Efectuarea unui audit de securitate - Securitatea Informatica

Efectuarea unui audit de securitate

Cuvântul “audit” înseamna ca o organizatie din afara are de gând sa efectueze o examinare formala pentru unul sau mai multe componente esentiale ale organizatiei. Auditurile financiare sunt cele mai frecvente si intalnite de un manager. Acesta este un domeniu familiar pentru majoritatea directorilor: ei stiu ca auditorii financiari vor sa examineze dosarele financiare si modul în care aceste înregistrari sunt utilizate. Acestia pot fi chiar familiari cu audituri de securitate fizica. Cu toate acestea, directorii sunt putin probabil familiarizati cu audituri de securitate informationala; acesta fiind un audit despre modul în care confidentialitatea, disponibilitatea si integritatea informatiilor unei organizatii este asigurata. Un audit de securitate a informatiilor este una dintre cele mai bune metode pentru a determina securitatea informatiilor unei organizatii, fara a suporta costurile si alte daune asociate unui incident de securitate.

Ce este un audit de securitate?

Puteti vedea sintagma “test de penetrare” folosit alternativ cu sintagma “audit de securitate”. Nu sunt acelasi lucru. Un test de penetrare (de asemenea cunoscut ca pen-test) este o încercare foarte strict concentrata sa caute gauri de securitate într-o resursa critica, cum ar fi un firewall sau un server Web. Testerii de penetrare se pot uita doar la un serviciu de pe o resursa de retea. Acestia opereaza, de obicei, din afara firewall-ului cu informatii din interior minime în scopul de a simula mai realist mijloacele prin care un hacker ar putea ataca site-ului.

Pe de alta parte, un audit de securitate este o evaluare sistematica, masurabila si tehnica a modului în care politica de securitate a organizatiei este aplicata la o anumita locatie. Auditorii de securitate lucreaza cu cunostinte depline despre organizatie, uneori cu informatii confidentiale, în scopul de a întelege resursele care trebuiesc auditate.

Security audits do not take place in a vacuum; they are part of the on-going process of defining and maintaining effective security policies. Auditurile de securitate nu au loc într-un vid; ele sunt parte a unui proces continuu de definire si mentinerea a unor politici eficiente de securitate. Aceasta ii implica pe toti cei care utilizeaza resurse, din orice computer, în întreaga organizatie. Având în vedere natura dinamica a configuratiilor computerelor si ale stocarii a informatiei, unii manageri se poate întreba daca exista cu adevarat vre-un fel de a verifica registrele de securitate, ca sa spunem asa. Auditurile de securitate furnizeaza un astfel de instrument, un mod echitabil si masurabil pentru a examina cât de sigur este, intr-adevar, o locatie.

Auditori de securitate lucreaza prin interviuri personale, scanari de vulnerabilitati, examinarea setarilor sistemului de operare, analiza shares in retea, loguri, etc. Acestia sunt interesati, în primul rând, de modul în care politicile de securitate – fundamentul oricarei strategii de securitate organizationala eficienta – sunt de fapt folosite. Exista o serie de întrebari cheie la care auditorii de securitate ar trebui sa încerce sa raspunda:

  • Sunt parole greu de spart?
  • Exista listele de control acces (ACL-uri) pe dispozitivele de retea pentru a controla cine are acces la datele partajate?
  • Exista jurnalele de audit (log) pentru a înregistra cine acceseaza datele?
  • Sunt jurnalele de audit consultate periodic?
  • Sunt setarile de securitate pentru sistemele de operare în conformitate cu practicile de securitate universal acceptate?
  • Au fost toate aplicatiile si servicii informatice inutile eliminate de pe fiecare sistem?
  • Pentru aceste sisteme de operare si aplicatii comerciale, sunt aplicate patch-urile la zi?
  • Cum sunt stocate backup-urile? Cine are acces la ele? Sunt backup-urile la zi?
  • Exista un plan de recuperare caz de dezastru? Au repetat, toti participantii si partile interesate, vreodata planul de redresare in caz de dezastru?
  • Sunt folosite instrumente criptografice adecvate si au fost, aceste instrumente, configurat corect?
  • Au fost aplicatiile personalizate scrise cu normele de securitate în minte?
  • Cum au fost, aceste aplicatii personalizate, testate pentru defecte de securitate?
  • Cum sunt aceste înregistrari revizuite si care conduce revizuirea?

