Что имеет смысл включить в процесс ИТ-аудита, помимо обязательных процедур?
Раздел: ИТ-аудит
Авторы:
Эльдар Мусин, главный специалист Дирекции по внутреннему аудиту ПАО «ФосАгро»
Александр Володин, главный специалист Дирекции по внутреннему аудиту ПАО «ФосАгро»
Как показывают результаты недавнего исследования Института внутренних аудиторов и КПМГ, за последние 2 года компании значительно чаще стали проводить оценку эффективности использования информационных технологий (53% против 34%) и их число будет расти. ИТ-аудиты часто выполняются только в интересах ИТ-служб компании и включают весьма ограниченный перечень вопросов: заявки на доступ к системам, управление изменениями, резервное копирование баз данных, своевременное обновление системного и прикладного ПО, использование антивирусов и межсетевых экранов (firewall) и т.п.
Для современной компании необходимо успевать за развитием технологий во всем, в том числе и в вопросах ИТ-аудита.
В этой статье мы попытаемся вкратце изложить те аспекты ИТ-аудитов, которые нередко остаются за рамками типовых проверок, но могут помочь принести пользу не только ИТ-службам, но и бизнес-подразделениям и руководству компании.
Управление ИТ-проектами
По мере развития ИТ и роста зависимости деятельности компании от них неизбежно усложняются и ИТ-проекты. Однако система управления такими проектами часто отстает в своем развитии. При аудите подходов к ИТ-проектам стоит обратить внимание на наличие и дизайн методологии реализации проектов, на вовлечение проектного офиса компании в ИТ-проекты и в целом на портфель ИТ-проектов компании с точки зрения соответствия приоритетности проектов стратегии компании.
Управление ИТ-активами и ПО
Важной задачей ИТ-службы становится управление расходами не в ущерб качеству предоставления ИТ-услуг. Для этого имеет смысл провести аудит процесса управления ИТ-активами, чтобы описать существующий парк активов (оборудования и ПО), оценить принципы управления лицензиями (достаточно ли лицензий в компании? Можно ли сэкономить, уменьшив их количество или изменив их тип?) и работы с поставщиками в целом.
Необходимо отметить, что процесс управления ИТ-активами не только позволяет снизить расходы, но и вносит вклад в ИБ за счет более ясного понимания используемых систем и их приоритизации, а также способствует повышению качества оказания ИТ-услуг.
Управление ИТ-рисками
В современных компаниях ИТ-риски выходят на первый план и ИТ-аудитор должен оценить, насколько эффективно построены процессы идентификации и управления этими рисками. Процесс управления ИТ-рисками построен отдельно от общего процесса управления рисками компании или встроен в него? Покрывает ли существующая программа все ИТ-активы компании, включая теневое ИТ (Excel-файлы с макросами, личные флешки, использование онлайн сервисов: Google Docs, Skype и т.д.)? Используется ли специальное программное обеспечение для управления рисками (GRC)?
Информационная безопасность
При оценке защищенности компании службы ИТ и ИБ обычно ограничиваются проведением технического теста на проникновение (pentest) во внутреннюю сеть компании из Интернета. При этом все чаще злоумышленники применяют методы социальной инженерии для заражения компьютеров и получения доступа к конфиденциальной информации. Первичное заражение компьютеров всемирно известным вирусом WannaCry, от которого пострадали не только частные компании, но и государственные учреждения многих стран, происходило через почтовый фишинг. Поэтому важно также провести тестирование в этой области, например:
· рассылка фишинговых писем сотрудникам компании от имени техподдержки или генерального директора;
· проверка наличия в интернете фишинговых сайтов-копий официального сайта вашей компании;
· отслеживание судьбы «случайно забытой» флешки с надписью «Заработные платы сотрудников 2017» (подключит ли ее сотрудник к рабочему компьютеру?).
По результатам каждого из таких тестирований ИТ- и ИБ-службы должны предпринимать действия по совершенствованию системы безопасности, а ИТ-аудитор должен оценить эффективность предпринимаемых действий. Также необходимо определить, существует ли в компании план действий в случае обнаружения вторжения или заражения компьютеров вредоносным ПО.
Предотвращение утечек и защита персональных данных
Принятие пакета нормативных актов о персональных данных вывело задачу их защиты на первый план многих служб ИТ и ИБ. Однако часто требования закона выполняются исключительно формально: готовится необходимый пакет документов, и задача считается решенной. Чтобы оценить степень защищенности компании от рисков утечек, следует провести аудит классификации конфиденциальных данных и оценить контрольные процедуры, направленные на предотвращение утечек (защита периметра, мониторинг сети, контроль съемных носителей и мобильных устройств и т.п.).
