Keresés

Közösség

Feedek

XML

Linkblog

Címkék

adatmentés (1) adatvédelem (2) aliceesbob (2) android (2) audit (2) aws (3) búcsú (1) cloud (4) cpp (1) dokumentumok (2) esemény (3) esettanulmány (8) ethical hacking (6) facebook (1) felhasználókezelés (2) fraud (2) gépházból jelentjük (11) gondolatka (16) hacking (10) hacktivity (3) hétpecsét (2) hirdetés (2) ibir (1) incidenskezelés (3) infojog (2) információszivárgás (2) iso27001 (1) itbusiness (1) itscc2010 (4) java (1) jelszó (2) kezdő dba (2) kitekintés (2) kockázatkezelés (2) könyvajánló (3) lockpicking (1) mobil biztonság (1) mobil kommunikáció (1) msword (1) naplóelemzés (2) népszámlálás (1) oracle (2) oscp (1) pebkac (1) poénka (4) programozás (6) pszichológia (2) rackspace (1) rendelkezésre állás (2) rootkit (2) sajtófigyelés (2) scam (3) sdlc (2) social engineering (3) szabályzat (1) tanácsadás (3) tanácsadóbeszél (2) technika (1) tedx (1) termékvédelem (1) teszt (2) történet (6) vagyonleltár (1) verseny (2) virtualizáció (1) vírus (1) vizsga (1) wall of sheep (2) wifi (2) Címkefelhő

A nagy auditor svindli

2011.10.06. 11:08 | aliceesbob | 1 komment

Címkék: audit gondolatka

Az auditálás egy olyan valami, amikor egy konkrét ügyben nem érdekelt független harmadik fél mond az iparági, szakmai legjobb gyakorlatok, törvényi előírások (és remélhetőleg a tisztesség és józan ész) alapján véleményt az ügyről.

Az ügy lehet a cég éves jelentése, az autód állapota, a kéményed, bármi.

Nem tudom, hogy régen voltak e auditorok, ez a fajta tevékenység korát tekintve vajon vetekedhet e a közmondásos legősibb mesterséggel, de az biztos, hogy a modern kor nélkülözhetetlen kelléke.

Auditál az IT biztontsági tanácsadó is. Informatikai biztonsági audit alanya lehet bárki, aki a számológépnél bonyolultabb informatikai feldolgozási eszközt használ. Szóval bárki, de különösen azok, akikre előre van írva, vagy ügyfeleik megkövetelik a jó magaviseletet.

Az auditálásnak közös jellemzője, hogy mindig van egy megbízó, aki felkéri az auditort és van egy "szenvedő alany", aki azt elszenvedi. A felkérés sokszor nem kell konkrét személy, cég legyen, elég lehet egy törvényi előírás is (pl. Számvevőszék, könyvvizsgáló). Szenvedő fél mindig van. Most inkább hívjuk auditálás alanyának. Az auditálásnak különösen perverz formája és ezt különösen az állam szereti alkalmazni, amikor az auditálás alanyával fizetteti meg az auditálás költségét (lásd kémény, gázművek stb.).

Az auditor függetlenségén, szakmai kvalitásain túl, az ügy jellege alapvetően befolyásolja (befolyásolhatja) az auditor viselkedését és ezáltal lényegében kérdőjelezi meg a működésben betöltött szerepét!

Az IT biztonsági sapka alól kitekintve én négy lényeges szempontot találtam:

  • az ügy megértésének ráfordításigénye az auditor oldaláról;
  • a negatív megállapítások hatása a két félre;
  • a később esetlegesen bekövetkező baj és az auditmegállapítások közötti ok-okozati viszony erőssége;
  • a tényleges baj bekövetkezésének valószínűsége.

Vizsgáljuk meg ezeket szép sorban.

Az ügy megértésének ráfordításigénye az auditor oldaláról. Az ügy megértése idő. Minél bonyolultabb az ügy, minél több tudást kell felvonultatni, annál több. Ha az auditor ráfordítását limitálják, akár közvetlenül (mennyibe kerülhet), akár közvetve (határidő), akkor kevésbé lesz az ügy megértve. Erre kétféle auditor reakciót láttam: általánosságokat fog mondani, vagy általánosságokat fog mondani. Ilyen általánosság, mondjuk "A szervezet szabályzati rendszere számos ponton javításra szorul."

