Sarbanes-Oxley: Strašák chodí okolo

Bezpečnostní kontroly nutné pro úspěšné zvládnutí auditu IT mohou být značně náročné. Je třeba se důkladně p...


Bezpečnostní kontroly nutné pro úspěšné zvládnutí auditu IT mohou být značně
náročné. Je třeba se důkladně připravit.
Naše oddělení IT bezpečnosti má plné ruce práce. Připravujeme se na
bezpečnostní audit, provádíme všechny běžné rutinní prověrky a současně
dokončujeme integraci špatně zabezpečené IT infrastruktury jedné nově získané
společnosti do našich informačních systémů.
Již jsme znemožnili téměř veškerý externí přístup do sítě koupené firmy, a to s
výjimkou dvou služeb. Jednou z nich je VPN tunel, který umožňuje zaměstnancům
přístup k prostředí pro vývoj softwaru. Druhým pak firemní FTP server, který
zachováme, dokud nebudeme moci migrovat jeho obsah na náš vlastní server.
Koncem týdne bych měl spolu se svým týmem dokončit migraci všech kritických
informací a služeb, takže budeme moci pobočky zmíněné firmy uzavřít.
Nyní mohu obrátit svou pozornost zpět k probíhajícímu auditu, zaměřenému na
splnění požadavků zákona označovaného jako Sarbanes-Oxley act. Splnění
požadavků na účetnictví a výkaznictví vyžadovaných tímto zákonem je prioritou
číslo jedna vedení naší firmy a to je skvělý donucovací mechanismus. Nikdo
nechce nést odpovědnost za nezdar auditu, takže lidé obvykle udělají všechno,
co je v jejich silách, aby splnili moje požadavky stačí jen pronést kouzelnou
větu: "To je pro nastávající Sarbanes-Oxley audit."
Už jsem dokončil dokumentaci bezpečnostních standardů je jich zhruba 90. Nyní
přiděluji starost o jejich naplnění.
Několik z uvedených standardů se například týká zálohování dat. Je tedy třeba
zajistit, aby manažer datového centra, který odpovídá za naši zálohovací
infrastrukturu, uměl prokázat, že tyto standardy splňujeme.
Proces kontroly dodržování požadavků je příliš časově náročný na to, abych ho
zvládl sám, takže plánuji rozdělit úkoly dalším pracovníkům svého oddělení.
Existuje mnoho oblastí, ve kterých požadavky nesplňujeme, ale to je v pořádku,
protože standardizační dokumenty nám s jejich naplněním pomohou.

Daná pravidla
Začali jsme pořádat pravidelné schůzky s naším IT auditorem, který se soustředí
na identifikaci toho, co my nazýváme "klíčovými kontrolními mechanismy". Zákon
Sarbanes-Oxley vyžaduje "důvěryhodné prokázání" toho, že skutečně provádíme to,
co tvrdíme. Což zahrnuje dokumentaci prokazující, že dodržujeme vlastní
kontrolní mechanismy.
Pokud například zpracováváte údaje o kreditních kartách, tak jako naše firma, a
vaše politika říká, že tyto údaje ukládáte v šifrovaném poli databáze Oracle,
nestačí auditorovi ukázat kopii této politiky. Bude ještě třeba spustit skript,
který vytiskne pole této databáze spolu s informací o příslušných
bezpečnostních nastaveních. Pokud takový skript spouštíte denně či jednou týdně
a můžete dokázat, že správce databáze se pravidelně získanými výpisy zabývá,
pak se jedná o přijatelný kontrolní mechanismus.
Ve firmě, která je tak velká jako ta naše a většinu jejího podnikání
představuje e-commerce, je počet a složitost nutných kontrolních mechanismů
ohromná. Většina z nich se zaměřuje na finanční záležitosti. Jelikož naše
databáze běží na unixovém serveru na firemní síti, který je ve správě oddělení
IT, může být předmět auditu velmi rozsáhlý. Důvod je jednoduchý: K čemu by byla
ochrana databáze Oracle, kdybychom současně nevyužívali silné autentizační
mechanismy pro administrativní přístup k unixovému serveru, na němž tato
databáze běží?
Během několika nadcházejících týdnů bychom měli identifikovat klíčové kontrolní
mechanismy. Pak teprve začne skutečná práce. Do té doby budu pokračovat v
dolaďování standardizačních dokumentů.

Bezdrátový obchvat
Během několika minulých týdnů jsem byl nucen řešit i několik dalších problémů,
a to včetně nekonečné řady potíží s naší bezdrátovou sítí. Během nedávného
auditu bezdrátové infrastruktury firmy jsme zjistili, že jeden ze zaměstnanců
má doma firemní přístupový bod. Ten byl nastaven tak, aby vysílal kód SSID
(Service Set Identification) a měl vypnuté šifrování. To by nebyl až takový
problém, pokud by současně neměl také přímé DSL připojení do naší firemní sítě.
Běžně musejí zaměstnanci k připojení do firemní LAN používat VPN tunel, ale
tento požadavek daný zaměstnanec obešel pomocí své linky DSL. V důsledku toho
mohl kdokoliv, kdo se nacházel v jeho okolí a měl k dispozici bezdrátovou
síťovou kartu, využít jeho přístupového bodu k získání přístupu do naší sítě,
aniž by se musel jakýmkoliv způsobem autentizovat.
Zní to dost hrozně, ale my jsme měli štěstí v neštěstí. Jakmile dotyčný
zaměstnanec připojil přístupový bod k naší firemní síti, byl automaticky
zaregistrován naším systémem pro správu WLAN. Tím je Airware Management
Platform od kalifornské firmy AirWave Wireless. Tento nástroj nám umožňuje
centrálně spravovat veškeré přístupové body, takže přístupový bod příslušného
zaměstnance jsme okamžitě vypnuli a upozornili ho e-mailem. Mám jistou
politickou obavu: Daný zaměstnanec je blízkým známým jedné osoby z vedení
firmy, takže o něm jistě ještě uslyším.

Vše pro zákazníky
A jsou tu ještě jedna další záležitost týkající se bezdrátové sítě snažím se
totiž najít způsob, jak vytvořit hotspot v našem obchodním centru, které
navštěvují zákazníci vyžadující přístup k internetu. Tato obchodní potřeba je
tedy dostatečně odůvodněná, ale nelze předpokládat, že by zákazníci běžně měli
k dispozici software s jakoukoliv podporou našich bezpečnostních protokolů.
Potřebujeme tedy vytvořit bezpečnou WLAN, jejímž prostřednictvím budou mít
přístup k internetu, avšak současně zamezit tomu, aby toto připojení využívali
neautorizovaní uživatelé. Pravděpodobně využijeme systému přihlašování přes web.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.