19
אפר
09

ביקורות אבטחת מידע ורואי חשבון

כבר זמן רב שאני מגלגל בדעתי האם לומר את הדברים הבאים. דברים לא קלים, שעשויים לעורר התנגדות חזקה. אני לא אוהב להעביר ביקורת מהסוג הזה. אבל זה מסוג הדברים שמנהלי אבטחת מידע ומנהלים אחרים בארגונים חייבים לקחת בחשבון.

ביקורת נפוצה בארגונים הינה ביקורת אבטחת מידע (להבדיל מסקרי סיכונים). ביקורות אלה אמורות לשקף את מצב אבטחת המידע להנהלה או אמורות לספק אישור חשבונאי של מאזנים. בארגונים רבים, עושים שימוש בביקורות אלה כמדד יחיד לרמת אבטחת המידע בארגון.

האבסורד הגדול הוא שמי שמבצע את רוב הביקורות האלה, אינו מבין אבטחת מידע ואף אינו מבין מערכות מידע. מדובר ברואי חשבון מהפירמות הגדולות. לוקחים רואי חשבון זוטרים (ואפילו כאלה עם ניסיון), נותנים להם תבנית מסמך (לרוב באקסל) ושולחים אותם לדרך. הם באים ושואלים שאלות מהאקסל לצורך כתיבת דוח עם ממצאים. הם גם שואלים שאלות מאוד כלליות בניסיון לחלוב מהמרואיין בעיות אבטחת המידע שהוא מודע להן.

כיוון שראיתי ועברתי ביקורות רבות כאלה, אני יכול לומר בבטחון שביקורות אלה לא שוות הרבה. עפ"י רמת השאלות ורמת הדוחות, ברור כי מדובר באנשים שחוטאים לאמת המקצועית שלהם. אני במקומם לא הייתי מתיימר להגיש תיעוד חתום על מצב אבטחת מידע של ארגון כאשר אני לא מבין מה אני שואל.

למה הדבר דומה? לקחתי באוניברסיטה קורס בחשבונאות (על באמת). אני יודע איך נראה מאזן ואיך נראה דוח רווח והפסד. אפילו למדתי שיטות פחת חשבונאי שונות. האם אני יכול לחתום על תקינות מאזן של ארגון לפני פרסומו לבורסה?

יטענו שחלק מהם קיבלו הסמכה של גופים שונים. אז מה? הם עדיין לא מבינים כלום. שתי דוגמאות לשאלות שנשאלתי בשנה האחרונה יבהירו הכל:

  1. האם עובדים מכבים מסכים בסוף יום עבודה? כמענה, שאלתי אם לא עדיף לכבות את המחשב. בתגובה הוא שאל האם יש בחברה נוהל כיבוי מחשבים בסוף יום עבודה (נוהל שהיה רלוונטי לפני 10 שנים והיום הוא פאסה). שאלתי בקנטרנות למה צריך כזה נוהל והמבקר ענה כדי שמישהו אחר לא יכנס לנתונים רגישים ברשת. ציינתי שמספיק לנעול את המסך והוא חשב על זה שתי דקות ולאחר שהוא הבין הוא אמר שזה מה שהיה רשום לו בתבנית.

  2. השאלה השניה היתה האם יש Firewall שדרכו מוודאים שרק משתמשים מורשים בארגון מקבלים הרשאות למערכות? כאילו דה – הרשאות למערכות דרך Firewall? דרך אגב, הממצא הזה היה רשום בטיוטת דוח שהועברה אלי בפרק על אופן ניהול ההרשאות למערכות בארגון. כך שהצלתי את הליצן לפני שהוא עשה מעצמו צחוק והגיש להנהלה את הממצא הזה.

ברור שישנם חריגים. אני מכיר כמה אנשי אבטחת מידע מאוד מקצועיים שבאו מתחום ראיית חשבון ומשפטים. אך אלה יוצאים מהכלל שאינם מעידים על הכלל.

המסקנה מכל זה היא שבעלי מקצוע צריכים להיות מבקרים של אותו תחום. פירמות רואי חשבון (שלרוב לא מעסיקים מקצוענים אמיתיים בתחום אבטחת מידע) צריכות להתעסק במאזנים ומיסים. עורכי דין יתעסקו ביעוץ משפטי. כל סוגיה שגובלת בנושא משפטי שעולה בארגון שלי, אני מפנה מיד ליועץ המשפטי. אני לא מתיימר לתת תשובה מוסמכת.

הבעיה היא שישנו ואקום גדול בתחום אבטחת מידע. אין גוף ממשלתי או אחר שמסמיך מנהלי אבטחת מידע ואנשי ביקורת בתחום אבטחת מידע (ואני לא מתכוון לגופים שמנפיקים הסמכות שהשם שלהן מתחיל ב – Certified). אני מתכוון לגוף כמו לשכת עורכי הדין או לשכת רואי החשבון. אם היה כזה גוף, פירמות רואי החשבון לא היו נשאבות לואקום מכניס הכסף הזה. או לחלופין הן היו מגייסות אנשים שיודעים מה זה Active Directory, Firewall ולמה חשוב שלא יהיו סיסמאות בברירות מחדל (מישהו הזכיר את סקוט הנמר?) שלא לדבר על החשיבות בבדיקות קלטים מחמירות במערכת (ואני בעצם מנסה לומר אנשים שמבינים אבטחת מידע).


2 Responses to “ביקורות אבטחת מידע ורואי חשבון”


  1. 20/04/2009 ב- 18:12

    אני מסכים איתך באופן חלקי בלבד.

    ראשית, חלק גדול ממשרדי רואי החשבון מעסיקים מבקרי מערכות מידע, אשר גם אם אינם מומחי אבטחת מידע ייעודיים, הם בוקאי בעלי הסמכה לבצע ביקורת בנושא – לגבי הניסיון, זה משתנה כמובן.

    צריך לזכור שמטרת הביקורת של רואי החשבון היא לבדוק את רמת הבקרה על הדיווח הכספי, ולכן הם בודקים את התשתיות.
    הדוגמאות שהבאת הן דוגמאות מצערות, אבל אני לא חושב שהן בהכרח מלמדות על הכלל.

    אתה צריך גם לזכור שמדינות רבות בעולם, חברות ייעוץ אבטחת המידע ששולטות בשוק הן זרועות של משרדי רואי החשבון הגדולים (כגון PWC, KPMG ).

  2. 2 גיא
    26/04/2009 ב- 18:13

    גם אני הייתי שותף לכזו שיחה, מהצד של הנשאל, רק כשסיימתי לענות הבנתי עד כמה לא שנאלתי כלום וכמה זו היתה פגישה הזוייה.

    דווקא בפעם זהו לא היה הקשר של דיווח כספי כזה או אחר אלא בדיקת אבטחה כדי לאשר ללקוח לאשר אותנו כספק.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


אפריל 2009
א ב ג ד ה ו ש
« מרץ   מאי »
 1234
567891011
12131415161718
19202122232425
2627282930  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: