Get best of the week

Insertamos palos en las ruedas en las auditorías, o Cómo hacer que la auditoría de IS sea lo más incómoda posible para el auditor

Hola Habr! Después de 9 años en proyectos de auditoría de seguridad detrás de mí, insoportablemente quiero tomar y escribir el libro "1000 y 1 intento de engañar al auditor". Comenzaré, tal vez, desde el primer capítulo: compartiré malos consejos sobre cómo aprobar la auditoría "con éxito", habiendo recibido el número mínimo de comentarios del auditor.

¿Por qué las empresas realizan una auditoría de seguridad de la información? Puede haber varias razones:

  • para obtener una evaluación objetiva del estado de la seguridad de la información (para usted);
  • porque la auditoría es obligatoria (para los reguladores);
  • porque la auditoría es requerida por los socios o la organización matriz (para otros).

Cualquiera de estos tipos de auditorías persigue el objetivo positivo principal: mejorar la empresa localizando los problemas actuales. La mayoría de nuestros clientes están interesados ​​en la conducta efectiva de dicho trabajo. Sin embargo, a veces hay casos en los que el criterio para el éxito de la auditoría ordenada es la ausencia de problemas identificados en el informe de auditoría (si los hay). Las razones son diferentes, pero las más comunes son las siguientes.

  • La auditoría es "impuesta" por una organización superior.
  • La falta de auditoría (por ejemplo, PCI DSS) conlleva sanciones por parte de las autoridades reguladoras
  • El servicio del IB tiene miedo de obtener un "límite" del liderazgo.

En todos estos casos, la auditoría regular se convierte en un campo de batalla, donde la compañía busca mantener los límites máximos sin mostrar "exceso", y el trabajo del auditor se vuelve más como una historia de detectives.

PS listado bajo el corte no es ficción, todo esto ha sucedido y ocasionalmente ocurre en proyectos reales.


Preparándose para una auditoría


Capacitamos al personal: le enseñamos qué decir y qué no mostrar


La clave para la capacitación exitosa del personal de sabotaje (especialmente en el contexto de futuras hostilidades) es una capacitación preliminar exhaustiva. Como regla, está dirigido a:

  • sensibilizar sobre las armas actuales del auditor, sus técnicas, técnicas y puntos de dolor;
  • desarrollo y mejora de habilidades de equipo para ofuscar, ocultar rastros, así como perfeccionar la técnica de "switchman".

Obviamente, cuanta menos información encuentre el auditor, menos discrepancias encontrará, y donde hay pocas discrepancias, hay pocos problemas (y trabajo). Esto significa que el objetivo máximo de la empresa auditada es ocultar posibles áreas problemáticas (sistemas de información, elementos individuales de la infraestructura de TI, etc.) mediante la capacitación de especialistas en lo que se puede mostrar y lo que no se necesita.

A menudo, tenemos que adivinar la conducta de tales entrenamientos por signos indirectos, pero también hay molestos "pinchazos". Por ejemplo, durante una auditoría de cumplimiento de PCI DSS, uno de los bancos imprimió un diagrama de red en un borrador, y en el reverso había ... una carta del servicio de IS con una nota detallada sobre los sistemas que, por supuesto, se pueden mostrar, pero no esta vez. El botón Reenviar en el cliente de correo también decepcionó repetidamente a los combatientes experimentados, cuando junto con los certificados de auditoría (capturas de pantalla / cargas), nos llegaron acuerdos internos.

¿Funciona este truco? Malo: utilizamos varios controles exhaustivos, y los arreglos armoniosos comienzan a desmoronarse.

Ignorar la solicitud preliminar de información


Cualquier auditoría comienza con una solicitud preliminar de información: los auditores intentan averiguar de antemano cómo vive la empresa y cómo se estructuran sus procesos para planificar de manera óptima las reuniones y su duración. Por lo tanto, una tarea importante de esta etapa es destruir los sueños rosados ​​de los auditores sobre una auditoría fácil. El escenario de una primera cita perfecta con una empresa debería ser inesperado. Utilizamos los siguientes argumentos probados en el tiempo:
  • "El preludio no es para nosotros, los trozos de papel se pueden leer más tarde".
  • "Todavía no tenemos nada, la verdad es la verdad (no la verdad)".
  • "Tenemos todo en el portal, ahora haremos una cuenta rápidamente (en dos semanas), vamos a leer".

Hay muchos ejemplos, un resultado: muchos tienen que ser tratados en el acto, descubriendo cosas nuevas ya durante la auditoría. ¿Es una táctica exitosa? No, solo tienes que pasar más tiempo "horas extras".

¡Solo pases de una vez, solo hardcore!


Un buen día comienza con un pase de café . Otro gran truco es desmoralizar al enemigo de antemano. Nos levantamos temprano, hacemos cola en la recepción o en la oficina de pases, pintamos un bolígrafo. Si aún no conoce la serie y el número de su pasaporte, ahora definitivamente lo recordará.

A veces hay trucos completamente prohibidos. Por ejemplo, una condición para la admisión al sitio de uno de los clientes fue el desarrollo de regulaciones para su provisión. ¿Quién necesitaba acceso? ¡Nosotros! Entonces escribimos cómo lo recibiremos y con quién coordinarnos.

¿Estas "dificultades" conducen a algo? Obviamente no: nos encanta levantarnos temprano (si todavía nos vamos a la cama).

Hacer que la gestión de proyectos sea más complicada


Necesitas, te organizas. Versión difícil para experimentados




Otro truco militar importante: cambiar la responsabilidad de organizar todas las reuniones sobre los hombros experimentados del gerente del proyecto.
“Aquí está el portal, aquí está el teléfono: organice las reuniones usted mismo. El informe se puede enviar aquí a esta dirección, solo acuerde primero con todos por correo ".
El resultado, por regla general, no se hace esperar: debido a la falta de un curador, los especialistas nunca tendrán tiempo para las reuniones.

Un buen intento de retrasar los plazos, pero funciona mal con nuestros gerentes y un sistema de escalado integrado :-).

Lo intentamos, pero no lo logramos. Versión ligera para principiantes.


Más alquitrán, menos miel. Hacemos que el horario sea lo más incómodo e impredecible posible. El día ideal del auditor en el sitio debería verse así: una conversación durante una hora a las 9.00, luego durante 30 minutos a las 13.00 y el siguiente a las 18.00. La información sobre las reuniones programadas para el día siguiente se envía estrictamente a las 23.55. Mientras más caos, mayor es la posibilidad de que los auditores se olviden de la impresión misma de un borrador de carta con capacitación interna .

El auditor debe ser flexible, por lo que otro truco de la vida es intercambiar entrevistas justo el día de la reunión. El plan de la entrevista siempre sigue una cierta lógica, por ejemplo, primero se estudia la funcionalidad del sistema y luego se verifican sus componentes (DBMS, etc.). Pero esto es Sparta, y la lógica es para los débiles, porque:
"Queríamos hablar con usted el viernes con el DBA, pero nuestro especialista tenía 15 minutos de tiempo libre, él vendrá ahora".
¿Será derrotado el enemigo? No, esto es lo que a menudo vemos y podemos manejar.

Auditoría de fotografía: la auditoría más honesta


Aumentamos las posibilidades de éxito. Convertimos la auditoría "in situ" en una "documental". Recuerda:
“Está mal distraer a las personas del trabajo, tenemos personal altamente calificado que completará todo y adjuntará capturas de pantalla. Enviar los cuestionarios ".
Es imposible compilar un cuestionario universal para todos los casos; dependiendo de las respuestas, el auditor siempre conduce la conversación de diferentes maneras. El problema de los cuestionarios detallados se reduce a la falta de flexibilidad en ellos: cuantas más preguntas contengan, menor será el deseo de responderlas en detalle. Por lo tanto, como regla general, dicha auditoría posteriormente tiene el siguiente aspecto:

  • Preparar un montón de cuestionarios con una nota para completarlos.
  • Obtener una gran cantidad de material no estructurado (todos pueden entender la pregunta de diferentes maneras).
  • Teléfonos con especialistas para aclarar información.
  • Construyendo una imagen armoniosa de todo el material.
  • Cuida un nuevo círculo de refinamiento.

¿Se ha logrado el objetivo de la compañía de reducir la calidad y es posible desmoralizar al enemigo? No: nos encanta llamar y comprobar aún más lo que nos enviaron.

Realizar una entrevista


El teatro comienza con una percha: elegimos los mejores lugares para conversar


Si aún no puede defenderse y no se pueden evitar las reuniones con los auditores, este es el TOP de los mejores lugares para realizar una entrevista. A los auditores definitivamente les gustará, no den gracias.

  • En el patio de recreo cerca del hongo.
  • En la sala de baño, convertida en una sala de conmutación adicional.
  • En el auto (de noche).
  • En el comedor.

De hecho, hay lugares mucho más extraños donde realizamos la entrevista. Pero entonces tienes que vivir con eso. En general, esto es aún más interesante, por lo que es más un plus que un menos.

¿No eres una hora espía?


