Column: Vertrouwen in een security audit?
Sinds jaar en dag worden audits uitgevoerd door accountantskantoren. De vraag is echter of zij daar altijd wel de meest aangewezen partij voor zijn.
Een paar jaar geleden kwam ik voor de eerste keer in aanraking met een Sarbanes Oxley audit. Het ene accountantskantoor deed de begeleiding en het andere zou de SOX-audit uitvoeren. Mijn werkgever voerde het ICT-beheer uit en ik begeleidde dat traject vanuit security-oogpunt. Na een controle aan de hand van een standaard checklist deden de accountantskantoren wat kleine aanbevelingen, maar keurden alles wel goed. Dat verwonderde mij, omdat in mijn zelfstandig uitgevoerde security audit naar voren was gekomen dat de financiële applicaties, draaiende op een AS 400, zonder authentificatie konden worden benaderd. Huh, het doel van Sarbanes Oxley is toch het garanderen van de integriteit van de financiële verslaglegging? Hoe kan die nu worden gegarandeerd als iedereen in die organisatie via de computer de mogelijkheid heeft de financiële verslaglegging in te zien én te veranderen?
De account auditor had echter geconstateerd dat de toegang tot Windows was voorzien van een goede authentificatie. Hij keek niet verder dan zijn spreekwoordelijke neus lang was. Hij wist domweg niet dat je ook zonder aan te loggen in Windows bij de financiële informatie kon komen, noch dat de terminal emulatiesoftware voor de AS 400 geen enkele authentificatie nodig had.
Vanaf dat moment ben ik er eens goed op gaan letten. En u raadt het al, ik ben nog veel gevallen tegengekomen waarin auditors zonder technische achtergrond niet in staat waren een adequate beoordeling van technische aspecten te doen. Je kunt die auditors natuurlijk niets kwalijk nemen: de technologische ontwikkelingen gaan zo snel, dat valt niet bij te houden als het niet je vakgebied is. Vanuit technologisch oogpunt is het daarom beter om deze controles te laten uitvoeren door engineers van system integrators. Deze engineers staan nog dagelijks met de ‘voeten in de modder’, kennen alle ins en outs van systemen en weten dus waar ze het over hebben. Maar zouden deze techneuten ook een systematische en betrouwbare audit uit kunnen voeren?
Een goede security audit wordt vooraf gegaan door een risico analyse. Op basis van de risico analyse worden de auditnorm en risicogebieden bepaald. De norm bevat een mix aan controlemaatregelen die betrekking hebben op mensen, processen en techniek. System integrators die enkel verstand hebben van techniek, zullen geen risico analyse uitvoeren en hebben geen kaas gegeten van de categorieën ‘mensen’ en ‘processen’. Daardoor zijn ze niet in staat een complete en betrouwbare security audit uit te voeren. Als behalve accountantskantoren ook de pure system integrators niet in staat zijn tot een goede security audit, wie is dat dan wel? Een goede vraag.
Er zijn maar heel weinig specialisten die verstand hebben van enerzijds de technologie en anderzijds de procesmatige en vaak menselijke kant. Security audits vereisen een cross-domain aanpak. De bedrijven die kennis hebben van risico analyses én in staat zijn technische aspecten te combineren met de tactische en strategische processen, zijn uiteindelijk het best geëquipeerd om security audits uit te voeren.
We leven echter in een vrij land, waar klanten vrij zijn de auditor te kiezen die zij menen te moeten kiezen. Maar zegt u nu zelf: in welk type auditor heeft u zelf het meeste vertrouwen?
Door Wilbert Pijnenburg information security consultant bij Telindus (wilbert.pijnenburg(at)telindus.nl).
vertrouwen'' heb ik geen passend antwoord. Zoals de auteur
zelf immers aangeeft is er een grote verscheidenheid in
audit land te vinden.
