IT-аудит: что добавить к обязательным процедурам - «Финансы»
Последние два года наблюдается всплеск интереса компаний к оценке эффективности использования информационных технологий. По данным исследования состояния и тенденций развития внутреннего аудита в России, проведенного Некоммерческим партнерством «Институт внутренних аудиторов» совместно с компанией КПМГ, 47% компаний проводят IT-аудиты в настоящий момент, а 53% запланировали их на ближайший год. Какие аспекты IT-аудитов могут принести пользу не только IT-службам, но и бизнес-подразделениям и руководству компании?
Управление IT-проектами
По мере развития информационных технологий и роста зависимости деятельности компании от них усложняются и сами IT-проекты. Однако система управления такими проектами часто отстает в своем развитии. При аудите подходов к IT-проектам стоит обратить внимание на наличие и дизайн методологии реализации проектов, вовлечение проектного офиса компании в IT-проекты и на соответствие портфеля IT-проектов компании приоритетности проектов стратегии.
Управление IT-активами и ПО
Имеет смысл оценить принципы управления лицензиями и достаточность или избыточность их числа
Важной задачей IT-службы становится управление расходами не в ущерб качеству предоставления IT-услуг. Имеет смысл провести аудит процесса управления IT-активами, чтобы описать существующий парк активов (оборудования и ПО), оценить принципы управления лицензиями и достаточность или избыточность их числа, а также проверить принципы работы с поставщиками в целом.
Процесс управления IT-активами не только позволяет снизить расходы, но и вносит вклад в информационную безопасность за счет более ясного понимания используемых систем и их приоритизации, а также способствует повышению качества оказания IT-услуг.
Управление IT-рисками
Используется ли специальное программное обеспечение для управления рисками (GRC)?
В современных компаниях IT-риски выходят на первый план, а IT-аудитор должен оценить, насколько эффективно построены процессы идентификации и управления этими рисками. Здесь нужно ответить на ряд вопросов. Процесс управления IT-рисками построен отдельно от общего процесса управления рисками компании или встроен в него? Покрывает ли существующая программа все IT-активы компании, включая теневое IT (Excel-файлы с макросами, личные флешки, использование онлайн-сервисов, таких как Google Docs, Skype и т. д.)? Используется ли специальное программное обеспечение для управления рисками (GRC)?
Оценка уровня информационной безопасности
При оценке защищенности компании службы IT и ИБ обычно ограничиваются проведением технического теста на проникновение (pentest) во внутреннюю сеть компании из Интернета. При этом все чаще злоумышленники применяют методы социальной инженерии для заражения компьютеров и получения доступа к конфиденциальной информации. Первичное заражение компьютеров всемирно известным вирусом WannaCry, от которого пострадали не только частные компании, но и государственные учреждения многих стран, происходило через почтовый фишинг. Поэтому важно также провести тестирование в этой области, чтобы узнать:
велась ли рассылка фишинговых писем сотрудникам компании от имени техподдержки или генерального директора;
существуют ли в Интернете фишинговые сайты-копии официального сайта вашей компании;
подключит ли сотрудник к рабочему компьютеру «случайно забытую» флешку с провокационной надписью: «Заработные платы сотрудников – 2017».
По результатам каждого из таких тестирований IT- и ИБ-службы должны предпринимать действия по совершенствованию системы безопасности, а IT-аудитор – оценить их эффективность. Также необходимо определить, существует ли в компании план действий на случай обнаружения вторжения или заражения компьютеров вредоносным ПО.
Предотвращение утечек и защита персональных данных
Часто требования закона выполняются исключительно формально: готовится необходимый пакет документов – и задача считается решенной
Принятие пакета нормативных актов о персональных данных вывело задачу их защиты на первый план многих служб IT и ИБ. Однако часто требования закона выполняются исключительно формально: готовится необходимый пакет документов – и задача считается решенной. Чтобы оценить степень защищенности компании от рисков утечек, следует провести аудит классификации конфиденциальных данных и оценить контрольные процедуры, направленные на предотвращение утечек (защита периметра, мониторинг сети, контроль съемных носителей и мобильных устройств и т. п.).
Из недавних крупных случаев утечек персональных данных стоит упомянуть взлом компании Uber в конце 2016 года, в результате которого были украдены данные 50 млн клиентов и 8 млн водителей, и взлом американского бюро кредитных историй Equifax, затронувший 145 млн человек.
