Úloha auditu při řízení informatiky

Uplatnění správných manažerských rozhodnutí při řízení informatiky je podmíněno znalostí skutečného stavu ICT. Důležitým nástrojem pro poznání objektivního stavu řízení informatiky a informační bezpečnosti je audit ICT, který je důležitou složkou prohlubující nepostradatelné zpětné vazby.

Definice: Audit je systematický, nezávislý a dokumentovaný proces získání důkazů z auditu a jejich hodnocení s cílem stanovit rozsah splnění kritérií auditu [ISO19011].

Provádění auditů je spojeno s dodržováním zásad, které z něj činí efektivní a spolehlivý nástroj pro podporu účinného managementu a řízení. Za základ se považují následující zásady:

n Etické chování – důvěryhodnost, jednotnost, důvěrné a diskrétní vystupování auditora.

n Spravedlivé prezentování – zjištění, závěry a zprávy z auditu musí být pravdivé a musí přesně popisovat veškeré při auditu provedené činnosti.

n Profesionální přístup – auditor musí být vysoce odborně a profesně způsobilý a musí využívat své odborné zkušenosti.

n Nezávislost – auditor musí být nezávislý na auditované činnosti a audit musí být veden s cílem nalézt objektivní stanovisko.

n Průkaznost – veškeré závěry a informace vzešlé z auditu musí být zpětně ověřitelné.



Postup auditu ICT

Podívejme se nyní na vlastní průběh auditu podrobněji. Obvykle je možné takový audit rozdělit do následujících pěti částí:

n Zahájení auditu – jmenování týmu pro audit, definování cílů, předmětu a kritérií auditu.

n Přezkoumání dokumentace a příprava činností na místě – všechny audity by se měly opírat o základní znalost prostředí. Tato fáze auditu slouží k prostudování existující dokumentace, což je základem návrhu účinného plánu auditu. Součástí této fáze je též příprava pracovních dokumentů (např. dotazníky apod.).

n Provádění auditu na místě – jádro celého auditu, dochází k vlastnímu sběru informací o skutečném fungování systému, k ověřování zjištěných skutečností a shromáždění důkazů.

n Příprava, schválení a distribuce zprávy z auditu – opírá se o důkladné vyhodnocení všech zjištěných skutečností při zvážení negativních dopadů a dalších souvislostí. Tato práce je základem pro formulování stručné a výstižné zprávy z auditu.

n Dokončení auditu – pro vlastní auditní tým je důležité, aby si sám vyhodnotil úspěšné i méně zdařilé stránky auditu. Zpětná vazba je pro auditory důležitým nástrojem zlepšování.



Audit ICT a využití rizik

V každé organizaci existuje mnoho systémů ICT s rozdílným postavením, umístěním a využitím. V těchto případech jsou auditoři postaveni před otázku, který ze systémů je pro výsledky auditu důležitější a co mohou považovat za méně významné. Pro tyto případy bývá uplatňován audit založený na hodnocení rizik. Jde o to, že při plánování auditů jsou zvažovány možné dopady auditované oblasti na fungování organizace, existující příznaky nesouladů a závažnost nedostatků zjištěných předchozími audity. Tyto informace dovolují stanovit míru rizika, které je spojené s daným systémem, a přizpůsobit jí rozsah a cíle auditu.

Systémům s vysokou mírou rizika (např. relativně nové systémy s velkým dopadem na organizaci a s neuspokojivými výsledky předchozích auditů) se pak věnuje intenzivnější pozornost. V těchto případech je též žádoucí doplnit audit o vhodný formát bezpečnostních testů, které dovolují podrobně ověřit technické aspekty bezpečnosti. Naproti tomu u systémů s nižší mírou rizika postačují přehledové audity.

Hlavní výhodou tohoto přístupu k plánování auditů je vyšší míra zacílení do problematických oblastí, doprovázená úsporou zdrojů. Současně je tento přístup vhodným motivačním faktorem – asi nikde nejsou auditoři příliš oblíbeni.



Uplatnění měřítek

Při vyhodnocení auditu ICT a následném využívání výsledků při dalším rozvoji systémů je důležité správně zvolit citlivost hodnocení. V řadě případů nestačí pouze konstatovat, že opatření jsou či nejsou v souladu s metodikou. Pro upřesnění rozvoje je potřebné vyhodnotit hloubku prosazení daných principů. Příklad hodnocení bezpečnosti je uveden na obrázku. Bylo zde využito pětistupňové měřítko, kde se určuje míra prosazení v souladu s tzv. modelem vyzrálosti (CMM). Jinými slovy management je schopen na základě této tabulky jednoduše rozpoznat skutečnou hloubku prosazení bezpečnosti a podle toho optimalizovat další úsilí.

Závěr

Aplikování zpětné vazby přináší pro každý řídicí systém mnoho výhod. Nejinak je tomu i u systémů řízení informatiky či informační bezpečnosti. Objektivní informace o skutečném stavu fungování jsou nenahraditelným zdrojem informací, které dovolují odpovědným manažerům přesněji a účinněji formulovat opatření pro zlepšování systému. A v tomto směru je audit ICT nenahraditelným nástrojem, jehož význam stále narůstá.



Luděk Novák pracuje jako konzultant společnosti ANECT, a.s.



Zajímavé odkazyr



• www.isaca.org

• www.auditnet.org





Opatření bezpečnosti informací

podle ISO/IEC 17799:2005





Bezpečnostní politika

Organizace bezpečnosti

Klasifikace a řízení aktiv

Personální bezpečnost

Fyzická bezpečnost a bezpečnost prostředí

Řízení komunikací a řízení provozu

Řízení přístupu

Vývoj a údržba systémů

Řízení bezpečnostních incidentů

Řízení kontinuity činnosti organizace

Soulad s požadavky





Náhodně

Opakovatelně

Definovaně

Měřitelně

Optimalizovaně



Příklad grafického vyhodnocení auditu bezpečnosti

informačních a komunikačních technologií.



Typický průběh auditu.



Zahájení auditu

Přezkoumání dokumentace a příprava činností na místě

Provádění auditu na místě

Příprava, schválení a distribuce zprávy z auditu

Dokončení auditu

Provedení následného auditu