Ik heb de neiging te zeggen naar het accountants type, omdat
zij doorgaans goed op de hoogte zijn van de basis voordat
een audit kan plaatsvinden, met name op het gebied van
compliancy en risk management gerelateerde zaken.
Maar ook ik heb waargenomen dat de techniek die daarop volgt
niet altijd 'waterdicht' te noemen is. Mede daarom is het
zaak op voorhand goed af te spreken wat er geauditeerd wordt
en op welke manier.
gewenste omschrijving. Maar de vraag lijkt mij 'waar ligt de grens, hoe diep
moet je gaan?'. Waarschijnlijk zo diep als de klant vraagt.
Dit zijn verschillen tussen een interne en externe audit. Vaak is het budget
niet toereikend om een geheel oordeel te vellen dan wel een technisch
specialist in te schakelen. Ik ben het eens dat mbv emulatoren en bootable
OS-en (vb knoppix) een IP-nummer worden verkregen waardoor toegang
tot het netwerk wordt verleend, maar wat is er dan te halen (risico's en
maatregelen).
Het is natuurlijk ook niet de bedoeling iets ter waarde van 1 Euro
beveiligen met 2 Euro.
Wel belangrijk is de scoop van het onderzoek en indien as400 (fis) de
financien verzorgd dan is het inderdaad een matig / slecht oordeel.
mischien kende de auditor / accountant alleen exact?.
analyse, hierdoor kunnen zaken schijnbaar niet worden meegenomen in
een audit.
Wat je hiernaast "helaas" vaak ziet is dat er alleen ge-audit wordt op opzet
en niet op de daarmee samengaande werking en bestaan.
Hierdoor wordt er alleen op papier gekeken hoe volgens de procedure iets
zou werken zonder hierbij te kijken naar hoe dit ook echt functioneerd in de
dagelijkse praktijk.
Dit is overgens ook vaak een keuze van de opdrachtgever.
soort auditor nodig. Als beide zaken tegelijk moeten (zoals bij SOX) dan is
het verstandig dat een "accountant-type" auditor een paar techneuten
meeneemt, die zijn gespecialiseerd in de aanwezige infrastructuur. In de
praktijk gebeurt dat gelukkig ook regelmatig.
geleden hun eigen wifi netwerk nog niet eens kon
dichtzetten? en het dan over "engineers van system
integrators" hebben die technische audits moeten doen???
Lijkt mij een vak apart en over te laten aan specialisten.
Er zijn genoeg specialisten bij 'accountantskantoren' maar
die moet je weten te vinden, verder zijn er genoeg
gespecialiseerde bedrijven.
telindus, hmmm was dat niet het bedrijf wat tot enkele jaren
geleden hun eigen wifi netwerk nog niet eens kon
dichtzetten? en het dan over "engineers van system
integrators" hebben die technische audits moeten doen???
Lijkt mij een vak apart en over te laten aan specialisten.
Er zijn genoeg specialisten bij 'accountantskantoren' maar
die moet je weten te vinden, verder zijn er genoeg
gespecialiseerde bedrijven.
Ik werk al heel wat jaren bij Telindus, dit is nieuw voor mij. Gelukkig voor
jou is je reactie anoniem zodat je niet ter verantwoording geroepen kunt
worden, hoewel......
Er zijn system audits en proces audits. Voor elk type audit
is een andere
soort auditor nodig. Als beide zaken tegelijk moeten (zoals
bij SOX) dan is
het verstandig dat een "accountant-type" auditor een paar
techneuten
meeneemt, die zijn gespecialiseerd in de aanwezige
infrastructuur. In de
praktijk gebeurt dat gelukkig ook regelmatig.
PRECIES!
Een audit is meer dan een technische analyse van toegang en
encryptie. Het is de borging regelgeving,
toegangsbeveiliging en controlemechanismen.
Wat mag volgens de bedrijfstrategie (niets voor techneuten
dus..) aan welke vereisten moet een organisatie voldoen
(jurist..). Hoe zijn deze zaken vastgelegd (processen,
documentatie), welke tools worden er gebruikt, hoe worden
deze toegepast en gecontroleerd.
