Uplatnění správných manažerských rozhodnutí při řízení informatiky je podmíněno znalostí skutečného stavu ICT. Důležitým nástrojem pro poznání objektivního stavu řízení informatiky a informační bezpečnosti je audit ICT, který je důležitou složkou prohlubující nepostradatelné zpětné vazby.
Definice: Audit je systematický, nezávislý a dokumentovaný proces získání důkazů z auditu a jejich hodnocení s cílem stanovit rozsah splnění kritérií auditu [ISO19011].
Provádění auditů je spojeno s dodržováním zásad, které z něj činí efektivní a spolehlivý nástroj pro podporu účinného managementu a řízení. Za základ se považují následující zásady:
n Etické chování - důvěryhodnost, jednotnost, důvěrné a diskrétní vystupování auditora.
n Spravedlivé prezentování - zjištění, závěry a zprávy z auditu musí být pravdivé a musí přesně popisovat veškeré při auditu provedené činnosti.
n Profesionální přístup - auditor musí být vysoce odborně a profesně způsobilý a musí využívat své odborné zkušenosti.
n Nezávislost - auditor musí být nezávislý na auditované činnosti a audit musí být veden s cílem nalézt objektivní stanovisko.
n Průkaznost - veškeré závěry a informace vzešlé z auditu musí být zpětně ověřitelné.
Postup auditu ICT
Podívejme se nyní na vlastní průběh auditu podrobněji. Obvykle je možné takový audit rozdělit do následujících pěti částí:
n Zahájení auditu - jmenování týmu pro audit, definování cílů, předmětu a kritérií auditu.
n Přezkoumání dokumentace a příprava činností na místě - všechny audity by se měly opírat o základní znalost prostředí. Tato fáze auditu slouží k prostudování existující dokumentace, což je základem návrhu účinného plánu auditu. Součástí této fáze je též příprava pracovních dokumentů (např. dotazníky apod.).
n Provádění auditu na místě - jádro celého auditu, dochází k vlastnímu sběru informací o skutečném fungování systému, k ověřování zjištěných skutečností a shromáždění důkazů.
n Příprava, schválení a distribuce zprávy z auditu - opírá se o důkladné vyhodnocení všech zjištěných skutečností při zvážení negativních dopadů a dalších souvislostí. Tato práce je základem pro formulování stručné a výstižné zprávy z auditu.
n Dokončení auditu - pro vlastní auditní tým je důležité, aby si sám vyhodnotil úspěšné i méně zdařilé stránky auditu. Zpětná vazba je pro auditory důležitým nástrojem zlepšování.
Audit ICT a využití rizik
V každé organizaci existuje mnoho systémů ICT s rozdílným postavením, umístěním a využitím. V těchto případech jsou auditoři postaveni před otázku, který ze systémů je pro výsledky auditu důležitější a co mohou považovat za méně významné. Pro tyto případy bývá uplatňován audit založený na hodnocení rizik. Jde o to, že při plánování auditů jsou zvažovány možné dopady auditované oblasti na fungování organizace, existující příznaky nesouladů a závažnost nedostatků zjištěných předchozími audity. Tyto informace dovolují stanovit míru rizika, které je spojené s daným systémem, a přizpůsobit jí rozsah a cíle auditu.
Systémům s vysokou mírou rizika (např. relativně nové systémy s velkým dopadem na organizaci a s neuspokojivými výsledky předchozích auditů) se pak věnuje intenzivnější pozornost. V těchto případech je též žádoucí doplnit audit o vhodný formát bezpečnostních testů, které dovolují podrobně ověřit technické aspekty bezpečnosti. Naproti tomu u systémů s nižší mírou rizika postačují přehledové audity.
Hlavní výhodou tohoto přístupu k plánování auditů je vyšší míra zacílení do problematických oblastí, doprovázená úsporou zdrojů. Současně je tento přístup vhodným motivačním faktorem - asi nikde nejsou auditoři příliš oblíbeni.
Uplatnění měřítek
Při vyhodnocení auditu ICT a následném využívání výsledků při dalším rozvoji systémů je důležité správně zvolit citlivost hodnocení. V řadě případů nestačí pouze konstatovat, že opatření jsou či nejsou v souladu s metodikou. Pro upřesnění rozvoje je potřebné vyhodnotit hloubku prosazení daných principů. Příklad hodnocení bezpečnosti je uveden na obrázku. Bylo zde využito pětistupňové měřítko, kde se určuje míra prosazení v souladu s tzv. modelem vyzrálosti (CMM). Jinými slovy management je schopen na základě této tabulky jednoduše rozpoznat skutečnou hloubku prosazení bezpečnosti a podle toho optimalizovat další úsilí.
Závěr
Aplikování zpětné vazby přináší pro každý řídicí systém mnoho výhod. Nejinak je tomu i u systémů řízení informatiky či informační bezpečnosti. Objektivní informace o skutečném stavu fungování jsou nenahraditelným zdrojem informací, které dovolují odpovědným manažerům přesněji a účinněji formulovat opatření pro zlepšování systému. A v tomto směru je audit ICT nenahraditelným nástrojem, jehož význam stále narůstá.
Luděk Novák pracuje jako konzultant společnosti ANECT, a.s.
Zajímavé odkazyr
• www.isaca.org
• www.auditnet.org
Opatření bezpečnosti informací
podle ISO/IEC 17799:2005
Bezpečnostní politika
Organizace bezpečnosti
Klasifikace a řízení aktiv
Personální bezpečnost
Fyzická bezpečnost a bezpečnost prostředí
Řízení komunikací a řízení provozu
Řízení přístupu
Vývoj a údržba systémů
Řízení bezpečnostních incidentů
Řízení kontinuity činnosti organizace
Soulad s požadavky
Náhodně
Opakovatelně
Definovaně
Měřitelně
Optimalizovaně
Příklad grafického vyhodnocení auditu bezpečnosti
informačních a komunikačních technologií.
Typický průběh auditu.
Zahájení auditu
Přezkoumání dokumentace a příprava činností na místě
Provádění auditu na místě
Příprava, schválení a distribuce zprávy z auditu
Dokončení auditu
Provedení následného auditu
PŘEDPLATNÉ
ČLÁNKY DO MAILU