A negatív megállapítások hatása a két félre. Az auditálásnak van egy nagyon erős emberi oldala is, amitől az auditor sokszor nem tudja, vagy akarja függetleníteni magát. Azt vettem észre, hogy az auditálásban a legritkább esetben van benne az teljes elutasítás lehetősége. Mind a megrendelő, mind az alany implicit feltételezi (szerencsés esetben), hogy persze vannak hibák, de menet közben korrigálhatóak. De mi van ha nem? Képzeljük el, kiszervezted az informatikádat egy külsős cégnek, majd hívsz egy auditort, hogy nézze meg a biztonsági kontrollokat. A cég azzal jön vissza, hogy ezek kamikázék, nem mentenek, win95-öt használnak, stb. A gondolatot az auditor nem fejezi be, de arra gondol, hogyan lehettél ennyire naív (hülye?), hogy ilyenhez szervezted ki az informatikádat? A gondolatot nem fejezi be, befejezi helyetted a megrendelő (gondolatban), és megkér, hogy ne legyen ilyen sarkos a megállapítás.

Könnyebb a helyzet, amikor a két fél között laza a viszony, könnyebb a rossz hírt vinni. Azonban minél erősebb az egy csónakban evezés, annál jobban visszaüt a megbízóra minden találat is.

A később esetlegesen bekövetkező baj és az auditmegállapítások közötti ok-okozati viszony erőssége. Hallottál már olyanról, hogy egy a rossz műszaki állapot miatt bekövetkezett baleset esetén mondjuk a műszaki vizsgaközpontot felelősségre vonták volna? Ha nincs igazi felelősség, akkor vajon miért végezne egy auditor körültekintő munkát? Minél gyengébb a kapcsolat, minél nehezebben bizonyítható az ok-okozati viszony, annál nagyobb a kísértés a hanyag munkára.

A tényleges baj bekövetkezésének valószínűsége. Volt már nálatok kéményseprő kéményt ellenőrizni? Nálunk igen. Elméletileg az lenne a dolga (én ezt várom el, ha már fizetek érte és évente vegzál), hogy megnézze, a kéményem még mindig szelel, nem döglök meg CO mérgezésben. Feltételezem azért jön évente, mert a tapasztalat azt mutatja, ha évente megnézik a kéményt, akkor egy év alatt egy kémény állapota nem romlik annyit, hogy az veszélyes legyen. Ehelyett eddig mindig egy olyan ember jött, akinek egy darab táskája volt papírokkal, sima utcai ruhában. Az elmúlt 8 évben amióta találkoztam azzal, hogy van adminisztratív kéményellenőrzés is, meg se próbált belenézni a kéménybe. 

Miért is így működik ez? Az országban marha sok kémény van. Szénmonoxid mérgezésben évente nagyon kevesen hallnak meg. Tehát nagyon ritka eseményt akar az ellenőrzés megelőzni. Ha nem csinál semmit, akkor sem tűnik fel senkinek, hiszen alig történik baj. Amennyi igen, az meg "benne van a pakliban".

De vissza az IT-hoz...

  • Az IT biztonsági audit ahhoz, hogy valódi problémákat tárjon fel, mélyre ásást igényel, ami sok idő.
  • Az IT biztonsági audit eredményétől sokszor csak a döntés utólagos megalapozását várják el.
  • Ha baj történik, akkor annak rendszerint sok összetevője van, de legalább is sokféle módon meg lehetett volna akadályozni, ezért a hanyag munka is "védhető".
  • Alapvetően soha sincs baj, ezért fel se tűnik, ha az auditor nem csinál semmit.

No, hát ezért van olyan sok vacak auditjelentés és auditor. És nem csak IT biztonsági vonalon...

 

Tiborcz József

Facebook Tumblr Tweet Pinterest Tetszik
0

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://aliceesbob.blog.hu/api/trackback/id/tr923282125

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

battila.hu 2011.10.17. 15:51:36

Videken nalunk a kemenysepro seperte is a kemenyt. Nem csak papirozott.
Persze a gazfutesnel mar nem kell belulrol kemenyt takaritani, de meg kell gyozodni az egyeb eloirasok betartasarol (kemeny magassag, hogy van bekotve, ...)
Válasz erre 
süti beállítások módosítása