Er moet dus een samenspel zijn techniek, regelgeving en
controle die een rol spelen.
Zoals reeds hier geconstateerd zijn veel securitybedrijven
'slechts' gefocust op de technisch staat van de security.
“Maar zegt u nu zelf: in welk type auditor heeft u zelf het
meeste vertrouwen?”
Ik heb vertrouwen in de functie die een auditor vervult, het
doel wat een Sarbanes Oxley dient en de manier waarop men
zijn security infrastructuur inricht. De security
infrastructuur (van strategie, beleid, normenkader tot aan
security controls en hun governing processes) zal moeten
worden aangepast aan Sarbanes Oxley om aan de (aankomende)
regelgeving te voldoen. Parallel daaraan kan de organisatie
kiezen voor een Sarbanes Oxley audit om te kijken hoever de
compliancy van de infrastructuur met Sarbanes Oxley is. De
kwaliteit van zo’n audit hangt net zoveel af van de kennis
en kunde van de auditor als van de resources hij tot zijn
beschikking heeft. Wij weten dat een ‘echte’ audit (of
volledige audit, waar volledig betekend het netwerk, de
applicaties, processen en systemen, de omgeving en de
mensen) niet alleen door een auditor gedaan kan worden, maar
in goed samenspraak met system integrators en andere
technische experts. Als we het over de Sarbanes Oxley
standaard hebben, kunnen we simpel weg zeggen dat de
standaard niet in gaat op het operationele aspect en dus
veel ruimte laat om risico’s of op andere manieren van
mitigeren of te accepteren. Als we kijken naar de overal
security effectiviteit van de infrastructuur, wat niet
Sarbanes Oxley is maar het normenkader en bijbehorende
standaarden van het bedrijf volgt ben ik het met je eens.
Audits op baselines en hele operationele configuraties
moeten door techneuten gebeuren. Maar dat is niet het zelfde
als een Sarbanes Oxley audit.
Aan de andere kant is de kwaliteit van een Sarbanes Oxley
audit, of welke andere audit dan ook, erg afhankelijk van de
beschikbare resources. We weten allemaal dat een volledige
Audit, van strategie tot security controls wel een half jaar
kan duren. En dat is het niet waard. Ik heb liever een
globaal plaatje gemaakt door een Security Consultant (let;
geen auditor J) dan een warrig incompleet en in verkeerd
perspectief gezette technische audit van een systems integrator.
Met vriendelijke groet,
Joep Gommers
P.S. Hierna volgt een discussie, waarin we langs elkaar heen
praten en uiteindelijk het zelfde bedoelen. Gevolgd door een
compromie: het is een samenspel van auditors, security
consultants, techneuten en de organisatie.
daar nou net de kneep in zitten.
Toepassing minimale security daar heeft de wet het over...
MrHawkeye
En niet onbelangrijk...de kosten de kosten op korte termijn...want welk
bedrijf kijkt nu nog op lange termijn?
moeten auditen. De gemiddelde EDP/IT auditor van een groot kantoor
had dit zelfstandig moeten kunnen vaststellen. Dat één IT auditor de
plank mis slaat (en dat er wel meer zwakkere vakbroeders rondlopen),
wil natuurlijk niet zeggen dat de hele beroepsgroep uit een stel kneuzen
bestaat.
Overigens op grond van geschreven wetten alsook ongeschreven regels
had je werkgever en de geinterviewde IT medewerkers de auditor
moeten inlichten over de resultaten van eerdere audits incl. jouw interne
rapport. Hiervoor kun je in de VS in de bak draaien.
Een SOX audit is trouwens geen technische security audit.
controles te laten uitvoeren door engineers van system integrators
Voor SOX kom je toch uit bij de grote accountants- en advieskantoren, voor technische audits zou ik inderdaad liever een technisch bureau inhuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
