Ads 468x60px

tiistai 21. kesäkuuta 2011

Tosi elämän auditointihavaintoja

Kyllä auditointi on mielenkiintoista. Seuraavat havainnot teimme erään tietoturva-auditoinnin yhteydessä.
  • Tietokannan salasana löytyi järjestelmädokumentaatiosta
  • Asiakkaan toimittajan edustajat kertoivat haastatteluissa, että käyttävät yksilöllisiä tunnuksia ylläpitoon. Tekninen testaus osoitti, ettei näin ole
  • Alustassa oli haavoittuvuuksia, joiden avulla järjestelmään voi murtautua (tosin se ei olisi ollut tarpeellista, olihan tietokannan salasana kerrottu dokumentaatiossa)

Monia muitakin havaintoja tietenkin teimme, mutta yllä oleva tosi elämän esimerkki on hyvä muistutus siitä, että auditointia kannattaa tehdä ja että siihen kannattaa sisällyttää:
  • Dokumentaation auditointi
  • Haastattelut (hallinnollinen auditointi)
  • Tekninen testaus

Tällä kombinaatiolla saadaan jo suhteellisen kattava näkemys kohteen tietoturvallisuuden tilasta ja voidaan myös antaa konkreettisia suosituksia puutteiden korjaamiseksi.

1 kommentti:

Mika Iivari kirjoitti...

Eräässä auditoinnissa dokumentaatiossa oli hienosti huomioitu järjestelmän jatkuvuus ja saatavuus hajauttamalla asiakkaan ERP-järjestelmä kahteen noodiin. Konesalikäynnin yhteydessä ilmeni, että klusterin noodit sijaitsivat samassa palotilassa, samassa palvelinkaapissa, saman verkkoyhteyden ja sähkönsyötön takana. Tässä auditoinnissa ei onneksi kuitenkaan säilytetty ERPin varmuuskopioita saman palvelimen päällä... ;-)

Lähetä kommentti