Acestea sunt doar câteva dintre întrebarile care pot si ar trebui sa fie evaluate într-un audit de securitate. Prin raspunderea la aceste întrebari sincer si riguros, o organizatie poate evalua realist cat de sigure sun informatiile sale vitale.

Politica de securitate – definitie

Asa cum s-a mentionat, un audit de securitate este, în esenta, o evaluare a modului in care politica de securitate a organizatiei este pusa în aplicare. Desigur, acest lucru presupune ca organizatia are o politica de securitate ceea ce, din pacate, nu este întotdeauna adevarat. Chiar si astazi, este posibil sa gasim o serie de organizatii unde o politica de securitate scrisa nu exista. Politicile de securitate sunt un mijloc de standardizare a practicilor de securitate, punandu-le în scris si fiind adoptate de catre angajatii care le citesc si le semneaza. Atunci când practicile de securitate nu sunt scrise, ele nu pot fi întelese si practicate de catre toti angajatii în organizatie. Mai mult, pâna când toti angajatii au citit si semnat politica de securitate, respectarea politicii nu poate fi executata. Politicile de securitate nu sunt scrise pentru a pune sub semnul întrebarii integritatea si competenta angajatilor, ci mai degraba, sa asigure ca toata lumea întelege cum sa protejeze datele companiei si este de acord sa îsi îndeplineasca obligatiile care le revin pentru a face acest lucru.

Exista frecvent tensiuni între cultura locului de munca si politica de securitate. Chiar si cu cele mai bune intentii, angajatii aleg adesea confortul in locul securitatii. De exemplu, utilizatorii pot sti ca ar trebui sa aleaga parole greu de ghicit, dar totusi aleg ca parole sa le fie la îndemâna. Astfel, fiecare auditor stie sa verifice postit-urile de pe monitor si sa ridice tastatura pentru a cauta sub ea parolele. Personalului IT s-ar putea sa stie ca fiecare cont de administrator local ar trebui sa aiba o parola, dar, în graba de a construi un sistem, ei pot trece peste acest pas, intentionand sa seteze parola mai târziu, si, prin urmare, pot sa introduca un sistem nesigur in retea.

Auditul de securitate ar trebui sa încerce sa masoare conformarea la politicile de securitate si sa recomande solutii pentru deficientele privind conformitatea. Politica ar trebui sa fie, de asemenea, supusa unui control. Este un document care sa reflecte cu exactitate modul în care organizatia IT protejeaza activele zi cu zi? Reflecta politica de securitate standardele din industrie pentru tipul de resurse IT utilizate în întreaga organizatie?

Tema pre-audit

Înainte ca auditorii de securitate sa începe un audit al organizatiei, exista anumite teme care ar trebui sa fie facute. Auditorii trebuie sa stie ce va fi auditat. În plus fata de revizuirea rezultatelor auditurilor anterioare care au fost efectuate, pot exista mai multe instrumente care vor folosi mai departe. Primul este un studiu al locatiei. Aceasta este o descriere tehnica a host-urilor din sistem. Aceasta include, de asemenea, management si datele demografice despre utilizatori. Aceste informatii pot fi depasite, dar poate înca mai ofera o viziune generala. Pot fi utilizate si chestionarele de securitate. Aceste chestionare sunt, prin natura, masuratori subiective, dar ele sunt utile, deoarece ofera un cadru de practici de securitate convenite. Respondentii sunt de obicei rugati sa evalueze controalele folosite pentru a reglementa accesul la activele IT. Aceste controale includ: controale de management, controalele de acces/autentificare, securitatea fizica, accesul din afara la sisteme, procedurilor de administrare a sistemului, conexiuni la retele externe, acces de la distanta, reactia la incidente si planificarea de urgenta.

