Audit in real life Auf was sollte man vorbereitet sein?

Transkript

1 IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien

2 Agenda Motivation Die Konsequenz Was ist zu tun? Wie prüft der Auditor? Das Ergebnis Praktische Beispiele Was kann helfen? Die Services der KPMG 1

4 Welche gesetzlichen und gesetzesnahen Anforderungen müssen (von der IT) erfüllt werden? Nationale Anforderungen Internes Kontrollsystem: AktG, GmbhG novelliert durch URÄG 2008 Nachvollziehbarkeit etc: UGB, BAO, GoB Schutzmaßnahmen, Protokollierung: DSG, TKG, EU-weite Anforderungen 8. EU Audit Richtlinie ( ÜRÄG 2008), MiFID, Basel II, Solvency II, Internationale Anforderungen SOX, HIPAA, PCI DSS, 3

5 Risikolandschaft (1) Mitarbeiter Prozesse Unternehmensziele Prozessziele Persönliche Ziele Persönlicher Beitrag 4

6 Motivation Ausgangssituation Unternehmen haben Ziele (zb Erfüllung der gesetzlichen und gesetzesnahen Anforderungen) Unternehmen haben eine Aufbauorganisation Mit allen Mitarbeitern werden Ziele vereinbart Unternehmen haben eine Ablauforganisation Mit allen Prozessmanagern werden Ziele vereinbart Frage 1: Ist die Erreichung der Ziele des Unternehmens bereits sichergestellt? 5

7 Risikolandschaft (2) Mitarbeiter Prozesse Private Ziele Unternehmensziele Prozessziele Persönliche Ziele Persönlicher Beitrag 6

8 Motivation (2) Antwort 1: Nein, denn Mitarbeiter haben auch private Ziele, diese decken sich nicht unbedingt mit den Zielen des Unternehmens Mitarbeiter können nur dann zu den Prozesszielen beitragen, wenn Die Prozessziele kommuniziert worden sind Die Prozessabläufe kommuniziert worden sind Die Mitarbeiter ausreichend kompetent (dh angemessen ausgebildet) sind Die Mitarbeiter mit der erforderlichen Autorität ausgestattet sind Die Mitarbeiter mit den notwendigen Ressourcen ausgestattet sind 7

9 Risikolandschaft (3) Ressourcen Autorität Kompetenz Mitarbeiter Information Prozesse Private Ziele Kommunikation Unternehmensziele Prozessziele Persönliche Ziele Persönlicher Beitrag 8

10 Motivation (3) Ausgangssituation (2) Mitarbeiter führen manuelle Aktivitäten innerhalb der Prozesse durch Mitarbeiter verwenden IT Systeme, um halbautomatisierte Aktivitäten innerhalb der Prozesse durchzuführen IT Systeme führen automatisierte Aktivitäten innerhalb der Prozesse durch Frage 2: Ist die Erreichung der Ziele des Unternehmens immer noch sichergestellt? 9

11 Risikolandschaft (4) Ressourcen Autorität Kompetenz IT-Systeme Mitarbeiter Information Prozesse Private Ziele Kommunikation Unternehmensziele Prozessziele Persönliche Ziele Persönlicher Beitrag 10

12 Motivation (4) Antwort 2: Nein, denn Jeder Mensch macht Fehler Jedes IT System ist von Menschen gemacht und daher fehlerhaft Außenstehende können die Schwächen von Mitarbeitern, Prozessen und IT Systemen ausnutzen, um Einem fremden Unternehmen zu schaden Dem eigenen Unternehmen einen Wettbewerbsvorteil zu verschaffen 11

13 Risikolandschaft (5) Ressourcen Autorität Kompetenz IT-Systeme Mitarbeiter Information Prozesse Private Ziele Kommunikation Unternehmensziele Prozessziele Persönliche Ziele Persönlicher Beitrag 12

15 Die Konsequenz Selbst die sichersten technischen IT Lösungen führen nur in einem angemessenen organisatorischen Umfeld auch wirklich zu einem effektiven Schutz vertraulicher Informationen. 14

17 Was ist zu tun? Implementierung eines IKS Implementierung eines angemessenen und wirksamen internen Kontrollsystems (IKS, internal control system vielleicht treffender Steuerungssystem ) Angemessen Das IKS ist prinzipiell geeignet, um alle wesentlichen Risiken, welche die Erreichung der Unternehmensziele gefährden, zu minimieren Wirksam Alle definierten Kontrollaktivitäten (vielleicht treffender Steuerungsmaßnahmen ) werden tatsächlich (und nachweislich) durchgeführt 16

19 Wie überprüft der Auditor das IKS? Angemessenheit Test of Design (TOD) Ist das IKS ist prinzipiell geeignet, um alle wesentlichen Risiken, welche die Erreichung der Unternehmensziele gefährden, zu minimieren? Methode: Risikobetrachtung im Zuge von Interviews, Dokumenteineinsicht, Wirksamkeit Test of operating Effectiveness (TOE) Werden alle definierten Kontrollen tatsächlich durchgeführt? Methode: Einsichtnahme in die Nachweise für die Durchführung der Kontrollen im Zuge von Interviews, Beobachtungen, Dokumenteneinsicht, Systemeinsicht, 18