Из недавних крупных случаев утечек персональных данных – взлом компании Uber в конце 2016 г., в результате которого были украдены данные 50 млн клиентов и 8 млн водителей, и взлом американского бюро кредитных историй Equifax, затронувший 145 млн человек.
Мобильные технологии
Мобильные устройства все чаще применяются сотрудниками в различных компаниях, что существенно увеличивает риски утечки конфиденциальной информации. Для эффективного управления и обеспечения информационной безопасности, необходимо разработать политику управления мобильными устройствами. Аудитор должен оценить адекватность данной политики, проверить, насколько настройки мобильных устройств соответствуют требованиям политики. Важно также определить, какой план действий предусмотрен на случай потери или кражи мобильного устройства (смена паролей, удаленная блокировка устройства и т.д.).
По статистике, около четверти всех взломов в финансовом секторе совершаются с использованием утерянных или украденных мобильных устройств. В 2015 г. кража ноутбука с персональными данными пациентов бостонского Lahey Hospital привела к штрафу в размере 850 тыс. долл.
Управление рисками социальных медиа
Социальные медиа не только создают возможности для развития бизнеса компании, но и ведут к возникновению ИТ-рисков: утечка конфиденциальной информации, социальная инженерия, нецелевое использование рабочего времени, новые векторы вирусных атак, фишинговые страницы и учетные записи, якобы принадлежащие компании, репутационные потери от некорректного поведения сотрудников. В рамках ИТ-аудита стоит провести (совместно с ИТ- и, возможно, HR- и PR-службами) анализ рисков социальных медиа, оценку действующих политик и процедур по управлению этими рисками, а также проверку использования социальных сетей сотрудниками компании.
В 2015 г. американская страховая компания Anthem стала жертвой взлома, в результате которого были затронуты около 80 млн человек и компания выплатила 115 млн долл. компенсаций. Взлом стал возможен благодаря социальной инженерии с использованием данных из сети LinkedIn.
Облачные технологии
Все больше пользователей и компаний используют облачные сервисы. Нарушение их работы может привести к серьезным последствиям. Например, в результате хакерской атаки в течение месяца были недоступны игровые и стриминговые онлайн-сервисы компании Sony. Позже компания завила, что ущерб от данного инцидента стоил ей $171 долларов США.
При использовании облачных технологий самые высокие риски для компаний возникают при использовании публичных облаков, так как данную услугу предоставляет сторонний поставщик. В рамках ИТ-аудита стоит определить, разработана ли политика пользованиями услуг облачных провайдеров, оценить ее адекватность, соответствие существующим процессам компании в области ИТ, закупок и т.д.
Также имеет смысл оценить SLA с поставщиком услуги, понять, каким образом ИТ-служба контролирует соблюдение поставщиком услуг условий SLA. Хорошей практикой является условие SLA, согласно которому вы имеете право проводить ИТ-аудит поставщика в определенном объеме. Этим правом стоит воспользоваться.
Разделение полномочий и управление доступом
С увеличением размера компании и развитием бизнес-процессов задача четкого разделения полномочий становится все более сложной. Проблема усугубляется тем, что часто компании не хотят использовать дорогостоящие системы управления доступом (identity access management) и полагаются на ручные контрольные процедуры, например, на периодическую проверку прав доступа силами линейных бизнес-руководителей. К сожалению, усложнение информационных систем неизбежно ведет к усложнению ролей и прав доступа, и проверки в бизнес-подразделениях часто отнимают много времени и носят формальный характер. В рамках ИТ-аудита стоит оценить систему управления доступом в целом и подходы к дизайну пользовательских ролей в ключевых информационных системах. Также имеет смысл оценить целесообразность внедрения автоматизированных решений для управления доступом и контроля разделения полномочий.
Заключение
Высокая степень зависимости современных компаний от информационных технологий означает, что ИТ в целом и ИТ-аудит в частности нельзя рассматривать в отрыве от бизнеса. Поэтому аудит, включающий в себя не только стандартные проверки, но и рассматривающий интересы функций, не связанных напрямую с ИТ, поможет привести ИТ-стратегию в соответствие с общей стратегией компании и будет способствовать развитию ее конкурентных преимуществ.
Статья была опубликована на сайте Bankir.ru