()

Wstęp

Ostatnimi razem rozmawialiśmy o outsourcingu, o ryzykach, jakie się z nim wiążą oraz jak możemy ich uniknąć. Podkreślę, że zawsze trzeba się dwa bądź trzy razy zastanowić i przeanalizować, czy na pewno potrzebujemy outsourcować daną produkcję, usługę itp. Audyt, od czego zacząć.

Zapoznać się z argumentami “za” i “przeciw” i zdecydować. Poruszyłem również temat audytu. Był to dopiero lekki zarys, więc dziś będziemy kontynuować. A ponieważ, aby unikać ryzyk związanych z outsourcingiem, musimy podpisywać umowy, tym w pierwszej kolejności się zajmiemy — audytem umów. A następnie przejdziemy przez audyt samego outsourcingu.

Audytowanie umów

Tak jak wspomniałem powyżej, przy outsourcingu powinny znajdować się odpowiednie umowy, ale oczywiście nie tylko tu. Cały czas podpisujemy umowy. Poniżej postaram się wylistować najważniejsze punkty, które powinny się znaleźć w umowie. I które powinieneś przejrzeć przy audycie, ale i też przed ich podpisaniem.

Lista punktów do umowy

  • Informacja o poziomie usługi — W umowie powinno znaleźć się tak zwane SLA. Czyli service level agreement, w którym to będą informacje, jaki poziom usługi jest akceptowany. Jak wygląda proces, gdy coś pójdzie nie tak, jaka jest ścieżka zdrowia w takim wypadku, z kim się trzeba skontaktować itd. I oczywiście, jakie są kary za niedotrzymanie warunków umowy zawartych w tym punkcie.
  • Informacja o poziomie jakości usługi/produktu — Jak sama nazwa wskazuje, tu powinna się znajdować informacja na temat tego, jaka jest akceptowalna jakość, jakie są progi akceptowalnej jakości. I jakie czynności zostaną podjęte w wypadku, gdy jakość ta nie nie będzie się zawierać w określonych dopuszczalnych progach.
  • Prawa do audytu — W umowie powinna zostać zawarta informacja, że strony mogą przeprowadzić audyt, by potwierdzić, czy wszystko jest wykonywane zgodnie z opisaną umową. Powinna też tam znaleźć się informacja o częstotliwości tych audytów.
  • Prawa do zewnętrznego audytu — W umowie powinna również znaleźć się informacja o tym, że organizacja ma przeprowadzać regularnie zewnętrzny audyt. Oraz to, że raporty z tych audytów będą wydawane na życzenie wraz z zastrzeżeniem, że w przypadku wykrycia nieprawidłowości będzie również przekazywany plan ich naprawy.
  • Potwierdzenie polityki bezpieczeństwa — Dostawca powinien zapewnić zgodność z polityką bezpieczeństwa firmy. Na przykład wtedy, gdy polityka bezpieczeństwa zawiera wymóg co do poziomu trudności hasła dla konta admina — powiedzmy minimum 5 słów nie krótszych niż 5 znaków oddzielonych znakami specjalnymi. Dostawca powinien zaimplementować właśnie takie rozwiązanie dotyczące haseł w stosunku do usług i produktów, które dotyczą danego tematu, który dostawca wykonuje dla odbiorcy. A teraz prostszymi słowami — dostawca ma się dostosować do polityki bezpieczeństwa odbiorcy 😉
  • Zgodność z prawem i regulacjami — Jak sam punkt wskazuje, musi być zgodność z regulacjami i prawem. Jeśli organizacja na przykład podąża za ISO 27001, to ten standard będzie również dotyczyć dostawcy.
  • Użycie i ochrona wrażliwych danych — Umowa powinna zawierać informacje, w jaki sposób są przetwarzane i jak są chronione dane wrażliwe. Dla przykładu w wypadku umowy z SaaS.
  • Informowanie o wystąpieniu incydentu — W umowie powinny zawierać się informacje, jak poinformować o wystąpieniu incydentu i jak poradzić sobie z jego naprawą. W tym również incydentów bezpieczeństwa. Wiele organizacji nie radzi sobie z incydentami bezpieczeństwa, przynajmniej tak wynika z raportów. Dlatego pomyślałem, że stworzę pakiet do obsługi incydentów bezpieczeństwa przez małe i średnie firmy, by im pomóc z tym ciężkim tematem. Pakiet jest już w produkcji i za jakiś czas się pojawi.
  • Płatności — W umowie również powinna znaleźć się informacja o kwocie i o tym, jak zostanie ona zapłacona. Oraz po spełnieniu jakich warunków będzie ona wpłacona.
  • No i na sam koniec informacje na temat rozwiązania umowy.

Problemy związane z audytowaniem outsourcingu

Audytowanie firmy outsourcingowej może być nie lada wyzwaniem. Zazwyczaj wymaga to więcej pracy, niż gdyby dane usługi/funkcje/produkty były wykonywane poprzez firmę wewnętrznie. Jednym z problemów jest odległość — często firmy robią outsourcing do krajów słabiej rozwiniętych gospodarczo, ponieważ jest tam tańsza siła robocza.

I teraz, w wypadku gdybyśmy chcieli na przykład zrobić audyt firmie znajdującej się w Indiach, zajęłoby to dużo więcej czasu. Audytor musiałby polecieć na miejsce i sprawdzić wszystko tam, co zwiększyłoby stanowczo koszt audytu i wydłużyłoby jego czas. Może być również problem z zapisami odnośnie audytu w umowie. Pamiętaj, aby było to porządnie określone i dostawca był odpowiednio zobowiązany do przedstawienia, jak się sprawy mają u niego w firmie.

No i ostatnim problemem może być brak współpracy po stronie dostawcy. Powiedzmy sobie szczerze, nikt nie lubi być audytowany, ponieważ, tak jak nie ma ludzi idealnych, tak i nie ma organizacji idealnych. Zawsze znajdzie się coś do poprawienia, gdzieś będą błędy. I może się zdarzyć, że z jakiegoś powodu nie przejdziemy audytu.

Prawie zawsze będzie to powodować zwiększenie kosztów, czy to przez zaangażowanie pracowników i wykorzystanie ich czasu do naprawy danego problemu, czy też przez jakiś zakupu usługi bądź sprzętu. Jak sam widzisz, może to się wiązać z niechęcią współpracy i nieprzedstawieniem wszystkich zagadnień.

Program audytu

Program audytu zawiera strategię oraz plan audytu. Czyli wszystko, co jest w zakresie audytu, wszelkie zasoby, które będą audytowane, wszelkie procedury i kontrole, które są zaimplementowane w organizacji. Można powiedzieć, że program audytu to taki plan na czas trwania audytu.

Strategiczne zaplanowanie audytu

Celem planowania audytu jest określenie, jakie aktywności mają zostać wykonane podczas audytu, który odbędzie się w niedługiej przyszłości. Trzeba określić zasoby, jakie będą wymagane do przeprowadzenia audytu, między innymi budżet narzędzia czy wymagany personel.

Jak wskazuje nagłówek akapitu, jest to planowanie strategiczne, więc też trzeba wziąć pod uwagę parę czynników. Wylistowałem je dla Ciebie poniżej.

  • Cele organizacji — Podstawowy cel w określeniu dla strategicznego podejścia, czyli jakie cele ma organizacja. Należy te cele podzielić na sekcje i przypisać odpowiednio do działów, które mają za zadanie wspierać te cele. Następnie należy te cele przenieść na procesy biznesowe, technologie do wspierania tych celów oraz kontrole zarówno procesów biznesowych, jak i technologii do ich wspierania. A na koniec jeszcze audyt tych kontroli.
  • Nowe inicjatywy w organizacji — Blisko celów są też nowe inicjatywy. Organizacje często wprowadzają nowe produkty bądź usługi. Często również zmieniają formy dostarczania już istniejących produktów bądź usług.
  • Warunki rynkowe — Trzeba pod uwagę wziąć też warunki rynkowe. One też mogą mieć wpływ na audyt. Dla przykładu, gdy na rynku staje się modne testowanie bezpieczeństwa danego rozwiązania, firmy chętniej podchodzą do audytu danego rozwiązania, by móc się pochwalić, że ich jest równie bezpieczne bądź bezpieczniejsze od innych.
  • Zmiany w technologii — Trzeba wziąć pod uwagę zmianę technologii w organizacji. Na przykład gdy organizacja przejdzie z on-prema na cloud — będzie miało to wpływ na przeprowadzany audyt.
  • Zmiany w regulacjach — Wiemy, jak częste są one w naszym kraju, że aż głowa boli ;). Ale i je niestety trzeba brać pod uwagę, Tak jak dla przykładu przed RODO a po wejściu RODO trzeba było w audycie zawrzeć kilka nowych punktów do sprawdzenia zgodności.
  • Fuzje i przejęcia — Niedawne fuzje czy przejęcia mogą mieć duży wpływ na audyt. Często w dwóch organizacjach były wykorzystywane inne technologie, nie ma jeszcze standaryzacji po fuzji i wiele innych tego typu zagadnień, które też trzeba wziąć pod uwagę.

Prawo i regulacje w audycie

Prawa i regulacje ściśle wiążą się z audytem. Tak jak powiedziałem wyżej, audyt to nie jest najprzyjemniejszy proces. Dlatego też większość firm zgadza się na niego tylko wtedy, gdy są do tego zmuszone — czy to poprzez regulacje prawne, czy przez wymagania klienta.

Wprowadzenie nowego prawa czy regulacji z reguły wiąże się z większym nakładem organizacji na śledzenie tych zmian i zachowanie zgodności z nimi. Śledzenie i weryfikowanie tej zgodności wiąże się ściśle z audytem wewnętrznym, lecz czasem to wychodzi również poza tę skalę i należy zrobić audyt zewnętrzny, by potwierdzał on naszą zgodność z danymi regulacjami — czy to prawnymi, czy innymi.

Każda branża ma swoje regulacje i prawa, ale wszystkie one podchodzą pod poniższe trzy kategorie.

Kategorie regulacji

  • Bezpieczeństwo — Niektóre informacje posiadane przez firmę są informacjami wrażliwymi. Takie są na przykład informacje finansowe czy też dane medyczne. Istnieje wiele regulacji prawnych zapewniających, by tego typu informacje były odpowiednio chronione. Aby nieodpowiednie osoby nie miały do nich dostępu i by informacje te były zabezpieczone przed wszelkimi rodzajami zagrożeń.
  • Zgodność — Niektóre regulacje dbają o zgodność informacji. Informacje muszą być poprawne, a systemy, na których są one przechowywane, muszą być wolne od podatności bądź zagrożeń, które mogą przyczynić się do nieprzewidzianej zmiany tych informacji.
  • Prywatność — W dzisiejszych czasach pomalutku ludzie zaczynają dbać o swoją prywatność. Coraz mniej widzi się zdjęć z wakacji w trakcie wyjazdów czy zdjęcia wyposażenia mieszkania itp. Przynajmniej ja zauważyłem taką poprawę w stosunku do lat poprzednich. Może jestem tylko w swojej bańce informacyjnej 😉 Powstaje też coraz to więcej regulacji zapewniających prywatność, które musisz wziąć pod uwagę w trakcie audytu.

Konsekwencje nieprzestrzegania regulacji

Poniżej chciałbym Ci napisać parę konsekwencji związanych z tym, kiedy nie jesteśmy zgodni z danym regulacjami prawnymi. Przyda Ci się to na pewno przy rozmowie z zarządem ;).

