Audyt IT – czas na weryfikację – część III
09.12.2020
Autor: Angelika Niezgoda, Marcin Jastrzębski
Zgodnie z zapowiedzią poniżej trzecia część artykułu na temat audytu IT. Poprzednie części dotyczyły prawidłowego określenia zakresu audytu (cz. 1) oraz ocenie bezpieczeństwa (cz. 2). Obecnie skoncentrujemy się na procesach utrzymaniowych i eksploatacyjnych. Przypomnijmy, że od rozpoczęcia obowiązywania RODO minęły już ponad dwa lata, zatem w większości organizacji zakończono prace wdrożeniowe i przyszedł czas, aby zweryfikować poprawność i skuteczność wdrożonych rozwiązań. Jak zatem przeprowadzić okresowy przegląd obszaru IT pod kątem bezpieczeństwa przetwarzania danych?
III – nie zapomnij o procesach utrzymaniowych i eksploatacyjnych
Zgodnie z obowiązującą zasadą rozliczalności należy odpowiednio, adekwatnie do wypełnianych zadań służbowych, rozdzielać role i odpowiedzialności poszczególnych osób w organizacji. Elementem audytu IT powinien być także przegląd struktury organizacyjnej właśnie pod tym kątem. Zgodnie z dobrymi praktykami należy rozdzielać uprawnienia np. w procesie wytwarzania oprogramowania, kiedy osoby tworzące kod, nie powinny być jednocześnie osobami testującymi. Podobnie należy zweryfikować poprawność w przypadku oddzielenia uprawnień administracyjnych od managementu. Decydent, odpowiedzialny za zatwierdzenie przydzielenia odpowiednich uprawnień, nie powinien być jednocześnie osobą, która faktycznie tych uprawnień udziela. Najlepsze praktyki pokazują, że dobrze jest przynajmniej raz w roku przejrzeć strukturę zadaniowości w zakresie nadawania, autoryzacji, udzielania oraz weryfikacji praw dostępu. Dobrze by ten przegląd nie opierał się wyłącznie na tzw. wnioskach o dostęp, ale obejmował też swoim zakresem faktycznie nadane uprawnienia, tak pod kątem ich zgodności z wnioskami, jak też pod kątem adekwatności samego wniosku.
Kolejnym istotnym elementem audytu powinien być przegląd dostawców, umów i wymagań dotyczących bezpieczeństwa przy współpracy z podwykonawcami. W zakresie przeglądu należy uwzględnić dostawców świadczących konkretne usługi oraz dostarczających i utrzymujących rozwiązania systemowe. Dobrym rozwiązaniem jest stosowanie w tym obszarze zatwierdzonej listy wymagań bezpieczeństwa w odniesieniu do współpracujących z organizacją dostawców zewnętrznych. Lista ta oczywiście w ramach wprowadzanych w organizacji zmian również powinna podlegać aktualizacji i przeglądom. Kolejnym krokiem jest przeprocesowanie z dostawcami aktualizacji wprowadzanych do wymogów bezpieczeństwa, co często zostaje pominięte lub niekompletnie wykonane. Samo aneksowanie umowy nie powoduje niestety automatycznie zmiany stosowanych u dostawców mechanizmów zabezpieczeń i wymaga wykonania odrębnej pracy poza podpisaniem stosownych dokumentów. Warto by te działania były wspierane lub koordynowane przez organizacje, bo to na administratorze danych spoczywa obowiązek wdrożenia odpowiednich rozwiązań, należycie chroniących przetwarzane dane osobowe, nawet jeśli przetwarzanie odbywa się przy wparciu dostawcy zewnętrznego. Co ważne, wprowadzając zmiany w stosowanych zabezpieczeniach przy okazji zawierania umów z nowymi dostawcami, nie należy zapominać o tych dostawcach, którzy obsługują organizacje w sposób stały. Rozszerzenie obecnych umów o zaktualizowane wymogi pozwoli ujednolicić zasady bezpieczeństwa, a to z kolei sprzyja uniknięciu wystąpienia incydentów naruszenia ochrony danych. Zwłaszcza, jeśli przyczyna występujących do tej pory incydentów w organizacji, miała swoje źródło u dostawcy zewnętrznego. Ważne także by przeanalizować potencjalne ryzyka występujące w ramach współpracy z podwykonawcami, np. dotyczące wymiany danych i przeanalizować zasadność przeniesienia wewnątrz organizacji procesów generujących wysokie ryzyko.
W czasie audytów należy poddać weryfikacji, czy kopie zapasowe i plany ciągłości działania były od ostatniego przeglądu wykonywane zgodnie z zaplanowanym harmonogramem oraz czy nie powstały nowe ryzyka związane z samym wykonywaniem kopii, np. w zakresie zarządzania pojemnością. Zapełniona przestrzeń dyskowa jest zdarzeniem, które dobrze zidentyfikować na tyle wcześnie, by móc swobodnie zaplanować i zrealizować odpowiednie działania zapobiegawcze. Przeglądowi powinny też być poddane zasady zabezpieczenia backupów. Należy zbadać w szczególności sposób przechowywania kopii zapasowych, zasadność ich szyfrowania oraz zasady zarządzania kluczami kryptograficznymi, uprawnieniami dostępu i modyfikacji. Ważna część audytu to weryfikacja przestrzegania harmonogramu odtworzeń testowych oraz sposobu ich wykonywania. Podobnie jak z kopiami zapasowymi należy postępować z planami ciągłości działania. Przynajmniej raz w roku dobrze jest je sprawdzić pod kątem skuteczności i aktualności. Zmiany dokonane w środowisku informatycznym mogły spowodować utratę zdolności do zachowania ustalonych wcześniej parametrów odtworzeniowych typu RPO czy RTO, dlatego monitorowanie wdrożonych zasad jest istotne i pozwala zachować spójność systemu zabezpieczeń.
Administratorzy danych wdrażając w swoich organizacjach zasady privacy by design oraz privacy by default, często przygotowali stosowne procedury i instrukcje, które mają usprawnić wykonywanie analiz uwzględniających ochronę danych w fazie projektowania oraz ich domyślną ochronę w trakcie realizowania projektów. Wykonanie przeglądu wdrożonych procedur pod kątem ich aktualności i zasadności powinno być kolejnym elementem audytu IT. Przejrzenia wymagać będą też listy kontrolne, np. w zakresie obejmującym algorytmy lub długości kluczy kryptograficznych w odniesieniu do bieżących potrzeb organizacji i najnowszego stanu wiedzy. Weryfikacji powinny podlegać także punkty kontrolne opisane w procedurze PbD, zwłaszcza pod kątem ich liczby i rozmieszczenia w odniesieniu do wydarzeń, które miały miejsce od ostatniego przeglądu. Zaniepokojenie mogą wzbudzić np. przechowanie haseł użytkowników w formie plaintext’u, które możliwe jest do wykrycia właśnie na etapie weryfikacji stosowania zasad privacy by default.
Środowiska testowe i deweloperskie wymagają przeglądu zasad związanych z rozwojem oprogramowania, dotyczących w szczególności powoływania, utrzymywania, czasu życia tych środowisk, a także w zakresie stosowania anonimizacji danych przetwarzanych na tych środowiskach. Co do zasady w środowiskach deweloperskich nie są przechowywane dane osobowe, choć od tej zasady, jak pokazuje doświadczenie, zdarzają się wyjątki. W środowisku testowym częściej zdarza się, że pojawiają się realne dane, dlatego ważne jest określenie ich zakresu oraz czasu przydatności w konkretnym środowisku. Czas przetwarzania danych determinowany jest celem, dla którego zostały zgromadzone, zatem różne środowiska wykorzystujące dane osobowe, nie powinny być utrzymywane przy życiu dłużej, niż jest to niezbędne dla zrealizowania celu przetwarzania, jakim jest wykonanie testów.
Jak widać, zagadnień związanych z prawidłowym przeprowadzeniem audytu zgodności z RODO pod kątem IT jest niemało. Istotne jest podejście do tego tematu w sposób usystematyzowany i metodyczny, co powinno sprawić, że przeprowadzenie audytu będzie mniej skomplikowane, a co ważniejsze, pozwoli zapobiec pominięciu obszarów potencjalnie wymagających poprawy zabezpieczeń. Dobrą praktyką jest, by wyniki audytu przedstawiać jako rekomendacje, których wdrażanie będzie mogło podlegać przeglądom i priorytetyzacji.
Autor
Angelika Niezgoda, Marcin Jastrzębski
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!