Che cos’è, significato, a cosa serve un IT Security Audit in azienda

Che cos’è, significato, a cosa serve un IT Security Audit in azienda

IT Security Audit

In una organizzazione, una delle tecniche utilizzate per la difesa a livello aziendale dalle minacce informatiche è l’audit interno o processo di internal auditing (IA). L’IT Security Audit è un’attività professionale verso un’organizzazione per la verifica delle procedure, svolta principalmente da personale interno. Esso è in genere attuato verso organizzazioni con scopo, dimensioni, complessità e struttura diversi (società, enti pubblici o privati ed altro) e può essere esercitato anche da professionisti di audit, sia interni che esterni all’organizzazione.
L’attività di internal auditing è regolata a livello internazionale dagli standard di riferimento, emanati dall’Institute of Internal Auditors (IIA) essi indicano agli auditor il livello minimo di prestazioni accettabili o prestazioni attese necessarie ad ottemperare alle responsabilità assegnate, di informare gli organi direttivi delle aziende, management e organi di controllo interessati.

Compito dell’internal auditor è quello di aiutare la dirigenza di ogni livello ed il vertice aziendale a:

  • assicurare una direzione d’impresa efficace e non nominalistica;
  • garantire un accurato resoconto finanziario;
  • porre in atto le condizioni per la costante massimizzazione sia dell’efficacia che dell’efficienza organizzativa;
  • impostare un valido ed efficace sistema di prevenzione e controllo delle malversazioni.

Compito istituzionale della funzione di audit è altresì quello di integrare metodologie e strumenti per un’efficace/efficiente azione di controllo a costante presidio del sistema di controllo interno-aziendale (abbreviato SCI), nell’ottica della Creazione di Valore, che si concretizza in:

  • riduzione degli assorbimenti patrimoniali, per perdite inattese: misurazione e gestione dei rischio operativo. Analisi delle relazioni processi/rischi/controlli per l’individuazione delle priorità di auditing e miglioramento del sistema di controllo interno;
  • riduzione del costo del controllo in funzione del rischio: approccio di analisi basata sul rischio (risk based) per processo. L’approccio per processi, a differenza del tradizionale per unità organizzative, che non permette di cogliere le interrelazioni presenti nelle diverse attività svolte, consente alla funzione IA di valutare l’adeguatezza e funzionalità del sistema di controllo interno a presidiare i rischi che possono intaccare e compromettere la capacità di raggiungimento degli obiettivi definiti: pertanto l’ambito di operatività della funzione IA comprende tutti i diversi processi aziendali;
  • miglioramento della qualità dei controlli con conseguente riduzione delle perdite su crediti (rischio di credito), su attività finanziarie e da rischio operativo.

IT audit si occupa in definitiva di effettuare le verifiche sulla conformità dei sistemi informativi di un’organizzazione in base a quanto previsto da norme, regolamenti o pratiche interne, secondo le seguenti modalità:

  1. Revisione del processo di innovazione tecnologica: l’audit costruisce un profilo di rischio per i progetti esistenti e nuovi, valuterà la lunghezza e la profondità di esperienza dell’azienda nelle tecnologie scelte, così come la sua presenza in mercati rilevanti, l’organizzazione e la struttura della parte del settore che si occupa di ogni particolare tipo di progetto.
  2. Verifica e confronto innovativo: questo controllo è l’analisi delle capacità innovative della società che vengono sottoposte a revisione, in relazione ai suoi concorrenti. Ciò richiede l’esame di strutture di ricerca e di sviluppo della società, così come del suo track record riguardo la produzione di nuovi prodotti.
  3. Verifica della posizione tecnologica: questo controllo esamina le tecnologie che l’azienda ha attualmente o quelle che ha bisogno di aggiungere. In questo senso le tecnologie si definiscono “base”, “chiave”, “stimolanti ” o “emergenti”.

Altri descrivono lo spettro di IT audit attraverso cinque categorie principali di controllo:

  1. Sistemi e applicazioni: un audit deve poter verificare che i sistemi e le applicazioni sono appropriati, efficienti e adeguatamente controllati per garantire validi, affidabili e tempestivi livelli di lavorazione dello stesso sistema.
  2. Elaborazione dati Facilities: un audit per verificare che l’impianto di trattamento è controllato, deve garantire l’elaborazione tempestiva e accurata delle applicazioni sia in condizioni normali che in condizioni potenzialmente pericolose.
  3. Sistemi di sviluppo: un audit per verificare che i sistemi in fase di sviluppo siano conformi agli obiettivi dell’organizzazione, deve garantire che i sistemi sono stati sviluppati in conformità con le norme generalmente accettate dalla stessa organizzazione.
  4. Gestione di IT e di Enterprise Architecture: un audit deve verificare che la gestione IT abbia sviluppato un ambiente controllato ed efficiente per l’elaborazione sicura delle informazioni di un’intera struttura organizzativa.
  5. Client/Server, Telecomunicazioni, Intranet ed Extranet: un audit deve verificare che siano attivi i controlli di telecomunicazioni, sul client (computer che riceve i servizi), server e sulla rete che collega client e server.

In tale contesto, l’IT Security Audit o security auditor è una figura professionale che ha preso piede nel mondo del lavoro da poco. Il security auditor si occupa di effettuare delle verifiche sull’efficacia dei sistemi di sicurezza dei programmi informatici, individuando i possibili punti deboli. Tale ruolo è infatti di fondamentale importanza per le aziende (sia pubbliche che private) poiché il suo obiettivo è in primis quello di proteggere i sistemi informatici dall’attacco di eventuali pirati informatici, ma anche di vigilare affinché i lavoratori dell’azienda stessa non commettano violazioni diffondendo dati sensibili all’esterno. E’ dunque fondamentale che le verifiche dei dipendenti seguano le policy di sicurezza e non ci siano violazioni nel sistema.

Che cos'è, significato, a cosa serve un IT Security Audit in azienda

IT Audit esterno e interno in azienda

In altre parole, l’auditing di sicurezza delle informazioni è una parte vitale di ogni controllo IT ed è spesso inteso come lo scopo primario di un audit IT. Oltretutto, l’ampio spettro di auditing della sicurezza delle informazioni comprende argomenti quali data center (la sicurezza fisica dei data center, la sicurezza logica dei database, server e componenti di infrastruttura di rete), le reti e la sicurezza delle applicazioni.
Dalla descrizione effettuata dell’IT security audit si intuisce come sia importante per le aziende mettere in atto dei controlli periodici sul proprio sistema informatico, al fine da contrastare eventuali attacchi di social engineering. Attraverso, infatti, un’analisi approfondita della rete e dei relativi componenti, questo sistema di difesa permette di fornire all’azienda un rapporto dettagliato nel quale sono indicate tutte le potenziali vulnerabilità trovate, con le relative misure correttive da attuare per migliore il grado di sicurezza interna.

In particolare, si va verso due direzioni analitiche:

  1. Audit esterno: simulazioni di attacchi esterni aventi lo scopo di acquisire informazioni sul sistema informatico dell’azienda e analizzare tutte le componenti visibili dall’esterno, al fine poi da rilevare possibili vulnerabilità e vie di accesso che possono consentire attacchi, su cui bisognerà intervenire;
  2. Audit interno: utilizzato per verificare lo stato della sicurezza del sistema informatico aziendale interno, che individua attraverso una serie di test diverse classi di vulnerabilità che potrebbero essere sfruttate per violare lo stesso sistema e i dati in esso contenuti.

Il rapporto finale proveniente dalle due analisi sopra esposte mostrerà tutte le informazioni rilevate riguardo il sistema in oggetto, le caratteristiche, le porte aperte, i bug di sistemi operativi e i servizi attivi, necessari per poter rilevare vulnerabilità presenti e prospettare sistemi di protezione più efficaci.
Come la maggior parte dei settori tecnologici, però, anche questi argomenti sono sempre in evoluzione. Gli IT auditors, pertanto, devono costantemente migliorare la loro conoscenza e la comprensione dei sistemi interessati al fine da avere e offrire sistemi di protezione sempre più efficienti.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *