Naše manažerka musí prozkoumat zabezpečení IS své agentury ještě před tím, než na kontrolu přijdou auditoři: Poprvé v životě mám celý rok na to, abych se připravila na technický audit a odhad rizika. Bude to připravovat externí konzultační firma a já se na to docela těším. Z mého pohledu je to příležitost, jak se blýsknout. Samozřejmě, že je mi jasné, že jeden nebo dva bezpečnostní nedostatky, o kterých nevím, mohou být kontrolou odhaleny, nicméně se cítím celkem sebejistě (i když si také uvědomuji, že „pýcha předchází pád...“).
Překvapení na začátek
Všechno se to přihodilo náhle. Myslela jsem si, že půjde jen o osobní hodnocení, ale z národního Centra pro zdravotní péči a zdravotnické služby přišlo rozhodnutí, že všechny státní agentury, kterých se týká zákon HIPAA, musejí projít procesem auditu možných rizik realizovaném nějakou externí konzultační firmou.
Ne že bychom nevěděli, jak vykazovat svou činnost – jde o to, že někdy jsme postaveni před rozhodnutí shora. Mně můj šéf sdělil, že žádné výkazy nemám kvůli nedostatku času připravovat. Myslel si, že to není nutné a já jsem na to navíc vážně neměla čas. V takhle malé agentuře, jako je ta naše, je potřeba trávit čas spíše implementací bezpečnostních technologií a pravidel, nikoliv psaním různých reportů. Já dokážu rychle zhlédnout konfiguraci firewallu a zjistit, kde je potřeba provést změny, ale vysvětlit auditorům, proč jsem udělala to či ono, to už je věc jiná.
Můj šéf mě požádal, abych na auditorské služby poslala poptávku a předložila mu nabídku ještě týž den, což je téměř nemožné, ale snažila jsem se. Má důvod ke spěchu. Rozpočet na příští fiskál se právě dokončuje a my budeme muset náklady na audit někam vložit, a to dříve, než bude návrh rozpočtu předložen řediteli. Dala jsem mu tedy nějaký svůj odhad a pustila se do práce.
Když jsem se probírala svým seznamem kontaktů na lidi z oblasti bezpečnosti IT, napadlo mě spojit se s jedním chlapíkem, se kterým jsem se nedávno setkala a který pracuje pro vyhlášenou konzultační firmu. Vyměnili jsme si vizitky a dohodli se předběžně na nějaké schůzce. Proč ne? Poslala jsem mu e-mail a on obratem odpověděl s nabídkou konferenčního hovoru následující den. Nabídla jsem svému šéfovi, aby se toho také zúčastnil a během 24 hodin od okamžiku, kdy mi zaslal svůj e-mail, jsme měli v rukou rozsah prací v rámci auditu.
Pro mého šéfa to znamenalo, že může do rozpočtu dát relativně přesnou položku, u mě to zase vyvolalo obrovskou zvědavost. Jak asi takový odhad rizika bude probíhat? A jaké nástroje budou konzultanti používat? Zvědavost se u mě projevila zčásti také proto, že jsem jako bezpečnostní konzultant několik let pracovala. Podobné dokumenty jsem pro klienty léta připravovala, a tak mě zajímalo, jak se rozsahem a zpracováním liší audit velké profesionální firmy od toho, co jsem zpracovávala já.
Nic překvapivého jsem nenašla. Terminologie byla typická pro dokument tohoto typu, jednotlivé kroky byly detailně popsány a k tomu byla přiložena cenová nabídka, která přesně odpovídala našemu rozpočtovému limitu. Konzultanti si zjistili částku vyčleněnou pro audit a pochopili, jak u nás probíhá schvalovací proces, a proto, aby se vyhnuli průtahům, nabídli odpovídající cenu.
Aby se udrželi ve vymezeném finančním rozpětí, zredukovali rozsah prací. I přesto si objem práce vyžádal harmonogram na čtyři týdny. Během toho konferenčního hovoru, kdy popisovali rozsah prací, jsem se zeptala, jestli by mohli audit realizovat během několika dnů místo čtyř týdnů. Na druhé straně zavládlo podivné ticho a já jsem si připadala trochu hloupě, že jsem jim tak nevhodně naznačila, že by měli práci urychlit.
Co se bude dělat
Teď, když jsem si návrh podrobně prozkoumala, ho považuji za zajímavý. Jejich záměrem bylo zkombinovat standardy NIST (National Institute of Standards and Technology) a standardy mezinárodní organizace pro normy (International Standards Organization) a také další bezpečnostní standardy jako například Cobit. Přehled služeb zahrnoval celkové hodnocení bezpečnosti vnitřních sítí a revizi mechanismů řízení, hodnocení aplikací z hlediska zranitelností a prozkoumání účinnosti technik sociálního inženýrství.
Audit vnitřních sítí se obecně provádí prostřednictvím skenovacích nástrojů hledajících slabá místa sítě. To znamená test proniknutí do sítě (pomocí techniky označované jako brute-force password cracking) a hledání zranitelností hostitelských počítačů. Odstranění nedostatků by nám zabralo dost času.
Revize řídicích mechanismů je v rámci auditu tou nejnáročnější částí. Konzultanti prozkoumají nastavená pravidla a procesy a vyzpovídají zaměstnance, aby si ujasnili, jaké řídicí procedury se uplatňují, jaká existují přístupová práva k datům apod. Tohle budou provádět v několika kategoriích včetně administrace, informační bezpečnosti, správy sítě, správy stanic, pravidel pro uživatele a krizových plánů pro obnovu dat. Vypadá to, že v auditu nic chybět nebude.
Takže já celý příští rok strávím přípravami na audit, ale ve své podstatě se nic nemění. Je fakt, že se vlastně pořád připravujete, protože neustále vylepšujete bezpečnost své infrastruktury.
Ale bude to zábavný rok, protože si budu moct hrát na „auditora“ před systémy, za které jsem zodpovědná. Pokaždé, když zjistím nějakou nesrovnalost, tak ji napravíme a v duchu si ji budeme moct odškrtnout ze seznamu nedostatků, které je nutné před auditem odstranit. Máme tak naději, že audit bude velmi úspěšný.
Foto: IDG