Information Technology Audit Best Practices
أعتقد انه لا احد منا يستمتع بإجراءات المراجعة على
إدارته. فالغرباء يتجولون فى كل مكان يبحثون عن الهفوات والأخطاء التى ربما تكون
قد نسيتها. فعندما تُذكر كلمة (المراجعة) يتبادر إلى ذهنك إجراءات التفتيش
المفاجئة التى يقوم بها أفراد فريق المراجعة فى
محاولة منهم لكشف نقاط الضعف فى النظام.
ولكنه أنت من يجلس فوق الصفيح الساخن إذا ما تعرضت أنظمة
الكمبيوتر لديك للإختراق. إذا كنت أنت الشخص المسئول عن قسم تأمين المعلومات
بالشركة، فانك أنت من يجب أن يُصر على إجراء المراجعة سواء الداخلية أو الخارجية على
إدارة تكنولوجيا المعلومات وعلى انظمة الأمن بها.
فى بعض الأحيان لن يكون هناك امامك خيار سوى إجراء عملية
المراجعة ، فبعض الشركات الكبرى يجب أن تتم عملية المراجعة بها سنوياً. كذلك بعض المستثمرين يُصر أن يكون
هناك تقارير للمراجعة قبل أن يقوم بالتعاون مع شركتك فى عمل أى أستثمارات جديدة.
ولكن ماذا إذا أخفق
المراجعون فى أداء علمهم، فانت أيضاً من سيكتوى بالنار فى حاله إن تمكن المخترقون
من إيقاف عمل موقع الويب الخاص بالشركة، أو نجحوا فى سرقة بيانات العملاء اللذين
تتعامل معهم شركتك. فلا تجعل هذا يحدث، ولن يحدث إن شاء الله فى حالة ما اتبعت
الخطوات التالية لضمان نجاح فريق المراجعة
فى أداء أعمالهم.
الخطوات
المطلوبة لنجاح إجراءات المراجعة الخارجية:
1-
قم بتحدد حد أدنى من تأمين المعومات لديك.
إن سياسات التأمين Security Policy التى تطبقها فى شركتك هى الاساس.
فبدون سياسة تأمين جيدة، لن يمكنك تحديد حجم المخاطر التى تتعرض لها انظمة
المعلومات بالشركة. بما أن التكنولوجيا تتغير سريعاً، لذا يجب مراجعة سياسة تأمين
نظم المعلومات بانتظام والتاكد من مواكبتها مع اخر التطورات. إن نقاط الضعف فى
البرامج Vulnerabilities يتم الكشف عنها بصورة يومية تقريباً، لذا فان عمل مراجعة سنوية لسياسة تامين
البيانات هو امر ضرورى.
إذا كانت لديك خبرة طويلة مع المراجعة ،
فانت تمتلك العديد من تقارير المراجعة عن السنوات السابقة والتى يمكنك اعتبارها
الحد الأدنى من المعلومات الواجب إتباعها لتأمين المعلومات فى شركتك.
أما إذا كنت لا تمتلك هذه الخبرات
المتراكمة والتقارير السابقة من المراجعة ، فيمكنك توظيف شركتين او مكتبين منفصلين
للمراجعة فى نفس الوقت للتأكد من قيامهم بالعمل على وجه صحيح. بالطبع سيكون هذا
مكلفاً، ولكنه أفضل من الاعتماد على معلومات من مصدر واحد فقط خصوصا فى البداية.
لا تنتظر حتى يجبرك أحد الهاكرز المخترقين على البحث عن نقاط
الضعف فى تأمين البيانات فى شركتك. قم أنت بالخطوة الأولى وأبدأ من الآن فى حماية
وتأمين بيانات شركتك.
- حدد إحتياجاتك بدقة.
دعونا نأخذ مثال بسيط عن كيفية تحديد
إحتاجاتك من شركات مراجعة أنظمة تأمين المعلومات بدقة:
لقد قمت بتركيب جدار نارى Firewall، وتريد من شركة مراجعة تأمين
المعلومات أن تقييم هذا الجدار النارى. وانت تريد من شركة المراجعة التالى:
1- مراجعة وتوثيق إعدادات نظام التامين
الذى تم عمله على الجدار النارى لتقييم إحتمالات تعرض الشبكة الداخلية لأى هجوم
خارجى.
2- مراجعة إعدادات أنظمة التشغيل على الخوادم
للتأكد من عدم وجود أى ثغرات امنية بها.
3- التأكد من إعدادات الراوتر وسجلات
الدخول عليها log files.
4- بعد تجربة كل ما سبق يتم التصريح
بعمل الجدار النارى فى بيئة العمل الفعلية.
5- توثيق إجراءات Disaster recovery الخاصة بالجدار النارى وأنظمة
التشغيل.
6- إجراء تجربة لإختراق الجدار النارى
بعد تركيبه Penetration test.
3- اختار
المراجعين اللذين يتمتعون بخبرة حقيقية وليست خبرة نظرية.
ربما كنت
تميل إلى الإعتماد على أفراد العمل بإداراتك من أجل إجراء عمليات المراجعة على
أنظمة أمن المعلومات فى شركتك أو إدارتك، ولكن نصيحتى لك أن لا تفعل هذا. إن تحميل
أخر الإصلاحات patches، التأكد من أن أنظمة التشغيل والبرامج قد تم إعدادها لكى تكون
آمنة، و مراقبة أنظمة الدفاع والحماية هى مهام عمل أفراد قسم تأمين المعلومات
لديك، ولكن فى أحيان كثيرة يكون الغرباء هم الأقدر على إكتشاف نقاط الضعف والمشاكل
فى نظام تأمين المعلومات لديك.
إن المراجعة الفنية على إدارة تكنولوجيا المعلومات، تؤدى إلى تحديد وإكتشاف
المخاطر التى قد يتعرض لها النظام عن طريق مراجعة السياسات والإجراءات المتبعة فى
الشركة وكذلك أنظمة تأمين الشبكة وإعدادات النظام بوجهة عام. هذه المراجعة وظيفة
خبراء فى نُظم تأمين المعلومات وليس اى شخص أخر.
إذا كنت ستستأجر مكتب للمراجعة الخارجية، فتأكد من الخبرات العملية لأفراد
فريق العمل، لا تنخدع بالشهادات فليست الشهادات وحدها هى التى تحدد مدى كفاءة فريق
عمل المراجعة الخارجية، ولكن الخبرة العملية الحقيقية هى المقياس.
عند إستأجارك مكتب للمراجعة الخارجية، فتأكد أنهم قدموا لك كشف بما
سيفعلونه لإتمام العمل Statement
Of Work SOW، وفيها ستكون تفاصيل العمل الذى سيقدمونه لك لكى
تحقق أهدافك من عملية المراجعة الخارجية. بالاضافة إلى المنهج الذى سيتبعونه فى
إجراء عمليات المراجعة، والمخرجات التى ستنتج من عملية المراجعة.
4-
شارك مديرى الإدارات مبكراً فى إجراءات المراجعة.
لا
أحد منا يحب المفاجأت فى مجال العمل، لذا أحرص على أن تُخبر مديرى الإدارات
والأقسام التى ستخضع للمراجعة قبل عملية المراجعة نفسها بفترة كافية. فهذا سيسهل
مهمة عمل فريق المراجعة. وسيسهل على كل إدارة إعداد البيانات المطلوبة منها من طرف
مكتب المراجعة.
5-
بعض متطلبات فريق المراجعة:
- نسخة من سياسة تأمين البيانات
والإجراءات المتبعة لتنفيذها. وهذا يتضمن:
-
سياسة إعداد كلمة السر للمستخدمين وكيفية تهيئتها.
-
أخر نتائج لبرامج مقاومة الفيروسات.
-
كيفية أخذ نسخ أحتياطية، وكيفية الأحتفاظ بها.
-
من له صلاحيات متقدمة على النظام Sysadmins.
- أجهزة الحماية الخارجية مثل الـ Firewall و الـ IPS.
-
أنظمة التشغيل المستخدمة فى الشركة، وكذلك التطبيقات.
6-
قم بمراجعة تقرير المراجعة وتأكد من أنه يعكس المخاطر الحقيقية التى تتعرض لها
شركتك.
إذا كان التقرير الذى ستحصل عليه بعد
الإنتهاء من عملية المراجعة، هو مجرد تقرير ناتج من احد برامج أكتشاف الثغرات، فمع
الأسف فأنت قد أضعت وقتك ومالك مع مكتب المراجعة الخارجية الذى قمت بأستقدامه.
صحيح أن العديد من برامج إكتشاف الثغرات
تقوم بإخراج تقارير ممتازة، إلا أن مكتب المراجعة يجب أن يقوم بإضافة قيمة ناتجة
من خبرات أعضائه على هذه النوعيه من التقارير، ويجب أن يقوم بتقديم تقرير تفصيلى
فيه جميع الجوانب التحليلة والشرح الكافى لبيان سبب حدوث هذه الثغرات وكيفية
تلافيها فى المستقبل.
المصدر:
http://searchsecurity.techtarget.com/IT-security-auditing-Best-practices-for-conducting-audits
ليست هناك تعليقات:
إرسال تعليق