Get best of the week

Kami memasukkan tongkat ke roda di audit, atau Bagaimana membuat audit SI tidak nyaman bagi auditor

Halo, Habr! Setelah 9 tahun mengerjakan proyek-proyek audit keamanan di belakangku, aku tak sabar ingin mengambil dan menulis buku "1000 and 1 Attempt to Trick the Auditor". Saya akan mulai, mungkin, dari bab pertama - saya akan berbagi saran buruk tentang bagaimana "berhasil" lulus audit, setelah menerima jumlah minimum komentar dari auditor.

Mengapa perusahaan melakukan audit keamanan informasi? Mungkin ada beberapa alasan:

  • untuk mendapatkan penilaian objektif tentang keadaan keamanan informasi (untuk Anda sendiri);
  • karena audit adalah wajib (untuk regulator);
  • karena audit diperlukan oleh mitra atau organisasi induk (untuk orang lain).

Salah satu dari jenis audit ini mengejar tujuan positif utama - untuk membuat perusahaan lebih baik dengan melokalisasi masalah saat ini. Sebagian besar pelanggan kami tertarik pada perilaku efektif dari pekerjaan semacam itu. Namun, kadang-kadang ada kasus ketika kriteria untuk keberhasilan audit yang dipesan adalah tidak adanya masalah yang diidentifikasi dalam laporan audit (jika ada). Alasannya berbeda, tetapi yang paling umum adalah sebagai berikut.

  • Audit “dikenakan” oleh organisasi yang lebih tinggi.
  • Kegagalan untuk mengaudit (mis. PCI DSS) memerlukan sanksi oleh otoritas regulasi
  • Layanan IB takut mendapat "topi" dari pimpinan.

Dalam semua kasus ini, audit reguler berubah menjadi medan perang, di mana perusahaan berupaya mempertahankan batas maksimum tanpa menunjukkan "kelebihan", dan pekerjaan auditor menjadi lebih seperti kisah detektif.

PS Terdaftar di bawah potongan bukan fiksi, semua ini telah terjadi dan kadang-kadang terjadi pada proyek nyata.


Bersiap untuk audit


Kami melatih staf - kami mengajari Anda apa yang harus dikatakan dan apa yang tidak boleh ditampilkan


Kunci keberhasilan pelatihan sabotase personel (terutama dalam konteks permusuhan di masa depan) adalah pelatihan pendahuluan yang menyeluruh. Sebagai aturan, ini ditujukan untuk:

  • meningkatkan kesadaran akan senjata auditor saat ini, teknik, teknik, dan titik sakitnya;
  • pengembangan dan peningkatan keterampilan tim dalam mengaburkan, menyembunyikan jejak, serta mengasah teknik "switchman".

Jelas, semakin sedikit informasi yang ditemukan auditor, semakin sedikit perbedaan yang akan ditemukan, dan di mana ada sedikit perbedaan, ada beberapa masalah (dan pekerjaan). Ini berarti bahwa tujuan maksimum dari perusahaan yang diaudit adalah untuk menyembunyikan area masalah yang mungkin (sistem informasi, elemen individu dari infrastruktur TI, dll.) Dengan melatih spesialis dalam apa yang dapat ditampilkan dan apa yang tidak diperlukan.

Seringkali, kita harus menebak tentang pelaksanaan pelatihan seperti itu dengan tanda tidak langsung, tetapi ada juga "tusukan" yang mengganggu. Misalnya, selama audit kepatuhan PCI DSS, salah satu bank mencetak diagram jaringan pada draft, dan di sisi sebaliknya ada ... surat dari layanan IS dengan memo rinci tentang sistem yang, tentu saja, dapat ditampilkan, tetapi tidak kali ini. Tombol Forward di klien email juga berulang kali membiarkan pejuang berpengalaman turun, ketika bersama dengan sertifikat audit (tangkapan layar / unggahan), perjanjian internal terbang ke kami.

Apakah trik ini berhasil? Buruk: kami menggunakan berbagai pemeriksaan komprehensif - dan pengaturan yang harmonis mulai “hancur”.

