Nu îmi este clar de unde a apărut delimitarea testelor de penetrare de auditul propriuzis al sistemelor informaționale.

În opinia mea, majoritatea misiunilor de tip audit (nu mă refer la revizii) trebuie să includă un astfel de test. În cele ce urmează îmi susțin această afirmație și faptul că „pen test„ fără audit se poate. Audit fără „pen test„ nu prea este corect. (cu excepțiile aferente, date de scopul particular al misiunii)

În articolul precedent spuneam că un CISA oferă asigurări și pentru aceasta testează controale. Despre controale am învățat că sînt de două tipuri:

• generale – se aplică pentru toate domeniile unei organizații și includ politicile și practicile stabilite de către management pentru a oferi o asigurare rezonabilă că obiectivele specifice vor fi atinse.
• specifice sistemelor informaționale (în trecut se numeau „controale ale aplicațiilor„) – fiecare procedură de control general poate fi „tradusă„ într-o procedură de control specifică unei tehnologii/sistem informațional. Un sistem informațional bine conceput/proiectat/deazvoltat ar trebui să aibă controale pentru toate funcțiile sale sensibile sau critice.

Tot în articolul precedent spuneam că testarea controalelor realizată de către CISA include: testarea conformității respectiv testarea de fond. Există și o corelație între aceste două tipuri de teste: cu cît este mai mic numărul testelor de conformitate cu atît trebuie să fie mai mare numărul testelor de fond. Și viceversa. Mai știm că există situații în care trebuie identificate controalele compensatorii.

Mai adaug încă două aspecte pe care le luăm în calcul în timpul misiunii (în teorie 🙂 ): pragul de semnificație respectiv riscul auditării.

Acum să luăm un caz concret: exprimarea unei opinii cu privire la securitatea unui sistem informațional (să presupunem că este vorba de plăți electronice). Avem deci două tipuri de controale asupra cărora trebuie să realizăm două tipuri de teste.

Cum se poate realiza testarea de fond a controalelor specifice sistemelor informaționale? Testînd de fapt funcționarea acelor controale prin ceea ce este denumit „test de penetrare„!

Să luăm ca exemplu următorul obiectiv al controlului: „Prevenirea divulgarii neautorizate, a modificarii, stergerii sau distrugerii informatiilor existente pe mediile de stocare„. Controale generale vor include politici/proceduri cu privire la clasificarea, etichetarea, manipularea informațiilor. Testarea conformității implică revizuirea acestor documente. Testarea de fond ce va presupune? Cum se face?

Alt obiectiv al controlului: „Asigurarea accesului utilizatorilor autorizați și prevenirea accesului neautorizat la sistemele informaționale și servicii„. Testarea de fond ce va presupune? Cum se face?

În opinia mea, combinăm ingineria socială cu un soft de scanare vulnerabilități și încercarea de exploatare a vulnerabilităților existente (îi voi spune pentest fără prea multă teorie). Asta deoarece o vulnerabilitate exploatabilă indică de fapt inexistența unui control sau neatingerea obiectivelor acestuia.

Opinia auditorului se bazează pe probe:

„IS audit and assurance professionals shall obtain sufficient and appropriate evidence to draw reasonable conclusions on which to base the engagement results.

IS audit and assurance professionals shall evaluate the sufficiency of evidence obtained to support conclusions and achieve engagement objectives„ – ITAF, S1205 – Evidence

Tot ITAF, în G2205, menționează ca procedură de obținere a probelor:

„professionals can perform social engineering, act as a mystery guest or conduct ethical intrusion testing.„

„evidence reliability is generally greater when it is:
•  In written form, rather than obtained from oral representations
•  Obtained directly by the professionals rather than indirectly by the entity being audited
•  Obtained from independent sources
•  Certified by an independent party
•  Maintained by an independent party„