλές στα πάγια που υπόκεινται σε έλεγχο. Ως απειλή ορίζεται κάτι που έχει τη δυνατότητα να εκμεταλλευτεί ένα τρωτό σημείο κάποιο παγίου.
Γ. Δημιουργήστε μία λίστα από τα τρωτά σημεία που παρουσιάζει κάθε τύπος ή κατηγορία παγίων.
Δ. Εντοπίστε τα υφιστάμενα security controls για κάθε κατηγορία παγίων. Τα controls αυτά θα πρέπει να χρησιμοποιούνται σε τακτική βάση και περιλαμβάνουν τεχνολογίες όπως τα firewalls, διαδικασίες όπως το backup δεδομένων και προσωπικό όπως ο systems administrator ο οποίος και διαχειρίζεται τα πάγια αυτά.
E. Καθορίστε τις πιθανότητες συγκεκριμένων κινδύνων. Οι ομάδες ελέγχου θα πρέπει να κάνουν ποιοτική αξιολόγηση του πόσο πιθανό είναι να εκδηλωθεί μία απειλή για ένα συγκεκριμένο τύπο παγίων. Ο υπολογισμός των πιθανοτήτων θα πρέπει να συνυπολογίζει και την ικανότητα των υφιστάμενων controls να μετριάσουν τον κίνδυνο. Η πιθανότητα αυτή θα πρέπει να αποτιμάται και με αριθμούς.
Ζ. Καθορίστε τον αντίκτυπο της απειλής. Οι auditors θα πρέπει να κάνουν μια ποιοτική αξιολόγηση της δυνητικής κλίμακας της ζημιάς για κάθε τύπο παγίων και να την αποτιμούν σε αριθμούς.
Η. Πραγματοποιήστε έναν υπολογισμό του κινδύνου. Η πράξη αυτή δεν είναι άλλη από τον πολλαπλασιασμό των δύο παραγόντων που αναφέρθηκαν παραπάνω (πιθανότητα Χ ζημία) και το γινόμενό τους ισούται με το ρίσκο. Οι υπολογισμοί αυτοί θα πρέπει να γίνονται για κάθε τύπο παγίων ξεχωριστά και δημιουργούν μία λίστα προτεραιοτήτων για τις προσπάθειες που θα πρέπει να γίνουν προκειμένου να μετριαστεί ο κίνδυνος.

6. Τεκμηρίωση των αποτελεσμάτων του ελέγχου: Τα αποτελέσματα που προέκυψαν θα πρέπει σαφώς να τεκμηριώνονται λεπτομερώς και να παρουσιάζονται στους αρμόδιους για τη λήψη αποφάσεων. Η σχετική αναφορά θα πρέπει να περιλαμβάνει μια περίληψη, τους στόχους του audit, τις απαιτούμενες διορθώσεις/αναβαθμίσεις και υποστηρικτικά στοιχεία. Η αναφορά αυτή θα πρέπει να παρουσιάζεται και σε μορφή powerpoint.

7. Καθορισμός και εφαρμογή νέων/αναβαθμισμένων controls: Το απώτερο όφελος ενός security audit είναι η άντληση συγκεκριμένων προτάσεων για τη βελτίωση της ασφάλειας των επιχειρησιακών δεδομένων.

Οι προτάσεις αυτές θα πρέπει να συνίστανται σε
α) controls τα οποία μπορεί να υιοθετήσει η επιχείρηση,
β) προθεσμίες για την υιοθέτησή τους και γ) αρμόδιους για την επιβολή τους.