Abaikan permintaan informasi awal


Setiap audit dimulai dengan permintaan informasi awal: auditor mencoba mencari tahu di muka bagaimana kehidupan perusahaan dan bagaimana prosesnya disusun untuk merencanakan rapat dan lamanya secara optimal. Oleh karena itu, tugas penting dari tahap ini adalah untuk menghancurkan mimpi merah muda auditor tentang audit yang mudah. Skenario kencan pertama yang sempurna dengan perusahaan seharusnya tidak terduga. Kami menggunakan argumen teruji waktu berikut:
  • "Pendahuluan bukan untuk kita, potongan kertas bisa dibaca nanti."
  • "Kami masih belum memiliki apa-apa, kebenaran adalah kebenaran (bukan kebenaran)."
  • "Kami memiliki semua yang ada di portal, kami sekarang akan cepat (dalam dua minggu) membuat akun, datang dan baca."

Ada banyak contoh, satu hasil: banyak yang harus ditangani saat itu juga, menemukan hal-hal baru selama audit. Apakah taktik seperti itu berhasil? Tidak, Anda hanya perlu menghabiskan lebih banyak waktu "lembur".

Hanya satu kali berlalu, hanya hardcore!


Pagi yang baik dimulai dengan kartu kopi . Trik hebat lainnya adalah menurunkan moral musuh terlebih dahulu. Kami bangun pagi-pagi, mengantri di resepsi atau di kantor paspor, mengecat pena. Jika Anda masih belum tahu seri dan nomor paspor Anda, sekarang Anda pasti akan mengingatnya.

Terkadang ada trik yang sepenuhnya dilarang. Misalnya, syarat untuk masuk ke situs salah satu pelanggan adalah pengembangan peraturan untuk ketentuannya. Siapa yang butuh akses? Kami! Jadi kami menulis bagaimana kami akan menerimanya dan dengan siapa untuk berkoordinasi.

Apakah "kesulitan" seperti itu menghasilkan sesuatu? Jelas tidak: kita suka bangun pagi (jika kita masih tidur).

Membuat Manajemen Proyek Lebih Rumit


Anda perlu - Anda mengatur. Versi sulit untuk berpengalaman




Trik militer penting lainnya: mengalihkan tanggung jawab untuk mengatur semua pertemuan di pundak manajer proyek yang berpengalaman.
“Ini portal, ini teleponnya - atur pertemuan sendiri. Laporan dapat dikirim ke sini ke alamat ini, hanya setuju terlebih dahulu dengan semua orang melalui surat. ”
Hasilnya, sebagai suatu peraturan, tidak lama datang: karena kurangnya kurator, spesialis tidak akan pernah punya waktu untuk rapat.

Upaya yang baik untuk menunda tenggat waktu, tetapi bekerja buruk dengan manajer kami dan sistem eskalasi bawaan :-).

Kami mencoba, tetapi kami tidak berhasil. Versi ringan untuk pemula


Lebih banyak tar - lebih sedikit madu. Kami membuat jadwal tidak nyaman dan tidak terduga mungkin. Hari ideal auditor di situs harus terlihat seperti ini: percakapan selama satu jam pada jam 9.00, kemudian selama 30 menit pada jam 13.00 dan berikutnya pada jam 18.00. Informasi tentang pertemuan yang dijadwalkan untuk hari berikutnya dikirim secara ketat pada 23.55. Semakin banyak kekacauan, semakin tinggi kemungkinan bahwa auditor akan melupakan cetakan dari draft surat dengan pelatihan internal .

Auditor harus fleksibel, jadi peretasan lain adalah menukar wawancara tepat pada hari rapat. Rencana wawancara itu sendiri selalu mengikuti logika tertentu, misalnya, pertama fungsionalitas sistem dipelajari, dan kemudian komponennya diperiksa (DBMS, dll.). Tapi ini Sparta, dan logika untuk para pengecut, karena:
"Kami ingin berbicara dengan Anda pada hari Jumat dengan DBA, tetapi spesialis kami memiliki 15 menit waktu luang, dia akan datang sekarang."
Akankah musuh dikalahkan? Tidak, ini yang sering kita lihat dan sanggup menghadapinya.

Audit Fotografi - Audit Paling Jujur


Kami meningkatkan peluang keberhasilan. Kami mengubah audit "di tempat" menjadi "dokumenter". Ingat:
“Adalah salah untuk mengalihkan perhatian orang dari pekerjaan, kami memiliki personel berkualifikasi tinggi yang akan mengisi semuanya dan melampirkan tangkapan layar. Kirim kuesioner. "
Tidak mungkin untuk menyusun kuesioner universal untuk semua kasus, tergantung pada jawabannya, auditor selalu melakukan percakapan dengan cara yang berbeda. Masalah kuesioner terperinci bermuara pada kurangnya fleksibilitas di dalamnya: semakin banyak pertanyaan di dalamnya, semakin sedikit keinginan untuk menjawabnya secara terperinci. Oleh karena itu, sebagai suatu peraturan, audit tersebut selanjutnya terlihat sebagai berikut:

  • Mempersiapkan sekelompok kuesioner dengan memo untuk mengisinya.
  • Mendapatkan sejumlah besar materi yang tidak terstruktur (semua orang dapat memahami pertanyaan dengan berbagai cara).
  • Ponsel dengan spesialis untuk memperjelas informasi.
  • Membangun gambar yang harmonis dari semua materi.
  • Peduli lingkaran penyempurnaan baru.

Apakah tujuan perusahaan untuk mengurangi kualitas telah tercapai dan apakah mungkin untuk menurunkan moral musuh? Tidak: kami suka menelepon, dan untuk memeriksa apa yang mereka kirimkan kepada kami lebih jauh.

Melakukan wawancara


Teater dimulai dengan gantungan - kami memilih tempat terbaik untuk percakapan


Jika Anda masih tidak bisa melawan dan pertemuan dengan auditor tidak dapat dihindari, inilah TOP tempat terbaik untuk melakukan wawancara. Auditor pasti akan menyukainya - jangan berterima kasih.

  • Di taman bermain dekat jamur.
  • Di ruang toilet, diubah menjadi ruang ganti tambahan.
  • Di dalam mobil (pada malam hari).
  • Di ruang makan.

Bahkan, ada banyak tempat aneh di mana kami melakukan wawancara. Tetapi kemudian Anda harus hidup dengannya. Secara umum, ini bahkan lebih menarik, jadi ini lebih plus daripada minus.

Bukankah Anda satu jam mata-mata?


Selama audit, setiap karyawan perusahaan harus waspada: bagaimana jika itu adalah rekayasa sosial, dan alih-alih sebagai auditor, mata-mata telah mendatangi kami? Menghitung mata-mata itu sederhana - buatlah itu muncul secara tak terduga dalam urutan berikut:

  • NDA untuk perusahaan tempat auditor bekerja;
  • auditor NDA pribadi dengan Anda;
  • izin kerja;
  • salinan buku kerja;
  • sebuah surat yang diseduh oleh pimpinan perusahaan;
  • paspor.

Baru kemudian memberikan "rahasia militer." Saya tidak memiliki salinan persalinan - saya harus menjadwalkan pertemuan lagi.

Penerimaan jarang terjadi, ia bekerja dengan sempurna untuk satu pertemuan, kemudian semua dokumen dengan cepat dikumpulkan dalam jumlah salinan yang tepat.

Kami menerima dalam jumlah besar, atau lebih, semakin menarik (tidak)


Bagaimana membuat rapat bisnis sesedikit mungkin berguna? Resepnya sederhana: kami membuka artikel apa pun di Internet tentang rapat yang efektif dan menjadikannya tidak berguna:

  • Selalu putuskan agenda rapat terlebih dahulu. Jangan pernah memberi tahu kolega tentang tujuan rapat. Katakan bahwa ini adalah KEAMANAN PRO, dan AKAN DIBICARA DENGAN ANDA oleh ORANG YANG BUTUHKAN (apakah Anda merasa merinding?).
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

Praktek mengorganisir pertemuan semacam itu tidak biasa (meskipun momen seperti itu selalu diucapkan oleh pelanggan), dan kami keluar dari situasi dengan cara yang berbeda untuk melibatkan semua ahli dalam percakapan dan tidak membiarkan mereka bosan.

Bekerja? Buruk, tapi usaha yang bagus.

Kami memainkan Danetka, atau saya akan menebak melodi ini dari satu nada




Kami mengaktifkan senjata rahasia - kami mengingat aturan permainan di Danetka.

Tugas karyawan: untuk meminimalkan penyiksaan psikologis auditor, untuk memaksa mereka merumuskan pertanyaan dengan benar sehingga mereka hanya dapat dijawab dengan "Ya" atau "Tidak".

Tugas auditor: untuk menebak mengapa seorang pria memasuki bar dan meminta segelas air, bartender tiba-tiba mengeluarkan pistol dan mengarahkannya ke pria itu. Pria itu berkata "Terima kasih" dan meninggalkan jawaban untuk pertanyaannya:
- Apa arti otomatisasi manajemen aplikasi yang Anda gunakan?
- Iya!
- Teknologi virtualisasi apa yang digunakan di perusahaan?
- Semua!

Sangat sulit untuk melakukan audit semacam itu, informasi harus diperoleh dalam bentuk biji-bijian. Saya suka permainan ini.

Tambahkan sensor


Apakah Anda berpikir bahwa sensor adalah sistem pengawasan atas konten dan penyebaran informasi, materi cetak, musik dan karya panggung dan hal-hal lain? Tidak. Sensor adalah petugas keamanan informasi yang terpapar tepat waktu di belakang auditor. Dalam peristiwa penting seperti audit, tidak ada tempat untuk imajinasi dan spekulasi auditor. Karena itu:
"Ini tidak salah dengan kami, kamu salah paham, dan pertanyaanmu salah."
Tugas sensor adalah membantu karyawan agar tidak gagal dalam ujian. Bantuan dapat meliputi:

  • Kami menyaring pertanyaan "salah" sesuai selera kami. Kami mengajukan banding dengan batasan audit atau dengan pertanyaan yang tidak ditanggapi atau tidak secara substantif.
  • Kami bertanggung jawab atas pihak yang diaudit (tiba-tiba dia lupa apa yang mereka punya waktu untuk bernegosiasi dengannya sebelumnya).
  • Kami melihat dalam catatan auditor dan memberikan komentar.

Surrealisme? Dia adalah. Namun, pengalaman seperti itu juga dalam praktik kami. Terus terang: itu ternyata buruk pada pelanggan, meskipun idenya adalah api!

Kami pergi dalam satu siklus dan menerjemahkan panah


Penting untuk membingungkan musuh sehingga dia tidak dapat membuat laporan audit yang berbahaya dan membahayakan Anda. Senjata nuklir lain, seperti Danetka. Tuliskan formula universal.
Pekerja N: "Saya tidak tahu ini, saya pekerja N, pekerja lain N +1 tahu ini."

Karyawan N + 1: "Saya seorang karyawan N + 1, Anda tertipu, ini adalah area tanggung jawab karyawan N".

Karyawan IS: "Sayangnya, kami kehabisan slot gratis untuk karyawan N dan N +1, Anda perlu bekerja dengan informasi yang ada."
Sulit untuk bekerja dalam mode ini, yang berarti bahwa tujuan telah tercapai? Tidak, itu mungkin dan perlu untuk diperjuangkan: kami memanggil spesialis, menyimpan notulen rapat dan sebagainya.

Pegang mouse, saya sudah pergi, atau jika Anda ingin mengetahui sistem lebih baik - lakukan sendiri!


Setiap auditor adalah seorang spesialis dengan huruf kapital. Jadi dia harus mengetahui sepenuhnya semua teknologi yang Anda gunakan di tingkat administrator, dapat membangun kembali kernel Linux dalam 5 menit dan mengetahui SAP Anda dengan sepenuh hati. Karena itu, cara terbaik untuk membuatnya gugup adalah dengan membiarkannya "menyetir". Biarkan dia memahami arsitektur sistem Anda, yang dibangun selama bertahun-tahun. Anda bisa duduk di sebelah dan tutup mulut.

Ngomong-ngomong, itu tidak bekerja dengan baik, karena kita sering tahu cara "mengarahkan", tetapi selama audit, kompetensi staf juga dievaluasi. Akibatnya, kita dapat menyimpulkan bahwa spesialis tidak mengetahui sistem mereka.

Diperbaiki dengan cepat - itu berarti tidak ada


Apakah Anda tahu aturan lima detik? Bagus, gunakan itu juga untuk audit. Mengalihkan perhatian auditor dan dengan berani melakukan perubahan pada pengaturan keamanan. Atau jangan mengalihkan perhatian sama sekali dan bawa bersamanya: mereka dengan cepat memperbaikinya - itu berarti tidak ada. Anda tidak bisa menjelaskan - tidak bekerja.