Sondajele si chestionarele de securitate ar trebui sa fie scrise clar, cu raspunsuri cuantificabile la cerinte specifice. Acestea ar trebui sa ofere o scara numerica de la cel mai slab (nu îndeplineste cerintele) la cele mai bune (îndeplineste cerintele si are documentele justificative). Ambele ar trebui sa includa consideratii legate de comertul electronic, daca este cazul pentru organizatia clientului. De exemplu, companii de carduri de credit au sabloane de conformitate descriind consideratii specifice de securitate pentru produsele lor. Acestea masoara reteaua, sistemul de operare, securitatea aplicatiilor, cat si securitatea fizica.

Auditorii, în special auditorii interni, ar trebui sa revada incidentelor anterioare de securitate în cadrul organizatiei clientului pentru a obtine o idee despre punctele slabe in profilul de securitate organizatiei. Acestia ar trebui sa examineze, de asemenea, conditiile actuale pentru a se asigura ca incidentele nu se pot repeta. În cazul în care auditorilor li se cere sa examineze un sistem care permite conexiuni la Internet, acestia ar putea dori, de asemenea, sa cunoasca logurile IDS / Firewall. Arata aceste jurnale încercari de a exploata punctele slabe? Ar putea exista un motiv de baza (cum ar fi reguli defecte ale firewall-ului), ca astfel de tentative sa aiba loc in mod repetat. Cum pot acestea sa fie testate?

Din cauza multimii de date care trebuie sa fie examinate, auditorii vor dori sa lucreze cu clientul pentru a determina scopul auditului. Factorii care trebuiesc luati în considerare includ: planul de afaceri site-ul, tipul de date protejate si valoarea/importanta acestor date pentru organizatia client, incidente de securitate anterioare, timpul disponibil pentru a finaliza auditul si talentul/expertiza auditorilor. Auditorii buni vor dori sa aiba scopul auditului clar definit, înteles si acceptat de catre client.

Apoi, auditorii vor dezvolta un plan de audit. Acest plan va cuprinde modul în care va fi executat auditul, personalul cu care se va lucra, si instrumentele folosite. Ei vor discuta apoi planul cu agentia solicitanta. In continuare, se va discuta despre obiectivul auditului cu personalul locatiei auditate, împreuna cu unele detalii logistice, cum ar fi data de audit, care personal poate fi implicat si modul în care auditul va afecta operatiunile de zi cu zi. Apoi, auditorii ar trebui sa se asigure ca obiectivele auditului sunt întelese.

La locatia de audit

Când auditorii ajung la locatie, scopul lor nu este de a afecta negativ afacerile în timpul auditului. Ei trebuie sa faca un briefing unde sa sublinieze, din nou, scopul auditului si ce trebuie acesta sa realizeze. Orice întrebari pe care managementul le-ar putea avea ar trebui sa fie abordate si cererile de ultim moment ar trebui luate în considerare în cadrul propunerii de audit originale.

Auditorii ar trebui sa fie corecti si atenti la detalii, aplicând standarde si proceduri coerente pe tot parcursul auditului. În timpul auditului, ei vor colecta date cu privire la securitatea fizica a activelor computerizate si vor efectua interviuri cu personalul din locatie. Se poate efectua evaluarea vulnerabilitatilor din retea, evaluari alea sistemului de operare si ale securitatii aplicatiilor, evaluarea controlului de acces, si alte evaluari. De-a lungul acestui proces, auditorii trebuie sa urmeze listele de verificare, dar sa si fie atenti la problemele neasteptate. Aici vor lua nasul de pe lista de verificare si vor începe sa adulmece aerul. Acestia ar trebui sa priveasca dincolo de orice asteptari sau notiuni preconcepute referitor la ceea ce ar trebui sa gaseasca si sa vada ce se gaseste de fapt acolo.