Оценка слабых мест мобильных технологий
Важно определить план действий на случай потери или кражи мобильного устройства
Мобильные устройства все чаще применяются сотрудниками в различных компаниях, что существенно увеличивает риски утечки конфиденциальной информации. Для эффективного управления и обеспечения информационной безопасности необходимо разработать политику управления мобильными устройствами. Аудитор должен оценить адекватность данной политики, проверить, насколько настройки мобильных устройств соответствуют требованиям политики. Важно также определить, какой план действий предусмотрен на случай потери или кражи мобильного устройства (смена паролей, удаленная блокировка устройства и т. д.).
По статистике около четверти всех взломов в финансовом секторе совершаются с использованием утерянных или украденных мобильных устройств. В 2015 году кража ноутбука с персональными данными пациентов бостонского Lahey Hospital привела к штрафу в размере 850 тыс. долларов.
Управление рисками социальных медиа
Социальные медиа не только создают возможности для развития бизнеса компании, но и ведут к возникновению IT-рисков: утечка конфиденциальной информации, социальная инженерия, нецелевое использование рабочего времени, новые векторы вирусных атак, фишинговые страницы и учетные записи, якобы принадлежащие компании, репутационные потери от некорректного поведения сотрудников. В рамках IT-аудита стоит провести (совместно с IT- и, возможно, HR- и PR-службами) анализ рисков социальных медиа, оценку действующих политик и процедур по управлению этими рисками, а также проверку использования социальных сетей сотрудниками компании.
Взлом стал возможен за счет социальной инженерии с использованием данных из сети LinkedIn
В 2015 году американская страховая компания Anthem стала жертвой взлома, в результате которого были затронуты около 80 млн человек и компания выплатила 115 млн долларов компенсаций. Взлом стал возможен за счет социальной инженерии с использованием данных из сети LinkedIn.
Оценка «облачной» инфраструктуры
Все больше пользователей и компаний используют «облачные» сервисы. Нарушение их работы может привести к серьезным последствиям. Например, в результате хакерской атаки в течение месяца были недоступны игровые и стриминговые онлайн-сервисы компании Sony. Позже компания заявила, что закрытие сервиса PlayStation Network из-за данного инцидента стоило ей 171 млн долларов.
При использовании «облачных» технологий самые высокие риски для компаний возникают при использовании публичных «облаков», так как данную услугу предоставляет сторонний поставщик. В рамках IT-аудита стоит определить, разработана ли политика пользования услугами «облачных» провайдеров, оценить ее адекватность, соответствие существующим процессам компании в области IT, закупок и т. д.
Хорошей практикой является право проводить IT-аудит поставщика в определенном объеме
Также имеет смысл оценить SLA с поставщиком услуги, понять, каким образом IT-служба контролирует соблюдение поставщиком услуг условий SLA. Хорошей практикой является условие SLA, согласно которому вы имеете право проводить IT-аудит поставщика в определенном объеме. Этим правом стоит воспользоваться.
Разделение полномочий и управление доступом
С увеличением размера компании и развитием бизнес-процессов задача четкого разделения полномочий становится все более сложной. Проблема усугубляется тем, что часто компании не хотят использовать дорогостоящие системы управления доступом (identity access management) и полагаются на ручные контрольные процедуры, например на периодическую проверку прав доступа силами линейных бизнес-руководителей. К сожалению, усложнение информационных систем неизбежно ведет к усложнению ролей и прав доступа. Проверки в бизнес-подразделениях часто отнимают много времени и носят формальный характер. В рамках IT-аудита стоит оценить систему управления доступом в целом и подходы к дизайну пользовательских ролей в ключевых информационных системах. Также имеет смысл оценить целесообразность внедрения автоматизированных решений для управления доступом и контроля разделения полномочий.
Всесторонний аудит как конкурентное преимущество
Высокая степень зависимости современных компаний от информационных технологий означает, что IT в целом и IT-аудит в частности нельзя рассматривать в отрыве от бизнеса. Поэтому аудит, включающий в себя не только стандартные проверки, но и рассматривающий интересы функций, не связанных напрямую с IT, поможет привести IT-стратегию в соответствие с общей стратегией компании и будет способствовать развитию ее конкурентных преимуществ.