Lista konsekwencji

  • Strata reputacji — To chyba najgorsze, co może się zdarzyć. W dzisiejszych czasach wszystko bazuje na reputacji. Kupujesz produkty, ponieważ ktoś Ci je polecił — czy to werbalnie, czy w internecie. Na pewno czytasz tysiące opinii, zanim kupisz cos droższego i o większej wartości. Zresztą nawet tego bloga pewnie czytasz dlatego, bo ktoś Ci go polecił, bądź przeczytałeś parę moich artykułów i poznałeś jego wartość. PS jeśli mogę Cię o to prosić, to czy mógłbyś polecić mój blog znajomym, którzy interesują się tematyką infosec (oczywiście jeśli uważasz, że możesz i że warto ;). Czy to w social mediach, czy osobiście, byłbym bardzo wdzięczny. Ale wracając do tematu — taka strata reputacji może wiązać się nawet z zamknięciem firmy. Sam pewnie znasz wiele przypadków, w których wypłynęły dane klientów. Czy chciałbyś kupować w takim sklepie? No ja na przykład nie i takie na przykład morele.net omijam szerokim łukiem. Jeśli dany produkt jest tylko tam, to rezygnuję z zakupu ;). Jak sam widzisz, reperkusje są duże. Ach, jak się odezwałem trudnymi słowami;) Reperkusje, czyli inaczej następstwa, tak jakoś mi pasowało ;).
  • Strata przewagi w swojej branży — To też ma duże znaczenie. Na przykład nie posiadając certyfikacji ISO 27001, w wypadku gdy inna firma posiada taka certyfikację, zyskuje nad nami przewagę. I pewnie to ona wygra przetarg od klienta, a my zostaniemy z ręką w nocniku 🙂
  • Państwowe środki represji — Jeśli nie spełnimy jakichś regulacji dotyczących naszej branży, urzędnik może nas zamknąć. Bądź też może w ogóle nie dać nam otworzyć biznesu, dopóki takie regulacje nie będą przez Ciebie spełnione. Dla przykładu kasyna.
  • Pozwy — Możemy dostać wiele pozwów od niezadowolonych klientów bądź też dostawców. Co też może wiązać się z dużymi kosztami dla firmy czy pogorszeniem jej reputacji.
  • Grzywny — Podobnie jak powyżej. Dla przykładu UODO może nałożyć na naszą firmę tego typu grzywny za niespełnienie regulacji.
  • Oskarżenia — Łamanie niektórych praw może powodować oskarżenia zarządu i pociągnąć za sobą odpowiedzialność. Bardzo dobry punkt, by przekonać zarząd do zainwestowania w bezpieczeństwo w organizacji 😉

Znaj prawa i regulacje, które Cię obowiązują

Każda organizacja powinna podjąć odpowiednie kroki, by poznać, jakie regulacje prawne (i nie tylko) je obowiązują oraz by zapewnić z nimi zgodność. Musisz pamiętać, że prawa i regulacje ciągle się zmieniają. I jak już Ci to raz powiedziałem powyżej, u nas w kraju dzieje się to bardzo, ale to bardzo często. Wiec podkreślę to jeszcze raz: musisz je śledzić.

Musisz być w ciągłym kontakcie z prawnikiem, by wiedzieć, czy coś się zmieniło. Jeśli się zmieniło, to zapewne na niekorzyść dla Ciebie. Pamiętaj, że pracując w infosec pomagasz organizacji nie tylko w tym, żeby była bezpieczna, ale i także zgodna z tymi regulacjami. Więc ważne jest to, byś wiedział, co robisz 😉

Wiem, że dużo tej odpowiedzialności, ale za to Ci płacą 😉 Tak jak Ci powiedziałem, odezwij się do prawnika. Bo tego bełkotu prawniczego nie zrozumiesz albo stracisz mnóstwo czasu na jego zrozumienie. Niech prawnik Ci wszystko przedstawi w prosty i zrozumiały sposób.

Swoją drogą nie rozumiem, dlaczego wszystkie te przepisy i regulacje są pisane tak trudnym językiem. Mówi się, że osoba, która nie potrafi wytłumaczyć czegoś prostym językiem, sama tego nie rozumie i chyba tak jest w tym przypadku.

Jest jeszcze jedna opcja warta wspomnienia. Czyli wypisanie wymaganych bądź zakazanych praktyk związanych z prawami i regulacjami dotyczącymi organizacji. I zmapowanie ich względem prowadzonych aktywności w organizacji. W miejscach, gdzie znajdą się luki, należy stworzyć proces bądź procedurę.