Conducerea briefing-ului final

Dupa ce auditul este terminat, auditorii vor efectua un briefing asigurându-se ca managementul este constient de orice probleme care necesita corectie imediata. Întrebarilor de la management li se va raspunde într-un mod general, pentru a nu crea o falsa impresie referitor la rezultatele auditului. Ar trebui subliniat faptul ca auditorii pot sa nu fie în pozitia de a oferi raspunsuri clare la acest moment. Raspunsurile finale vor fi furnizate în urma analizei finale a rezultatelor auditului.

Înapoi în birou

Odata înapoi la birou acasa, auditorii vor începe sa pieptane listele de verificare si sa analizeze datele descoperite prin intermediul unor instrumente de evaluare a vulnerabilitatii. Ar trebui sa existe o întâlnire initiala pentru a ajuta la concentrarea rezultatelor auditului. În timpul acestei întâlniri, auditorii pot identifica zonele cu probleme si solutiile posibile. Raportul de audit poate fi preparat într-o serie de formate, dar auditorii trebuie sa pastreze raportul simplu si direct, continând constatari clare cu moduri cuantificabile de a corecta deficientele constatate.

Odata cu raportul de audit pot fi trimise: un format general de rezumat executiv, constatarile detaliate si date de sprijin, cum ar fi rapoarte de scanare ca anexe la raport. Când scrieti un raport, dezvoltati rezumatul executiv înainte, pentru ca s-ar putea sa trebuiasca sa informati managementul. Este important sa realizati ca atat punctele forte cat si deficientele pot fi abordate în rezumatul executiv pentru a ajuta la echilibrul raportului de audit. În continuare, auditori pot oferi un raport detaliat bazat pe listele de verificari. Constatarile auditului trebuie sa fie organizate într-o maniera simpla si logica, in foi de lucru de cate o pagina pentru fiecare problema descoperita. Aceasta foaie de lucru prezinta problema, implicatiile sale, si modul în care aceasta poate fi corectata. Ar trebui lasat spatiu pe foaia de lucru, pentru a permite personalul din locatie sa documenteze masuri corective si un bloc de comentarii pentru a contesta constatarile, daca este cazul.

Nu ii tineti în asteptare

În cele din urma, personalul de audit ar trebui sa pregateasca un raport cât mai rapid si exact posibil, astfel încât personalul locatiei sa poata corecta problemele descoperite pe parcursul auditului. În functie de politica companiei, auditorii trebuie sa fie gata sa ghideze personalul locatiei auditate în corectarea deficientelor si sa ajute sa masoare succesul acestor eforturi. Managementul ar trebui sa supravegheze în permanenta deficientele care sunt evidentiate de audit pâna când acestea sunt complet corectate. Motto-ul pentru managementul superior inatmat cu raportul de audit ar trebui sa fie, “urmarire, urmarire, urmarire.”

Auditul – Nu este un eveniment ci un proces

Trebuie retinut ca in timp ce organizatiile evolueaza si structurile lor de securitate se vor schimba. Cu aceasta în minte, auditul de securitate informatica nu se efectueaza o singura data, ci este un efort continuu pentru a îmbunatati protectia datelor. Auditul masoara politica de securitate a organizatiei si ofera o analiza a eficientei acestei politici în contextul structurii organizatiei, obiectivele si activitatile. Auditul trebuie sa se bazeze pe eforturile anterioare de audit pentru a ajuta la rafinarea politicii de securitate si pentru a corecta deficientele acesteia, care sunt descoperite prin intermediul procesului de audit. Chiar daca instrumentele sunt o parte importanta a procesului de audit, auditul este mai putin despre utilizarea instrumentelor cele mai noi in evaluarea vulnerabilitatii, si mai mult despre utilizarea unor date organizate, consecvente, corecte si analiza acestora pentru a produce rezultate care pot fi corectate.

Sursa: securitatea-informatica.ro

Twitter Digg Delicious Stumbleupon Technorati Facebook


Un raspuns la “Efectuarea unui audit de securitate”

  1. Calin Dumbraveanu Răspunde 27. Oct, 2010 la 12:38

    As dori mai multe detalii despre efectuarea unui audit de securitate.

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro