AUDITUL INTERN AL TEHNOLOGIILOR ÎN CONSOLIDAREA
SECURITĂŢII INFORMAŢIONALE
Prisăcaru Marin
Departamentul Audit Intern
Banca Naţională a Moldovei
Abstract. This article presents writer’s opinion regarding integration of information security team and internal audit staff effort, in order to build an efficient and effective information security system. It describes their main responsibilities and the way they should interact, to the best for the organization.
Un sistem matur şi eficient de securitate informaţională trebuie să facă uz de toate resursele disponibile în cadrul organizaţiei. Subdiviziunea responsabilă de securitatea informaţională şi subdiviziunea responsabilă de auditul intern al tehnologiilor informaţionale constituie forţe importante ce necesită să fie orientate adecvat spre consolidarea sistemului de securitate informaţională şi integrarea lui la nivelul întregii organizaţii. Pentru a reuşi acest lucru, este necesar a stabili relaţii de conlucrare sănătoase între cele două subdiviziuni, relaţii la baza cărora să predomine interesul organizaţiei, mai presus decât interesul de grup. Deşi aceste relaţii se consolidează în timp, direcţia şi ritmul de dezvoltare a lor e necesar a fi stabilite din start, prin formularea explicită a responsabilităţilor fiecărei subdiviziuni şi modul de interacţiune a lor.
Un pas important în această direcţie a fost făcut odată cu publicarea standardului internaţional Cod de Practici pentru Managementul Securităţii Informaţionale (Code of Practice for Information Security Management) ISO 17799. În capitolul Organizarea Securităţii sunt indicate principiile de bază necesar a fi considerate la organizarea şi implementarea unui sistem de securitate informaţională fiabil şi eficient. În acest context se pune accentul pe Alocarea responsabilităţilor privind securitatea informaţională şi modul de interacţiune în cadrul organizaţiei astfel încât să se asigure prezenţa consultanţei de profil în privinţa securităţii informaţionale şi revizuirea independentă a securităţii informaţionale. Dacă responsabilitatea de bază privind organizarea sistemului de securitate informaţională la nivel general, conform ISO 17799, se recomandă a fi atribuite subdiviziunii responsabile de securitatea informaţională, atunci responsabilităţile de consultanţă şi de revizuire a sistemului de securitate informaţională vor fi atribuite unei alte subdiviziuni, independente şi cu un înalt nivel profesional în domeniu. Subdiviziunea responsabilă de auditul intern al tehnologiilor informaţionale este o bună alternativă în acest sens. Însă, e necesară stabilirea clară şi fără echivoc a rolurilor în cadrul procesului de asigurarea a securităţii informaţionale, astfel încât să se evite situaţiile în care există riscul de compromitere a independenţei şi obiectivităţii procesului de audit.
La această etapă apar în practică multe ambiguităţi, legate de specificul fiecărei organizaţii. De cele mai multe ori, nu sunt clar identificate şi stabilite rolurile şi responsabilităţile privind securitatea informaţională. Pentru a elucida puţin situaţia, vom dezvolta prevederile de bază definite în cadrul ISO 17799, formulând responsabilităţile în privinţa securităţii informaţionale având protagonişti cele două subdiviziuni ce interacţionează foarte frecvent în cadrul acestui proces: Securitatea Informaţională şi Auditul Intern al Tehnologiilor Informaţionale.
Tipic, scopul procesului de audit intern în cadrul organizaţiei constă în evaluarea obiectivă şi independentă a riscurilor aferente proceselor de activitate, a eficienţei şi eficacităţii utilizării resurselor organizaţiei şi informarea Comitetului de Audit privind constările făcute. În particular, responsabilitatea auditului intern al tehnologiilor informaţionale este de a asigura Comitetul de Audit că:
tehnologiile informaţionale se subordonează necesităţilor proceselor de activitate, satisfac necesităţile proceselor de activitate şi maximizează beneficiile din utilizarea lor;
resursele informaţionale sunt utilizate raţional şi responsabil;
riscurile de utilizare a tehnologiilor informaţionale sunt gestionate adecvat.
Scopul activităţii subdiviziunii responsabile de securitatea informaţională constă în elaborarea, implementarea, menţinerea şi dezvoltarea sistemului de securitate informaţională la nivelul întregii organizaţii. În particular, responsabilităţile de bază sunt:
dezvoltarea şi menţinerea politicilor şi procedurilor de securitate informaţională actuale;
monitorizarea respectării politicilor şi procedurilor în privinţa securităţii informaţionale;
evaluarea riscurilor implicate de utilizarea tehnologiilor informaţionale şi identificarea soluţiilor de atenuare a lor;
coordonarea procesului de planificare şi asigurare a continuităţii activităţii;
implicarea în gestiunea incidentelor informaţionale;
implementarea programului de instruire a utilizatorilor privind securitatea informaţională şi asigurarea eficacităţii programului respectiv;
Din cele menţionate mai sus se relevă modul direct în care interacţionează subdiviziunea responsabilă de securitatea informaţională şi subdiviziunea responsabilă pentru auditul intern al tehnologiilor informaţionale. Evaluarea riscurilor de utilizare a tehnologiilor informaţionale în cadrul procesului de audit, presupune analiza şi evaluarea procesului de asigurare a securităţii informaţionale, realizat în mare parte prin responsabilităţile privind securitatea informaţională după cum sunt definite mai sus. Totuşi, conlucrarea doar în limitele responsabilităţilor definite nu va permite crearea celor mai optime şi eficiente relaţii pentru organizaţie. Va permite totuşi respectarea principiului revizuirii independente a securităţii informaţionale, deşi auditul intern poate oferi mai multe în această privinţă. Rolul de consultant de profil în privinţa securităţii informaţionale ar asigura o interacţiune mult mai frecventă şi mai eficientă a auditului intern al tehnologiilor informaţionale cu securitatea informaţională. În plus, se va practica o abordare reactivă în procesul de consolidare a sistemului de securitate informaţională, când eventualele deficienţe vor putea fi sesizate înainte de a fi aplicate în practică. Principiul ochiului proaspăt şi experienţa în domeniu al auditului tehnologiilor informaţionale pot să joace un rol foarte benefic pentru un sistem de securitate informaţională eficient şi fiabil.
Un principiu important în contextul stabilirii relaţiilor între subdiviziunea responsabilă de securitatea informaţională şi auditul intern al tehnologiilor informaţionale este totuşi, nedepăşirea atribuţiilor de consultant, situaţie în care este iminent riscul de compromitere a obiectivităţii şi independenţei procesului de audit. În acest caz este ameninţată misiunea strategică a auditului intern: informarea obiectivă şi independentă a Comitetului de Audit.
Bibliografie:
Code of Practice for Information Security Management, ISO 17799;
Information Security Officer’s Manual, RUSecure ( http://www.computer-security-policies.com )
The Audit / Security Alliance, Thomas R. Peltier, EDPACS, April 2004
International Standards for the Professional Practice of Internal Auditing, Institute of Internal Auditors (www.theiia.org )