Если вы работаете в крупной торговой компании, банке или в системе здравоохранения, по всей вероятности, вам уже приходилось иметь дело с ИТ-аудиторами или различными государственными инспекторами и экспертами. Если вы оказываете услуги крупным общественным или государственным организациям, ваши бизнес-партнеры наверняка захотят иметь гарантии, что принимаются адекватные меры для защиты их интересов, и не станут подвергать себя риску. Для предоставления подобных гарантий вам, возможно, придется позволить ИТ-аудиторам вашего бизнес-партнера или независимой компании провести аудит процессов ИТ-службы.
Как правило, ИТ-персонал возмущается или даже пытается помешать проведению аудита и в лучшем случае рассматривает его как неизбежное зло. Однако вы можете воспользоваться процессом аудита и получить от него максимальную выгоду. В зависимости от ситуации, можно использовать аудит как средство усиления безопасности, улучшения работы политик и инструментов управления. Кроме того, поняв реальные цели бизнеса по окончании аудита, вы сможете предугадывать возможные рекомендации аудиторов, а значит, с пользой потратить время, выделенное на их реализацию. Для более продуктивного сотрудничества с аудиторами необходимо понять, какова их цель и как они работают.
Как работают аудиторы
Обычно аудит выполняет команда аудиторов. Она может состоять из представителя компании-партнера, которого вы видите редко, но который утверждает итоговый аудит, главного аудитора, управляющего командой, и двух-трех младших аудиторов, занимающихся различными отчетами, журналами, документами и интервью, которые получили название свидетельства. Полезно знать распределение ролей в команде, это позволит обратиться к нужному человеку в нужное время.
Убедитесь, что вы представляете себе масштаб аудиторского проекта. Аудиторы бухгалтерских фирм или государственные ревизоры обычно работают с узкой областью данных, соответствующей выданным им полномочиям. Например, если вы работаете на открытую акционерную компанию, то общественные аудиторы будут изучать системы и приложения, считающиеся существенными с финансовой точки зрения; они также обращают внимание на управляющие механизмы, обеспечивающие достоверность финансовых отчетов компании. Во врезке «Важность управляющих механизмов» можно найти дополнительную информацию об этом важном аспекте ИТ-аудита. Банковские ревизоры обращают особое внимание на конфиденциальность данных клиентов и на безопасность и корректность банковской информации. В сфере здравоохранения основное внимание уделяется конфиденциальности информации о пациентах.
Наоборот, внутренние аудиторы работают с более широкой областью данных, так как обычно они обязаны выявлять любой тип риска, угрожающий компании. Иногда внутренние аудиторы также имеют разрешения на выявление неэффективных процессов и убытков.
Часто аудиторы не так уж хорошо знают систему Windows и другие технологии, но не сбрасывайте со счетов их наблюдательность и методы работы. Хороший ИТ-аудитор может применить аналогичную методологию, продукт или технологии и обнаружить риски или случаи некомпетентного управления в компании.
С другой стороны, при отборе запрашиваемой информации и методов ее анализа многие аудиторы опираются на рабочую программу, или программу аудита. К сожалению, большинство известных мне программ аудита для системы Windows и службы Active Directory (AD) являются неполными либо запрашивают несущественную или устаревшую информацию. Однако если время на обработку запроса будет явно потрачено не зря, я рекомендую сотрудничать – вы получите возможность реагировать на наблюдения аудиторов до утверждения окончательного отчета.
Аудиторам необходимы документы. Не потому, что они - «канцелярские крысы», а скорее потому, что технологии и акты аудиторов, такие как акт Sarbanes-Oxley Act (SOX), требуют документации для подтверждения того, что процесс действительно выполняется. Утверждение о том, что вы используете каждое обновление безопасности сразу после его выпуска, подразумевает нечто большее, чем просто обсуждение на каждом собрании последних обновлений безопасности от компании Microsoft и других поставщиков в течение нескольких минут.
Аудиторские отчеты несколько отличаются по формату, но обычно включают список наблюдений и выводов. Каждый вывод содержит описание риска, рекомендации и обычно имеет высокий, низкий или средний приоритет (степень важности). Если аудитор не может привести веский аргумент для рассмотрения обнаруженного риска, возможно, этот риск не должен быть указан в отчете, и вы можете рассмотреть возможность его оспаривания до выхода итогового отчета, в зависимости от динамики процесса аудита в вашей организации. В большинство процессов аудита также на каждый вывод формируется ответ от управляющего персонала. Эти ответы документируются в ходе аудита или работы по устранению недостатков. Когда аудиторы рекомендуют оптимальный метод, они ссылаются на метод или стандарт, признанный оптимальным способом решения некоторой задачи, например управления контролем доступа или обновлениями безопасности.
Беспроигрышная ситуация
Аудиторский отчет может выявить некоторые важные области, в которых можно повысить уровень безопасности. Кроме того, аудиторы могут дать вам основания для изменения защитных процессов или вложения средств в технологию безопасности, которые вам не удалось обосновать перед руководством самостоятельно. В то же время, сотрудничая с аудиторами, вы проявите себя как специалист, которому небезразличны интересы компании, что в результате приведет к более лояльному процессу аудита.
Значение управляющих механизмов
Перед началом ИТ-аудита имеет смысл встретиться с аудиторами и запросить у них список компонентов, которые будут проверяться. В конечном счете, аудиторы пытаются идентифицировать механизмы, реализованные персоналом, для ограничения риска. После изучения механизма управления тестируется его эффективность. Задача аудитора состоит в том, чтобы составить независимое мнение о состоянии управляющих механизмов, и, что более важно, о любых рисках.
Однако, по моему опыту, ИТ-персонал и управляющий персонал не умеют мыслить категориями механизмов управления. Это проблема, ведь если вы не можете четко сформулировать принципы своих ИТ-механизмов и представить их аудитору, вы даете ему возможность в той или иной степени решать за вас, какими должны быть эти управляющие механизмы. Однако если вы можете сослаться на прописанную политику защиты информации и в дальнейшем продемонстрировать процедуры и шаги настройки, посредством которых исполняете эту политику, вы сохраните большее влияние на процесс аудита, так как аудитор сначала должен оценить механизмы в рабочем окружении. Понимание типов механизмов поможет ограничить риск и удовлетворить запросы вашего аудитора.
Предупредительные механизмы обычно являются оптимальным типом, поскольку их цель - предупреждение проникновения извне или утраты информации. Предупредительные механизмы включают в себя политики паролей, установки исправлений и изменения процессов проверки.
Механизмы обнаружения не предотвращают те или иные события, но позволяют выявлять проблемы и реагировать на них. Например, мониторинг журналов безопасности обычно рассматривается как механизм обнаружения. Иногда возможно использование только механизмов обнаружения. Например, ограничить риск, который создает недобросовестный администратор, не способны никакие предупредительные механизмы (хотя проверки и итоговые расчеты могут быть выполнены). Но правильно разработанная система мониторинга поможет, по меньшей мере, сделать аудиторское заключение о деятельности администратора.
Некоторые механизмы обнаружения могут стать механизмами сдерживания. Сквозная аудиторская проверка может включать периодические выборочные проверки деятельности администратора. Зная о проведении выборочных проверок и наличии аудиторского заключения, администратор будет более ответственно относиться к своим обязанностям.