Analiza ryzyka w kontekście audytu

Zalecam Ci, żebyś zanim zaczniesz czytać tę część artykułu, wrócił na chwile do artykułu o analizie ryzyka. Po to, byśmy byli w tym samym punkcie i abyś rozumiał zagadnienia zawarte tutaj. Dobrze, teraz lecimy dalej. Analiza ryzyka w kontekście audytu ma za zadanie określenie obszarów, w których będzie potrzebna zwiększona analiza.

W wypadku braku takiej analizy audytor musi pójść za swoim przeczuciem i samemu wybrać, które obszary będą wymagały większej analizy. Bądź też może nadać równie wysoki poziom dla wszystkich aspektów. Co, jak sam wiesz, nie jest zbytnio wskazanym podejściem, ponieważ okaże się, że jest masa pracy na procesach, które w ogólnym rozrachunku mają mniejsze znaczenie.

Lepszym podejściem jest tak zwany risk-driven audit. Jest to metoda analizy ryzyka, która ma na celu określenie, które kontrole, aktywności, procesy czy lokalizacje warte są dodatkowego czasu spędzonego na ich analizie. Oraz określenie, które obszary są objęte mniejszym ryzykiem i wymagają mniej uwagi ze strony audytora. Poniżej podam Ci krótką listę czynników wpływających na określenie ryzyka.

Lista czynników

  • Wartość i krytyczność procesu, systemu, miejsca
  • Regularne obciążenia
  • Historyczne wydarzenia związane z bezpieczeństwem w danym obszarze
  • Wyniki poprzednich audytów

Ocena procesów biznesowych

Pierwszą fazą w analizie ryzyka dotyczącą audytu jest ocena procesów biznesowych. Ma to na celu określenie ważności, celu i efektywności aktywności biznesowych. Ta faza może w głównej mierze skupić się na technologii, ale musisz pamiętać, że technologia ma tylko wspierać biznes.

My jako geeki technologii mamy problem ze zrozumieniem tego zagadnienia. Sam się często na tym łapię — jak to nie kupimy najnowszego sprzętu, przecież będzie można na tym pokombinować, potestować. Ale czasem finansowo nie jest to wskazane 😉

Ważne jest przy analizie procesów biznesowych, by audytor wziął pod uwagę nie tylko technologie, ale również i cały proces. Gdy zaczniesz sprawdzać proces biznesowy, ważne, byś zebrał całą dokumentację dotyczącą tego procesu. Poniżej lista dokumentów.

Lista dokumentów

  • Misja — Nie wiedziałem, jak to nazwać. Jest to główny dokument poglądowy, który jest bardzo wysokopoziomowy i ma na celu określenie podstawowych celów w procesie. Zazwyczaj ten dokument zawiera informacje, po co ten proces istnieje i jak wspomaga on organizacje w jej celach.
  • Architektura procesu — Tu już będziemy mieli niskopoziomową architekturę procesu. Będzie tu zawarty cały flow procesu. Kto z kim, kto przez kogo i tak dalej. Będzie tam zawarta informacja, kto wewnętrznie i zewnętrzne, jakie wykonuje funkcje, wszelkie zasoby, które wspierają proces. Jakie są wymagane zasoby, w jakich lokalizacjach, rodzaje dokumentacji czy logów.
  • Procedury — Procedury jak to procedury — będą określać krok po kroku wykonanie danej czynności. Trzeba będzie zagłębić się we wszystkie procedury dotyczące danego procesu biznesowego. Procedura będzie określać, kto w dziale zajmuje się daną czynnością, jak nie z nazwiska, to z tytułu stanowiska. To pomoże nam w razie wątpliwości skontaktować się z odpowiednią osobą.
  • Dokumentacja/logi — Dokumentacja biznesowa powinna zawierać informacje dotyczące tego procesu. Może to być w różnych formach: diagram, maile, raporty, raporty z badań etc. Na przykład na spotkaniu zarządu uznano na podstawie raportu, że sprzedaż jest niewystarczająca i że należy zmienić proces sprzedaży poprzez zmniejszenie ilości wykonywanych drugich i kolejnych telefonów do klientów. Dokumentacją będzie zarówno wykorzystany raport, jak i decyzja zarządu, najlepiej gdzieś spisana potwierdzona przez konkretne osoby. Tu też wchodzi kwestia niezaprzeczalności, ale to nie będę się rozdrabniał 😉
  • Informacje na temat wspierających systemów — Tu dochodzi dokumentacja wszystkich wspierających systemów danego procesu.