Durante la auditoría, cada empleado de la empresa debe estar alerta: ¿qué sucede si se trata de ingeniería social y, en lugar de un auditor, un espía se ha dirigido a nosotros? Calcular un espía es simple: haga que se muestre inesperadamente en el siguiente orden:

  • NDA para la compañía donde trabaja el auditor;
  • auditor personal de NDA con usted;
  • pase de trabajo;
  • una copia del libro de trabajo;
  • una carta elaborada por el jefe de la empresa;
  • pasaporte.

Solo entonces da "secretos militares". No tengo una copia del trabajo conmigo, bueno, tendré que programar una reunión nuevamente.

La recepción es rara, funciona perfectamente para exactamente una reunión, luego todos los documentos se recopilan rápidamente en el número correcto de copias.

Tomamos a granel, o cuanto más, más interesante (no)


¿Cómo hacer que una reunión de negocios sea lo más inútil posible? La receta es simple: abrimos cualquier artículo en Internet sobre reuniones efectivas y convertimos útiles en no útiles:

  • Siempre decida sobre la agenda de la reunión con anticipación. Nunca informe a sus colegas sobre el propósito de la reunión. Digamos que esto es PRO SEGURIDAD, y HABLARÁS CON USTEDES NECESITADOS (¿sintió escalofríos?).
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

La práctica de organizar tales reuniones no es infrecuente (aunque el cliente siempre habla de esos momentos), y salimos de la situación de diferentes maneras para involucrar a todos los expertos en la conversación y no dejar que se aburran.

¿Trabajos? Malo, pero un buen intento.

Tocamos Danetka, o adivinaré esta melodía de una nota




Activamos el arma secreta: recordamos las reglas del juego en Danetka.

La tarea del empleado: minimizar la tortura psicológica de los auditores, obligarlos a formular correctamente las preguntas para que solo puedan responderse con "Sí" o "No".

La tarea del auditor: para adivinar por qué un hombre entra al bar y pide un vaso de agua, el cantinero de repente saca una pistola y la apunta al hombre. El hombre dice "gracias" y deja las respuestas a sus preguntas:
- ¿Qué medios de automatización de la gestión de aplicaciones utiliza?
- ¡Si!
- ¿Qué tecnologías de virtualización se utilizan en la empresa?
- ¡Todas!

Es extremadamente difícil realizar tales auditorías; la información debe obtenerse en granos. Me encanta este juego.

Añadir censura


¿Pensó que la censura es un sistema de supervisión sobre el contenido y la difusión de información, materiales impresos, obras musicales y escénicas y otras cosas? No. La censura es un oficial de seguridad de la información expuesto a tiempo a espaldas del auditor. En un evento tan importante como una auditoría, no hay lugar para la imaginación y la especulación del auditor. Por lo tanto:
"Esto no está mal con nosotros, lo malinterpretaste y tus preguntas están mal".
La tarea del censor es ayudar al empleado a no reprobar el examen. La ayuda puede incluir lo siguiente:

  • Filtramos las preguntas "incorrectas" a nuestro gusto. Apelamos por los límites de la auditoría o por preguntas no abordadas o no sustantivas.
  • Somos responsables del auditado (de repente se olvidó de lo que lograron acordar con él antes).
  • Buscamos en las notas del auditor y hacemos comentarios.

¿Surrealismo? Él es. Sin embargo, tal experiencia también estuvo en nuestra práctica. Hablando francamente: resultó mal para el cliente, ¡aunque la idea es fuego!

Partimos en un ciclo y traducimos las flechas


Es importante confundir al enemigo para que no pueda hacer un informe de auditoría peligroso y hacerle daño. Otra arma nuclear, como Danetka. Escribe una fórmula universal.
Trabajador N: "No sé esto, soy trabajador N, otro trabajador N + 1 lo sabe".

Empleado N + 1: "Soy un empleado de N + 1, usted fue engañado, esta es el área de responsabilidad del empleado N".

Empleado de IS: "Desafortunadamente, nos hemos quedado sin espacios libres para los empleados N y N + 1, debe trabajar con la información".
Es difícil trabajar en este modo, lo que significa que se ha logrado el objetivo? No, es posible y necesario luchar: llamamos previamente a especialistas, guardamos actas de las reuniones, etc.

Sostenga el mouse, me he ido, o si quiere conocer mejor el sistema, ¡hágalo usted mismo!


Cualquier auditor es un especialista con mayúscula. Por lo tanto, debe conocer en ausencia absolutamente todas las tecnologías que utiliza a nivel de administrador, poder reconstruir el kernel de Linux en 5 minutos y conocer su SAP de memoria. Por lo tanto, la mejor manera de ponerlo nervioso es dejarlo "dirigir". Permita que comprenda la arquitectura de sus sistemas, construida a lo largo de los años. Puedes sentarte a continuación y callarte.