Kami mempersulit prosedur untuk mendapatkan sertifikat


Kami memiliki informasi rahasia


Teknik yang populer, bebas masalah, seperti senapan serbu Kalashnikov. Semua dokumentasi yang dikembangkan adalah kekayaan intelektual. Semua konfigurasi peralatan jaringan adalah rahasia dagang. Untuk mempelajari informasi yang diperlukan, buat auditor bekerja di tempat kerja khusus, matikan Internet, dan nonaktifkan flash drive. Biarkan itu menulis ulang semua yang Anda butuhkan di atas kertas, atau menghilangkan identitas dan meninggalkan file di desktop, dan Anda sudah meninggalkan yang diinginkan dalam file sesuai selera Anda. Adapun dokumen, biarkan auditor membacanya dalam bentuk cetak.

Secara terpisah, beberapa kasus ditarik kembali.

  • Entah bagaimana, kami mencetak konfigurasi peralatan jaringan pada sepasang paket Snegurochka tanpa izin untuk menghapus materi dari situs.
  • Di waktu lain, kami diminta untuk membenarkan setiap tangkapan layar yang diminta.
  • Di proyek lain, semua sertifikat hanya dapat dikirim di atas kertas.

Seseorang beralasan: mungkin, perusahaan-perusahaan ini memiliki rezim rahasia komersial yang ketat? Tidak. Dia sama sekali tidak.

Apakah akan membantu mengurangi kualitas pekerjaan? Belum pasti. Kami tidak memiliki pengalaman seperti itu: misalnya, membuat laporan melalui VDI pelanggan dengan buffer tertutup, port dan Internet dengan memperoleh sertifikat pada disk yang ditandai dengan kurir CT. Bagaimana Anda menyukainya, David Blaine?

Menggunakan keajaiban editor grafis




Seperti yang dikatakan Sun Tzu dalam The Art of War:
“Perang adalah cara penipuan. Karena itu, jika Anda bisa melakukan apa saja, tunjukkan pada musuh bahwa Anda tidak bisa; jika Anda menggunakan sesuatu, tunjukkan padanya bahwa Anda tidak menggunakannya. "
Dalam perang, semua metode bagus, jadi menggunakan editor grafis meningkatkan peluang Anda untuk menang. Semua bukti "tidak nyaman" di tangan Anda, tetap membawa sedikit riasan sebelum mengirim. Vektor ini memiliki peluang kecil ketika meminta informasi dari jauh atau memori auditor yang buruk. Lebih sedikit: ternyata canggung ketika auditor memutuskan untuk memeriksa tangkapan layar yang sebelumnya disediakan di situs. Tapi siapa yang menghentikannya?

Dalam praktik kami, ada kasus ketika kami menerima rantai surat yang dikirim secara acak dari pelanggan dengan konten berikut:
- Mengoreksi tangkapan layar kecil, tampaknya benar?
- Kirim, tiba-tiba tumpangan.
Ngomong-ngomong, itu tidak.

Kami memperketat persetujuan laporan


Koma itu penting


Tahap akhir dari konfrontasi: wawancara dilakukan, bukti dikirim, draft laporan diterima. Sudah waktunya untuk menangani hal yang paling penting: koma dan titik. Tidak masalah bahwa kontrol normatif dokumen adalah tahap akhir (dan ini disepakati), semuanya harus baik-baik saja dalam laporan. Semakin banyak komentar, semakin besar kesan bahwa audit berkinerja buruk. Tunda sebanyak mungkin komentar substantif dan waktu persetujuan masing-masing bagian laporan.

Dimasukkannya sejumlah besar spesialis dalam rantai koordinasi juga sangat bagus. Moto kami: "Audit selama enam bulan, kami akan setuju untuk satu setengah!". Tarik lebih lama, dan di sana tingkat pijar akan turun, dan bagian dari pekerjaan akan menjadi tidak relevan (yang baru akan muncul, yang lama akan dinonaktifkan).

Ini bekerja dengan buruk, baca di atas tentang manajer.

***

Tentu saja, sebagian besar proyek audit kami berlangsung seperti biasa, dan berikut adalah contoh yang paling mencolok tentang bagaimana pekerjaan tersebut dapat diubah menjadi acara yang panjang. Semua orang akan menarik kesimpulan sendiri: untuk mengadopsi dan "berhasil" lulus pemeriksaan, atau membuat audit bersama Anda berikutnya dengan integrator sedikit lebih baik.

Tersenyumlah lebih sering :-)

More articles:


All Articles