Auditul informatic

Auditul informatic este un proces prin care o persoană (sau grup de peroane) independentă şi calificată, numită auditor, face o evaluare obiectivă a unui sistem informatic, de obicei în raport cu un standard sau un obiectiv propus. Există şi auditul intern, proces prin care se asigură o conformitate continuă cu standardele interne. Auditul intern poate fi verificat periodic prin auditul extern.

Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată reţeaua sau numai o parte, procedurile sau întreg planul de securitate) şi având un obiectiv bine definit (de exemplu conformitatea cu standardul).
Auditul se compune din trei etape majore: strângerea de informaţii, evaluarea propriu-zisă şi raportarea.

Cercetarea
Este important ca informaţiile obţinute în această etapă să fie cât mai complete şi reale deoarece ele vor sta la baza tuturor activităţilor ulterioare de audit fiind folosite ca referinţă pentru paşii următori.

Tot acum trebuie documentat şi modul în care reţeaua noastră comunică cu alte reţele. În majoritatea cazurilor avem de-a face cu o conexiune la un ISP care este folosită pentru comunicare cu clienţi şi parteneri şi pentru a căuta informaţii pe internet. Este important să se identifice măsurile de control şi monitorizare a acestor conexiuni şi mai apoi a serviciilor care folosesc conexiunile pentru a putea mai apoi evalua eficienţa acestora.

Deşi la prima vedere pare un fapt bine cunoscut, trebuie identificat punctul unde se „termină” reţeaua locală şi de unde pornesc alte reţele (ISP, partener etc). Măsurile şi controalele, precum şi natura informaţiilor permise în aceste zone sunt diferite, precum şi riscurile asupra elementelor aflate de o parte sau alta a baricadei sunt altele, de aceea nu trebuie trecută cu vederea această informaţie „banală”.

Apoi trebuie să răspundem la întrebarea „care sunt cele mai importante bunuri care trebuie protejate”. În principiu este vorba de anumite informaţii care rezidă pe anumite sisteme (e-mail, ERP, baze de date etc.) sau sunt comunicate prin anumite dispozitive (routere, VPN), dar este foarte important ca acestea să fie identificate de la bun început. Strategiile şi măsurile de protecţie pot fi definite eficient în măsura în care riscurile asociate cu bunurile noastre sunt bine definite şi cuantificate.

După ce au fost identificare bunurile, trebuie văzut cine le poate accesa. Oricine are acces la reţea poate accesa şi acele informaţii confidenţiale? Dacă da, cine are acces la reţea? Cel mai important este să stabilim criteriile pe baza cărora cineva primeşte drept de acces, cum sunt impuse aceste politici şi cum se urmăreşte eficienţa politicilor? Este binecunoscut principiul on a need-to-know basis (are acces numai cine are cu adevărat nevoie), principiu care trebuie aplicat fără excepţie de către orice organizaţie.
În fine, trebuie enumerate şi revizuite metodele de protecţie folosite, inclusiv politici, proceduri şi controale.

Evaluarea
Odată ce informaţiile necesare au fost colectate, auditorul poate începe evaluarea securităţii sistemului informatic. Evident, sunt multe situaţii în care informaţiile colectate nu sunt suficiente sau apare necesitatea pentru un alt set de informaţii. Colectarea informaţiilor şi evaluarea nu trebuie privite ca procese seriale, ne putem întoarce la etapa anterioară în orice moment dacă este nevoie. De fapt, o bună parte din evaluare se face chiar în timpul strângerii informaţiilor.
Trebuie gândit dacă modul în care administratorii au proiectat şi configurat reţeaua şi componentele acesteia îndeplinesc obiectivele propuse (standardul propus, gradul de securitate cerut). De exemplu, un firewall este o considerat un element obligatoriu al unei reţele, şi considerat de către 90% din cazuri ca fiind tot ce e nevoie pentru a ne simţi în siguranţă. Din păcate însă un firewall nu ne protejează de exemplu de viruşi (nu vorbim de firewall-uri avansate care pot trimite spre scanare un email unui server antivirus) sau de „furtul” parolei scrise pe bileţelul de pe monitor. Apoi trebuie să găsim punctele slabe ale sistemului informatic, care nu sunt bine controlate sau chiar deloc, unde pot apărea vulnerabilităţi. De exemplu controlul accesului la modem-uri – una din principalele căi de compromitere a informaţiilor care de obicei nu este luată în seamă. Cheia succesului este să avem tot timpul în vedere cele trei elemente ale securităţii: confidenţialitate, integritate şi disponibilitate.

Raportarea
Dupa ce au fost colectate şi analizate informaţiile, trebuie emise o serie de concluzii. Exista un raport sumar, numita si opinie de audit, in care se mentionează pe scurt concluziile precum si un raport extins în care sunt detaliate toate rezultatele raportate la standardele de referinţă. Concluzile la care s-a ajuns trebuie discutate cu beneficiarul din două motive: intelegerea rezultatelor precum şi confirmarea şi asumarea lor.
De obicei un audit este urmat de un proces de corectare a nonconfirmatilor, etapa pentru care se poate apela la un consultant extern şi la un auditor intern. Auditul se repetă fie la cerere fie dupa un interval rezonabil, de exemplu un an.