Por cierto, no funciona muy bien, porque a menudo sabemos cómo "dirigir", pero durante la auditoría, también se evalúa la competencia del personal. Como resultado, podemos concluir que los especialistas no conocen sus sistemas.

Rápidamente corregido, eso significa que no hubo


¿Conoces la regla de los cinco segundos? Genial, úselo también en auditoría. Distraiga al auditor y audazmente haga cambios en la configuración de seguridad. O no te distraigas en absoluto y tráelo con él: lo corrigieron rápidamente, eso significa que no lo había. No se puede explicar, no funciona.

Complicamos el procedimiento para obtener certificados


Tenemos información de alto secreto


Una técnica popular, sin problemas, como un rifle de asalto Kalashnikov. Toda la documentación desarrollada es propiedad intelectual. Todas las configuraciones de equipos de red son un secreto comercial. Para estudiar la información necesaria, haga que los auditores trabajen en un lugar de trabajo dedicado, apague Internet y desactive las unidades flash. Deje que reescriba todo lo que necesita en papel, o despersonalice y deje el archivo en el escritorio, y ya deja el deseado en el archivo a su gusto. En cuanto a los documentos, deje que el auditor los lea en forma impresa.

Por separado, se recuerdan varios casos.

  • De alguna manera, se nos imprimió la configuración del equipo de red en un par de paquetes Snegurochka sin permiso para eliminar material del sitio.
  • En otra ocasión, tuvimos que justificar cada captura de pantalla solicitada.
  • En otro proyecto, todos los certificados solo se pueden transmitir en papel.

Alguien objetó razonablemente: ¿probablemente, estas compañías tenían un régimen estricto de secretos comerciales? No. No estaba en absoluto.

¿Ayudará a reducir de alguna manera la calidad del trabajo? Discutible. No tenemos esa experiencia: por ejemplo, crear un informe a través del VDI del cliente con un búfer cerrado, puertos e Internet con la obtención de certificados en el disco marcado con CT Courier. ¿Qué te parece, David Blaine?

Usando la magia de un editor gráfico




Como dijo el gran Sun Tzu en El arte de la guerra:
“La guerra es una forma de engaño. Por lo tanto, si puedes hacer algo, muéstrale al enemigo que no puedes; si usas algo, muéstrale que no lo usas ".
En la guerra, todos los métodos son buenos, por lo que usar un editor de gráficos aumenta tus posibilidades de ganar. Toda la evidencia "inconveniente" en sus manos, queda por traer un poco de maquillaje antes de enviar. Este vector tiene una pequeña posibilidad cuando se solicita información de forma remota o hay poca memoria del auditor. Menos: resulta incómodo cuando el auditor decidió verificar las capturas de pantalla proporcionadas anteriormente en el sitio. ¿Pero a quién se detuvo?

En nuestra práctica, hubo un caso en el que recibimos una cadena de cartas enviadas al azar por el cliente con el siguiente contenido:
- Se corrigió una pequeña captura de pantalla, ¿parece ser cierto?
- Envía, de repente un paseo.
Por cierto, no fue así.

Reforzamos la aprobación del informe.


Las comas son importantes


La etapa final de la confrontación: entrevistas realizadas, evidencia enviada, borrador del informe recibido. Es hora de abordar lo más importante: comas y puntos. No importa que el control normativo del documento sea la etapa final (y esto se acordó), todo debería estar bien en el informe. Cuantos más comentarios, mayor es la impresión de que la auditoría se realizó mal. Retrasar tanto como sea posible los comentarios sustantivos y el momento de la aprobación de las secciones individuales del informe.

La inclusión de una gran cantidad de especialistas en la cadena de coordinación también funciona muy bien. Nuestro lema: "¡Una auditoría por seis meses, estaremos de acuerdo por un año y medio!". Tire más tiempo, y allí disminuirá el grado de incandescencia, y parte del trabajo se volverá irrelevante (aparecerá uno nuevo, el viejo será dado de baja).

Funciona mal, lea más arriba sobre los gerentes.

***

Por supuesto, la mayoría de nuestros proyectos de auditoría se llevan a cabo como de costumbre, y aquí están los ejemplos más sorprendentes de cómo ese trabajo puede convertirse en un evento largo. Todos sacarán conclusiones por sí mismos: adoptar y pasar "con éxito" los controles, o mejorar un poco su próxima auditoría conjunta con un integrador.

Sonríe mas a menudo :-)

More articles:


All Articles