21 Das Ergebnis Ein angemessenes und wirksames IKS ist ein Vehikel dazu, dass die Prozesse im Sinne der Erreichung der Unternehmensziele eingehalten werden die Prozesse (zumindest an den Kontrollen) gemessen werden können Die (erwünschten) Nebenwirkungen gesteigerte Transparenz der Prozesse effizientere und effektivere Steuerung des Unternehmens gesteigerte Performance 20

23 Das Konzept von Novell für ein Informationssicherheits-Managementsystem (ISMS) 22

24 Organisatorische Risiken 23

25 Beispiele für Prüfkriterien betreffend organisatorische Risiken Ausreichende Kompetenz, Autorität und Ressourcen Aktuelle und historische Dokumentation der Prozesse und des IKS Eindeutige Zuweisung von Verantwortlichkeiten Sicherstellung der erforderlichen Funktionstrennung Nachvollziehbares Änderungswesen Nachvollziehbare Testplanung, Testnachweise, Testfreigabe Überwachung des Betriebs, Incident und Problem Management 24

26 Typische Schwachstellen in der Organisation Mangelnde Autorisierung von Änderungen durch den anfordernden Geschäftsbereich unautorisierte Änderungen Mangelnde Nachweisbarkeit der Autorisierung von Änderungen Mangelnde Abnahme von Änderungen durch den anfordernden Geschäftsbereich potenziell unzuverlässige Systeme Mangelnde Aufbewahrung von Sources oder Binaries mangelnde Nachvollziehbarkeit der Verarbeitung in vergangenen Geschäftsperioden (BAO!) Auch Firewalls und andere Netzwerkkomponenten müssen organisatorischen Prozessen unterliegen! 25

27 Technische Risiken 26

28 Beispiele für Prüfkriterien betreffend technische Risiken Vertraulichkeit (Anwendung, Datenbank und Betriebssystem) Verfügbarkeit (zb RAID) Integrität (dh Vollständigkeit und Richtigkeit) der Verarbeitung Genauigkeit der Verarbeitung Vermeidung doppelter Verarbeitung Richtige Zuordnung (zeitlich und sachlich) Zeitnahe Verarbeitung Unveränderbarkeit Rückverfolgbarkeit Wiederherstellbarkeit 27

29 Typische Schwachstellen auf der Anwendungsebene Unvollständige Erkennung fehlerhafter Daten (bei Eingabe oder Verarbeitung) Keine Anfangs- und Endzeilen, keine Prüfung auf richtige Sequenz von Anfangs- und Endzeilen, keine Prüfung auf doppelte Anfangs- oder Endzeilen, keine Prüfung der Anzahl der Datensätze, keine Transaktionssummen, keine Prüfsummen, keine Prüfung auf doppelte Übertragung, Vergabe von zu weit reichenden Berechtigungen Verwendung unsicherer Protokolle für die Übertragung von Daten (zb FTP) Auch Firewalls und andere Netzwerkkomponenten haben eine Anwendungsebene! 28

30 Typische Schwachstellen auf der Datenbankund Betriebssystemebene Mangelnde Nachvollziehbarkeit von Einfügungen, Änderungen und Löschungen Mangelnde Protokollierung sicherheitsrelevanter Vorgänge (insbesondere Vorgänge der Benutzer- und Berechtigungsverwaltung) Verwendung unsicherer Protokolle (zb Telnet) Mangelnde Funktionstrennung bei der Protokollierung: Administratoren können in Logs, in denen ihre Tätigkeiten geloggt werden, selbst einfügen, ändern oder löschen Zwischenspeicherung zu archivierender Logs in einen Bereich, wo diese noch veränderbar sind Auch Firewalls und andere Netzwerkkomponenten haben eine (Datenbank- und) Betriebssystemebene! 29

32 Was kann bei der Implementierung eines IKS helfen? Internationale Standards ISO/IEC 2700x: Information Security Management System ISO/IEC 13335: Risk Assessment ISO/IEC 20000: Betriebliche IT-Prozesse ( ITIL) Internationale good practices COBIT: Umfassendstes Framework über die gesamten IT-Prozesse ITIL: Betriebliche IT-Prozesse ( ISO/IEC 20000) 31

34 Die Services der KPMG Beratungs- und Implementierungsleistungen Projektmanagement Externe Qualitätssicherung Externes Projektcontrolling Prozessreifegradbeurteilung nach internationalen good practices IKS Reifegradbeurteilung nach internationalen good practices Audits nach internationalen Standards 33

35 Presenter s s contact details DI Christian Focke KPMG Wien +43 (1) cfocke@kpmg.at