Zatímco útočník si vybírá čas, místo a způsob provedení útoku, obránce informačního systému musí vybudovat všude pokud možno stejně vysoký val.
Právě bezpečnostní audit nám má za úkol pomoci získat co nejvíce a co nejpodrobnějších informací o stavu informační bezpečnosti, o tom, co neděláme dobře a o tom, jakým způsobem by to mělo jít zlepšit.
Hlavním úkolem bezpečnostního auditu je srovnání situace požadované v bezpečnostní politice (která by měla být postavena na informacích z rizikové analýzy) se situací skutečnou. Tedy kde dochází k plnění požadavků a kde naopak k jejich neplnění – a proč.
Důvodem neplnění totiž nemusí nutně být pouze nedbalost, nedisciplinovanost apod., ale také třeba skutečnost, že při navrhování bezpečnostní politiky nebyly vzaty v potaz veškeré skutečnosti a zavádění některých stanovených požadavků do praxe je obtížné, ne-li přímo nemožné.
Co zahrnuje audit?
Bezpečnostní audit ale není jen o pouhé kontrole a nalezení přehlednutých/přehlížených nedostatků a jejich odstranění. Úkol bezpečnostního auditu je mnohem širší, protože s jeho pomocí musí být kromě jiného také zajištěna aktualizace požadavků na bezpečnost IT.
Není totiž možné stále donekonečna pracovat s původním zadáním, je potřeba reflektovat na nejaktuálnější vývoj v oblasti IT technologií, především pak v oblasti bezpečnosti. Bezpečnost IT zkrátka není záležitostí statickou, ale dynamickou (někdy více, než by nám bylo milé).
Kromě sledování celkové situace navíc musí být průběžně posuzována každá změna či zásah do informačního systému. Musí být posouzen a ošetření jeho vliv na oblast zabezpečení a ochrany – přitom musí být posouzen jednak samotný zásah a jednak jeho dopad na již fungující systémy a mechanismy.
Cílem auditu je dále zajistit, aby aktuální (tedy imunní vůči novým hrozbám) byl nejen informační systém, ale také dokumentace (především bezpečnostní politika) a aby byla doporučená opatření uvedena do praxe.
Opatření přitom dělíme na dočasná a trvalá. Dočasná implementujeme v okamžiku, kdy odhalíme nějakou hrozbu a potřebujeme rychle zareagovat, aby se z ní nestalo riziko. Tím získáme čas, abychom našli způsob (a uvedli ho do praxe), jak se před touto hrozbou chránit trvale.
Podklady pro rozhodování
Vlastní bezpečnostní audit přitom není samoúčelný, ale s jeho pomocí získané informace jsou důležitým podkladem v prvé řadě pro management organizace. Na jejich základě lze totiž stanovit, zdali je do informační bezpečnosti investováno rozumně (není problém „investovat" značné částky bez jakéhokoliv hmatatelného efektu a stejně tak není problém bezpečnost podinvestovat, kdy sice finance a další zdroje jsou vynakládány účelně, leč kýženého ochranného efektu není dosaženo).
Výstupy bezpečnostního auditu jsou důležité také pro uživatele, kteří tak získávají jistotu, že je přemíra bezpečnostních prvků nebude obtěžovat nebo brzdit v práci. A navíc získají jistotu, že při dodržení všech stanovených postupů je nikdo nebude vinit z případného bezpečnostního incidentu.
A konečně i pro administrátory a správce sítí má bezpečnostní audit svůj význam. Díky němu se totiž mají o co opřít: co dělají dobře, kde jsou naopak určité rezervy apod. Nicméně administrátoři a správci často právě auditory často kritizují, protože je považují za vetřelce ve svém hájemství.
Pravdou ale je, že díky bezpečnostnímu auditu mají i oni „krytá záda". A že dochází k odhalování chyb, slabin a nepřesností? Cílem těchto úkonů přece není někoho pranýřovat, nýbrž snažit se silami společnými předcházet bezpečnostním incidentům. Společným zájmem by mělo být vytvořit bezpečný systém, nikoliv se tvářit, že je vše tak nějak automaticky v pořádku.
Dlouhodobý proces
Pod pojmem audit si přitom často představujeme dlouhou a úmornou práci, kde auditor srovnává hory informací a snaží se najít nesrovnalosti. Ne že by tato „kancelářská práce" dnes zmizela úplně, ale její význam přece jen klesá. Čím dál více se totiž využívá sofistikovaných softwarových auditních nástrojů.
Ostatně, není v lidských silách vyhodnocovat všechna získaná data a přetransformovat je do informací. Stačí se podívat jen na logy z různých systémů, které nám každodenně poskytují tisíce řádků výstupů a megabajty dat (v lepším případě). Jiná než softwarová možnost procházení shromážděných informací v podstatě nepřichází v úvahu...
K dispozici jsou přitom různé auditovací softwarové nástroje, které se zaměřují buď na konkrétní oblasti (audit webových serverů či legálnosti používaného software, dále zhodnocení implementace záplat nebo dodržování bezpečnostní politiky) nebo které se snaží řešit problematiku bezpečnostního auditu v co největší šíři. Na konkrétních podmínkách a potřebách pak záleží, pro který nástroj se v daném případě auditor rozhodne.
Kvalita závěrů
Bezpečnostní audit se může – podobně jako většina jiných činností – buď prostě jen udělat, nebo provést kvalitně. Jde přitom o otázku nejen vlastní auditované organizace, ale třeba i dodavatelské firmy. Mnoho bezpečnostních auditů je psáno totálně nesrozumitelně a zbytečně komplikovaně. Kvantita vítězí nad kvalitou, takže zadavatel výstupy nemůže využít, i kdyby nakrásně chtěl.
Je mnoho organizací, které bezpečnostní audit dělají jen proto, aby „měly čárku". Ovšem čím dál více je těch, které pochopily, že se bezpečnostní audit může stát vítaným pomocníkem pro zajištění, udržení a zvýšení úrovně zabezpečení.
Tento článek vyšel v tištěném SecurityWorldu 4/2010.