Jak sam widzisz, jest to masa pracy już przy jednym procesie biznesowym. Dlatego nie dziw się, że audyt kosztuje i trwa ;). A jak już skończysz z dokumentacją, musisz przepytać ludzi działających w tym procesie. Czy znają oni procedury, czy wiedzą, jak postępować itd. Gdy już jako audytor poznasz całą dokumentację i przepytasz ludzi, kolejnym krokiem będzie określenie ryzyk dotyczących danego procesu.

Określenie ryzyk biznesowych

Teraz po poznaniu procesu będziemy mogli przejść dalej i zrobić analizę ryzyka. Audytor wykonuje ją na podstawie własnych doświadczeń oraz na podstawie analizy. Musisz zrobić analizę zagrożeń, by określić tabele ryzyk. Analiza ryzyk polega na wypisaniu potężnej listy zagrożeń związanych z danym procesem i określenie możliwości ich wystąpienia. Audytor ma za zadanie rozważyć i udokumentować każde z ryzyk. Poniżej lista elementów niezbędnych do rozważenia.

  • Prawdopodobieństwo wystąpienia — Można to zrobić za pomocą metody qualitative bądź quantitative. Jak sam już wiesz, quantitative będzie wymagała od Ciebie więcej pracy. Prawdopodobieństwo powinno być określone jak najbardziej realistyczne i tu właśnie wchodzi ocena i doświadczenie audytora.
  • Strata — Jak będzie strata finansowa po wystąpieniu danego ryzyka.
  • Negatywny wpływ — Jest to informacja, jaki będzie wpływ po wystąpieniu danego ryzyka. Napisałem negatywny, bo nie bywa pozytywny 😉
  • Możliwości uniknięcia — Lista możliwych opcji, by uniknąć danego zagrożenia.
  • Możliwość przeniesienia — Analiza możliwości przeniesienia ryzyka.
  • Kosz i zasoby — Obliczenie, jakie będą koszty i jakich zasobów trzeba użyć, by uniknąć danego ryzyka.
  • Zaktualizowane prawdopodobieństwo wystąpienia — Jakie będzie prawdopodobieństwo wystąpienia przy zaaplikowaniu jednej z opcji uniknięcia ryzyka.
  • Zaktualizowany negatywny wpływ — W wypadku zaaplikowania jednej z opcji uniknięcia ryzyka należy też podać negatywny wpływ, jaki wystąpi, jeśli wprowadzimy tę opcję.

Jak widzisz ta analiza troszkę różni się od tej w poprzednim artykule, ale i tak zachęcam Cię, byś tamten artykuł również przeczytał.

Podsumowanie

Dziś poruszyliśmy sporo tematów dotyczących audytu. W pierwszej kolejności przeanalizowaliśmy umowy oraz problemy związane z audytem outsourcingu. Następnie dowiedziałeś się, jak strategicznie stworzyć plan audytu i jakie mamy kategorie ryzyk związane z ryzykami dotyczącymi audytu.

Jak już to skończyliśmy, przeszliśmy do listy konsekwencji związanych z niezgodnościami odnośnie regulacji. A wisienką na torcie dzisiejszych artykułów była analiza ryzyka w audycie, ocena procesów biznesowych oraz określenie ryzyk biznesowych.

Ale nie martw się, nie kończymy na tym. W kolejnym artykule dodam informacje, jak uniknąć tych ryzyk i przejdziemy przez przeprowadzanie audytu. Kawał przygody przed nami, wiec czekaj z niecierpliwością.

I jeśli podobał Ci się ten artykuł, oceń go i podziel się nim ze znajomymi zainteresowanymi tematyką infosec 😉 Oczywiscie jeśli uważasz go za wartościowy 😉

Pozdrawiam – Pusz

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Brak głosu. Kliknij proszę doceń moją prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić