Get best of the week

نقوم بإدخال العصي في العجلات عند التدقيق ، أو كيفية جعل تدقيق IS غير مريح للمراجع قدر الإمكان

مرحبا يا هابر! بعد 9 سنوات في مشاريع التدقيق الأمني ​​ورائي ، لا أرغب في أخذ وكتابة كتاب "1000 و 1 محاولة لخداع المدقق". سأبدأ ، ربما ، من الفصل الأول - سأشارك النصائح السيئة حول كيفية اجتياز المراجعة "بنجاح" ، بعد أن تلقيت الحد الأدنى من التعليقات من المدقق.

لماذا تقوم الشركات بتدقيق أمن المعلومات؟ ربما يكون هنالك عده اسباب:

  • للحصول على تقييم موضوعي لحالة أمن المعلومات (لنفسك) ؛
  • لأن المراجعة إلزامية (للهيئات التنظيمية) ؛
  • لأن المراجعة مطلوبة من قبل الشركاء أو المنظمة الأم (للآخرين).

يسعى أي من هذه الأنواع من عمليات التدقيق إلى تحقيق الهدف الإيجابي الرئيسي - وهو جعل الشركة أفضل من خلال توطين المشاكل الحالية. يهتم معظم عملائنا بالتصرف الفعال لمثل هذا العمل. ومع ذلك ، في بعض الأحيان تكون هناك حالات يكون فيها معيار نجاح المراجعة المطلوبة هو عدم وجود مشاكل محددة في تقرير المراجعة (إن وجدت). الأسباب مختلفة ، ولكن الأكثر شيوعًا هي التالية.

  • المراجعة "تفرض" من قبل منظمة أعلى.
  • يترتب على عدم التدقيق (مثل PCI DSS) عقوبات من قبل السلطات التنظيمية
  • تخشى خدمة البكالوريا الدولية الحصول على "سقف" من القيادة.

في كل هذه الحالات ، يتحول التدقيق المنتظم إلى ساحة معركة ، حيث تسعى الشركة إلى الحفاظ على الحدود القصوى دون إظهار "فائض" ، ويصبح عمل المدقق أشبه بقصة بوليسية.

PS المدرجة تحت القطع ليست خيالية ، كل هذا حدث وأحيانا يحدث في مشاريع حقيقية.


الاستعداد للتدقيق


ندرب الموظفين - نعلمك ما تقوله وما لا تظهره


مفتاح التدريب الناجح على التخريب للأفراد (خاصة في سياق الأعمال العدائية المستقبلية) هو التدريب الأولي الشامل. وكقاعدة عامة ، يهدف إلى:

  • رفع مستوى الوعي بأسلحة المدقق الحالية وتقنياته وتقنياته ونقاط الألم ؛
  • تطوير وتحسين مهارات الفريق في التعتيم ، وإخفاء الآثار ، وكذلك شحذ تقنية "سويتشمان".

من الواضح أنه كلما قل القليل من المعلومات التي اكتشفها المدقق ، قل التباين الذي سيجده ، وحيث يوجد القليل من التناقضات ، هناك القليل من المشاكل (والعمل). وهذا يعني أن الهدف الأقصى للشركة التي تمت مراجعتها هو إخفاء مجالات المشاكل المحتملة (أنظمة المعلومات ، والعناصر الفردية للبنية التحتية لتكنولوجيا المعلومات ، وما إلى ذلك) من خلال تدريب المتخصصين على ما يمكن إظهاره وما هو غير مطلوب.

في كثير من الأحيان ، علينا أن نخمن بشأن إجراء مثل هذه التدريبات من خلال علامات غير مباشرة ، ولكن هناك أيضًا "ثقوب" مزعجة. على سبيل المثال ، أثناء تدقيق التوافق مع PCI DSS ، قام أحد البنوك بطباعة رسم تخطيطي للشبكة لنا في مسودة ، وعلى الجانب العكسي كان هناك ... خطاب من خدمة IS مع مذكرة تفصيلية حول الأنظمة التي يمكن بالطبع عرضها ، ولكن ليس هذه المرة. كما أن زر إعادة التوجيه في عميل البريد يترك بشكل متكرر المقاتلين ذوي الخبرة إلى أسفل ، عندما توجهت إلينا مع شهادات المراجعة (لقطات الشاشة / التحميلات).

هل تعمل هذه الحيلة؟ سيئ: نستخدم عمليات فحص شاملة متنوعة - وتبدأ الترتيبات المتناغمة في "الانهيار".

تجاهل الطلب الأولي للمعلومات


يبدأ أي تدقيق بطلب أولي للحصول على معلومات: يحاول المدققون أن يعرفوا مسبقًا كيف تعيش الشركة وكيف يتم تنظيم عملياتها من أجل التخطيط للاجتماعات ومدتها على النحو الأمثل. لذلك ، فإن إحدى المهام المهمة في هذه المرحلة هي تدمير الأحلام الوردية للمدققين حول سهولة التدقيق. يجب أن يكون سيناريو الموعد الأول المثالي مع الشركة غير متوقع. نستخدم الحجج التالية التي تم اختبارها عبر الزمن:
  • "المقدمة ليست لنا ، يمكن قراءة قطع من الورق في وقت لاحق."
  • "ما زلنا لا نملك شيئا ، الحقيقة هي الحقيقة (وليس الحقيقة)."
  • "لدينا كل شيء على البوابة ، سنقوم الآن بسرعة (في غضون أسبوعين) بإنشاء حساب ، تعال ونقرأ".

هناك العديد من الأمثلة ، نتيجة واحدة: يجب التعامل مع العديد منها على الفور ، واكتشاف أشياء جديدة أثناء المراجعة. هل هذا التكتيك ناجح؟ لا ، عليك فقط قضاء المزيد من الوقت "في الوقت الإضافي".

يمر مرة واحدة فقط ، المتشددين فقط!


يبدأ صباح الخير مع ممر القهوة . حيلة أخرى عظيمة هي معنويات العدو مقدما. نستيقظ مبكراً ، نأخذ طابورًا في مكتب الاستقبال أو في مكتب المرور ، نرسم قلمًا. إذا كنت لا تزال لا تعرف سلسلة رقم جواز سفرك ورقمه ، فسوف تتذكر الآن بالتأكيد.

في بعض الأحيان هناك حيل ممنوعة تمامًا. على سبيل المثال ، كان من شروط الدخول إلى موقع أحد العملاء هو وضع لوائح لتوفيرها. من يحتاج الوصول؟ نحن! لذا كتبنا كيف سنستقبلها ومع من ننسق معها.

هل تؤدي مثل هذه "الصعوبات" إلى أي شيء؟ من الواضح أنه لا: نحن نحب الاستيقاظ مبكرًا (إذا كنا لا نزال ننام).

جعل إدارة المشاريع أكثر تعقيدًا


تحتاج - أنت تنظم. نسخة صلبة للخبرة




خدعة عسكرية مهمة أخرى: نقل المسؤولية عن تنظيم جميع الاجتماعات على أكتاف مدير المشروع من ذوي الخبرة.
"ها هي البوابة ، ها هو الهاتف - قم بترتيب الاجتماعات بنفسك. يمكن إرسال التقرير هنا إلى هذا العنوان ، أولاً توافق فقط مع الجميع عن طريق البريد ".
النتيجة ، كقاعدة عامة ، ليست طويلة قادمة: بسبب عدم وجود أمين ، لن يكون لدى المتخصصين وقت للاجتماعات.

محاولة جيدة لتأخير المواعيد النهائية ، لكنها تعمل بشكل سيئ مع مدرائنا ونظام تصعيد مدمج :-).

لقد حاولنا ، لكننا لم ننجح. نسخة خفيفة للمبتدئين


المزيد من القطران - عسل أقل. نحن نجعل الجدول الزمني غير مريح وغير متوقع قدر الإمكان. يجب أن يبدو اليوم المثالي للمدقق على الموقع كما يلي: محادثة لمدة ساعة في الساعة 9.00 ، ثم لمدة 30 دقيقة في الساعة 13.00 والأخرى في الساعة 18.00. يتم إرسال المعلومات حول الاجتماعات المقررة لليوم التالي بدقة في 23.55. كلما زادت الفوضى ، زادت فرصة نسيان المدققين حول طباعة نسخة مسودة رسالة مع تدريب داخلي .

يجب أن يكون المدقق مرنًا ، لذا فإن اختراقًا آخر للحياة هو تبديل المقابلات في يوم الاجتماع مباشرة. تتبع خطة المقابلة نفسها دائمًا منطقًا معينًا ، على سبيل المثال ، أولاً يتم دراسة وظائف النظام ، ثم يتم فحص مكوناته (DBMS ، وما إلى ذلك). ولكن هذا هو سبارتا ، والمنطق للجبناء ، لأن:
"أردنا أن نتحدث معك يوم الجمعة مع DBA ، ولكن أخصائينا كان لديه 15 دقيقة من وقت الفراغ ، وسيأتي الآن".
هل سيهزم العدو؟ لا ، هذا ما نراه كثيرًا ونستطيع التعامل معه.

تدقيق التصوير الفوتوغرافي - التدقيق الأكثر صدق


نزيد من فرص النجاح. نحول التدقيق "في الموقع" إلى تدقيق "وثائقي". تذكر:
"من الخطأ تشتيت انتباه الناس عن العمل ، لدينا موظفين مؤهلين تأهيلاً عالياً يقومون بملء كل شيء وإرفاق لقطات شاشة. أرسل الاستبيانات ".
من المستحيل تجميع استبيان عالمي لجميع الحالات ؛ اعتمادًا على الإجابات ، يقوم المدقق دائمًا بإجراء المحادثة بطرق مختلفة. تعود مشكلة الاستبيانات التفصيلية إلى الافتقار إلى المرونة فيها: فكلما زاد عدد الأسئلة التي تحتوي عليها ، قلّت الرغبة في الإجابة عليها بالتفصيل. لذلك ، كقاعدة ، يبدو هذا التدقيق فيما بعد على النحو التالي:

  • تحضير مجموعة من الاستبيانات بمذكرة لملئها.
  • الحصول على كمية هائلة من المواد غير المهيكلة (يمكن للجميع فهم السؤال بطرق مختلفة).
  • هواتف مع متخصصين لتوضيح المعلومات.
  • بناء صورة متناغمة من جميع المواد.
  • رعاية دائرة جديدة من الصقل.

هل تحقق هدف الشركة المتمثل في خفض الجودة وهل من الممكن أن يحبط معنويات العدو؟ لا: نحن نحب الاتصال والتحقق مما أرسلوه إلينا أكثر.

إجراء مقابلة


يبدأ المسرح بشماعات - نختار أفضل الأماكن للمحادثة


إذا كنت لا تزال غير قادر على الرد ، ولا يمكن تجنب الاجتماعات مع المراجعين ، فإليك أفضل الأماكن لإجراء مقابلة. سيحبها المدققون بالتأكيد - لا تقدموا الشكر.

  • في الملعب بالقرب من الفطريات.
  • في غرفة المرحاض ، يتم تحويلها إلى غرفة تبديل إضافية.
  • في السيارة (في الليل).
  • في غرفة الطعام.

في الواقع ، هناك أماكن أكثر غرابة حيث أجرينا المقابلة. ولكن عليك أن تتعايش معها. بشكل عام ، هذا أكثر إثارة للاهتمام ، لذلك هذا أكثر من ناقص.

ألست جاسوسًا لمدة ساعة؟


أثناء التدقيق ، يجب أن يكون كل موظف في الشركة في حالة تأهب: ماذا لو كانت هندسة اجتماعية ، وبدلًا من مدقق ، قام جاسوس بشق طريقه إلينا؟ حساب الجاسوس بسيط - اجعله يظهر بشكل غير متوقع بالترتيب التالي:

  • NDA للشركة التي يعمل فيها المدقق ؛
  • مدقق NDA شخصي معك ؛
  • تصريح عمل
  • نسخة من كتاب العمل ؛
  • خطاب من رئيس الشركة.
  • جواز سفر.

عندها فقط تعطي "أسرار عسكرية". ليس لدي نسخة من العمل معي - حسنًا ، سأضطر إلى تحديد موعد للاجتماع مرة أخرى.

الاستقبال نادر ، يعمل بشكل لا تشوبه شائبة لاجتماع واحد بالضبط ، ثم يتم جمع جميع المستندات بسرعة في العدد الصحيح من النسخ.

نأخذ بالجملة ، أو أكثر ، أكثر إثارة للاهتمام (لا)


كيف تجعل اجتماع العمل عديم الفائدة قدر الإمكان؟ الوصفة بسيطة: نفتح أي مقالة على الإنترنت عن الاجتماعات الفعالة ونحولها مفيدة إلى غير مفيدة:

  • حدد دائمًا جدول أعمال الاجتماع مسبقًا. لا تخبر الزملاء عن الغرض من الاجتماع. لنفترض أن هذا هو الأمن الاحترافي ، وسوف يتم التحدث إليك من قبل الأشخاص المحتاجين (هل شعرت بالقشعريرة؟).
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

ممارسة تنظيم مثل هذه الاجتماعات ليست غير شائعة (على الرغم من أن هذه اللحظات دائمًا ما يتحدث عنها العميل) ، ونخرج من الوضع بطرق مختلفة من أجل إشراك جميع الخبراء في المحادثة وعدم السماح لهم بالملل.

يعمل؟ سيئة ، لكنها محاولة جيدة.

نلعب Danetka ، أو أعتقد أن هذا اللحن من ملاحظة واحدة




نقوم بتفعيل السلاح السري - نتذكر قواعد اللعبة في Danetka.

مهمة الموظف: التقليل من التعذيب النفسي للمدققين ، وإجبارهم على صياغة الأسئلة بشكل صحيح بحيث لا يمكن الإجابة عليهم إلا بـ "نعم" أو "لا".

مهمة المدقق: لتخمين سبب دخول الرجل إلى البار وطلب كوب من الماء ، يقوم النادل فجأة بإخراج مسدس ويوجهه إلى الرجل. قال الرجل "شكرا" وترك الإجابات على أسئلته:
- ما هي وسائل أتمتة إدارة التطبيقات التي تستخدمها؟
- نعم!
- ما هي تقنيات المحاكاة الافتراضية المستخدمة في الشركة؟
- الكل!

من الصعب للغاية إجراء مثل هذه المراجعة ، ويجب الحصول على المعلومات في الحبوب. أحب هذه اللعبة.

أضف الرقابة


هل تعتقد أن الرقابة هي نظام إشراف على محتوى ونشر المعلومات والمواد المطبوعة والأعمال الموسيقية والمسرحية وأشياء أخرى؟ لا. الرقابة هي ضابط أمن المعلومات يتعرض في الوقت المحدد خلف ظهر المدقق. في مثل هذا الحدث الهام مثل المراجعة ، لا يوجد مكان لخيال المدقق والمضاربة. وبالتالي:
"هذا ليس خطأ معنا ، لقد أسأت فهمه ، وأسئلتك خاطئة."
مهمة الرقيب هي مساعدة الموظف على عدم الامتحان. قد تتضمن المساعدة ما يلي:

  • نقوم بتصفية الأسئلة "الخاطئة" حسب ذوقنا. نناشد حدود المراجعة أو عن طريق الأسئلة التي لم يتم تناولها أو عدم معالجتها بشكل موضوعي.
  • نحن مسؤولون عن المحاسب (فجأة نسي ما كان لديهم الوقت للتفاوض معه من قبل).
  • ننظر في ملاحظات المدقق ونقدم التعليقات.

السريالية؟ هو. ومع ذلك ، كانت هذه التجربة أيضًا في ممارستنا. بصراحة: اتضح الأمر بشكل سيء على العميل ، على الرغم من أن الفكرة هي إطلاق النار!

نترك في دورة ونترجم الأسهم


من المهم الخلط بين العدو حتى لا يتمكن من تقديم تقرير تدقيق خطير وإيذائك. سلاح نووي آخر ، مثل دانيتكا. اكتب صيغة عالمية.
العامل ن: "لا أعرف هذا ، أنا عامل ن ، عامل آخر ن +1 يعرف هذا".

الموظف N + 1: "أنا موظف في N + 1 ، لقد تم خداعك ، هذه مسؤولية الموظف N".

موظف IS: "لسوء الحظ ، لقد نفد لدينا فتحات مجانية للموظفين N و N + 1 ، تحتاج إلى العمل بالمعلومات الموجودة."
من الصعب العمل في هذا الوضع ، ما يعني أن الهدف قد تحقق؟ لا ، من الممكن والضروري للقتال: نحن ندعو المتخصصين مسبقًا ، نحتفظ بمحاضر الاجتماعات وما إلى ذلك.

أمسك الماوس ، لقد ذهبت ، أو إذا كنت تريد معرفة النظام بشكل أفضل - افعل ذلك بنفسك!


أي مدقق متخصص بأحرف كبيرة. لذلك يجب أن يعرف غيابيًا تمامًا جميع التقنيات التي تستخدمها على مستوى المسؤول ، وأن يكون قادرًا على إعادة بناء نواة Linux في 5 دقائق ومعرفة SAP عن ظهر قلب. لذلك ، فإن أفضل طريقة لإثارة قلقه هي السماح له "بالتوجيه". دعه يفهم بنية أنظمتك ، التي بنيت على مر السنين. يمكنك فقط الجلوس والتوقف عن العمل.

بالمناسبة ، لا تعمل بشكل جيد للغاية ، لأننا غالبًا ما نعرف كيفية "التوجيه" ، ولكن أثناء المراجعة ، يتم تقييم كفاءة الموظفين أيضًا. ونتيجة لذلك ، يمكننا أن نستنتج أن المتخصصين لا يعرفون أنظمتهم.

تصحيح سريع - وهذا يعني أنه لم يكن هناك


هل تعرف قاعدة الخمس ثوانى؟ رائع ، استخدمه في التدقيق أيضًا. قم بإلهاء المراجع وقم بإجراء تغييرات جريئة على إعدادات الأمان. أو لا تشتت انتباهك على الإطلاق واحضره معه: قاموا بتصحيحه بسرعة - هذا يعني أنه لم يكن هناك شيء. لا يمكنك شرح - لا يعمل.

نقوم بتعقيد إجراءات الحصول على الشهادات


لدينا معلومات سرية للغاية


تقنية شائعة ، خالية من المتاعب ، مثل بندقية كلاشنيكوف. جميع الوثائق المطورة هي ملكية فكرية. جميع تكوينات معدات الشبكة هي سر تجاري. لدراسة المعلومات اللازمة ، اجعل المدققين يعملون في مكان عمل مخصص ، وقم بإيقاف تشغيل الإنترنت ، وقم بتعطيل محركات الأقراص المحمولة. دعه إما يعيد كتابة كل ما تحتاجه على الورق ، أو ينزع الطابع الشخصي ويترك الملف على سطح المكتب ، وتترك بالفعل الملف المطلوب في الملف حسب ذوقك. أما الوثائق فدع المدقق يقرأها في شكل مطبوع.

بشكل منفصل ، يتم استدعاء العديد من الحالات.

  • بطريقة ما ، قمنا بطباعة تكوين معدات الشبكة على زوج من حزم Snegurochka دون إذن لإزالة المواد من الموقع.
  • مرة أخرى ، كان مطلوبًا منا تبرير كل لقطة شاشة مطلوبة.
  • في مشروع آخر ، يمكن إرسال جميع الشهادات على الورق فقط.

اعترض شخص ما بشكل معقول: ربما ، كان لهذه الشركات نظام صارم من الأسرار التجارية؟ لا. لم يكن على الإطلاق.

هل سيساعد على خفض جودة العمل بطريقة أو بأخرى؟ قابل للنقاش. ليس لدينا مثل هذه الخبرة: على سبيل المثال ، إنشاء تقرير من خلال VDI الخاص بالعميل مع مخزن مؤقت ومنافذ وشبكة الإنترنت مع الحصول على شهادات على القرص الذي يحمل علامة CT ساعي. كيف تحبها يا ديفيد بلين؟

باستخدام سحر محرر الرسوم البيانية




كما قال سون تزو العظيم في فن الحرب:
"إن الحرب طريقة للخداع. لذلك ، إذا استطعت أن تفعل أي شيء ، أظهر للعدو أنك لا تستطيع ذلك ؛ إذا كنت تستخدم أي شيء ، أظهر له أنك لا تستخدمه ".
في الحرب ، جميع الطرق جيدة ، لذا فإن استخدام محرر رسومات يزيد من فرصك في الفوز. جميع الأدلة "غير المريحة" في يديك ، يبقى إحضار القليل من الماكياج قبل الإرسال. هذا المتجه لديه فرصة صغيرة عند طلب المعلومات عن بعد أو ضعف ذاكرة المدقق. ناقصًا: اتضح أنه محرج عندما قرر المدقق التحقق من لقطات الشاشة المقدمة مسبقًا على الموقع. ولكن من توقف؟

في ممارستنا ، كانت هناك حالة عندما تلقينا سلسلة من الرسائل المرسلة بشكل عشوائي من العميل مع المحتويات التالية:
- تصحيح لقطة شاشة صغيرة ، يبدو أنها صحيحة؟
- أرسل ، فجأة رحلة.
بالمناسبة ، لم يفعل ذلك.

نحن نشد الموافقة على التقرير


الفواصل مهمة


المرحلة الأخيرة من المواجهة: المقابلات التي أجريت ، إرسال الأدلة ، استلام مسودة التقرير. حان الوقت لمعالجة أهم شيء: الفواصل والنقاط. لا يهم أن تكون السيطرة المعيارية للوثيقة هي المرحلة النهائية (وقد تم الاتفاق على ذلك) ، يجب أن يكون كل شيء على ما يرام في التقرير. كلما زاد عدد التعليقات ، زاد الانطباع بأن المراجعة كانت ضعيفة. التأخير قدر الإمكان في التعليقات الموضوعية وتوقيت الموافقة على الأقسام الفردية في التقرير.

كما أن إدراج عدد كبير من المتخصصين في سلسلة التنسيق يعمل بشكل رائع. شعارنا: "تدقيق لمدة ستة أشهر ، سنتفق على شهر ونصف!". اسحب لفترة أطول ، وهناك ستنخفض درجة اللمعان ، وسيصبح جزء من العمل غير ذي صلة (سيظهر جزء جديد ، سيتم إيقاف تشغيل القديم).

يعمل بشكل سيئ ، اقرأ أعلاه عن المديرين.

***

بالطبع ، تتم معظم مشاريع المراجعة لدينا كالمعتاد ، وإليك الأمثلة الأكثر بروزًا على كيفية تحويل هذا العمل إلى حدث طويل. سيستخلص الجميع الاستنتاجات بنفسه: اعتماد الشيكات واجتيازها "بنجاح" ، أو جعل تدقيقك المشترك التالي مع شركة تكامل أفضل قليلاً.

ابتسامة في كثير من الأحيان :-)

More articles:


All Articles