基于风险的审计”(Risk-based auditing)这个话题涉及的范围很广泛,它可以应用到许多领域,比如金融以及信息技术(IT)等。本文将从企业IT的角度来介绍基于风险的审计。文章内容涉及到基于风险的审计的要求,以及在审计之前、审计之中、审计之后需要采取的必要步骤。另外,本文还讨论了减轻风险的方法,并对控制选择和控制有效性测量进行了分析。这篇文章为那些开发内部IT审计程序或者正在寻找安全风险评估方法的企业提供了一个简单的基于风险的审计方法。
为什么要进行基于风险的审计?方法论以及背景
审计是企业安全策略中重要的组成部分。审计能够让工作人员满足监管规则的要求,验证现有的控制能否保护业务功能,并且决定什么时候需要新的控制。基于风险的审计与那种审计人员只用一个检查清单和一支笔来决定是否遵从规则的审计活动不同,它需要理解企业的业务功能和目标,这样才能够真正深入到系统和网络之中。
美国信息系统审计和控制协会(Information Systems Audit and Control Association,即ISACA)指出,“在基于风险的审计方法中,信息系统的审计人员不只是依靠风险;他们还依靠内部和运行控制,以及对被审计公司或者业务的了解。”因此,风险审计提供了更加彻底的业务风险评估,使得管理人员能够根据他们的风险承受能力做出明智的决定。进行基于风险的审计的原因是为了保持企业的IT决策和行动跟企业可接受的风险水平相一致,而且风险评估过程有助于确定风险门槛。
基于风险的审计方法:风险评估
风险承受能力或者可接受的风险是指一个企业愿意接受的风险暴露数量。也就是说,企业必须设置一个门槛,以确定何时以及何地执行各种控制来减轻风险。对于决定哪些控制是“锦上添花”,哪些是必要的保护业务功能的控制来说,这个过程是必不可少的。比如由国际标准化组织(ISO)以及美国国家标准和技术局(NIST)提出的几个风险管理方法,可以给管理人员提供好的可接受的风险评估结果。某种程度上,这些方法通常还包括明确资产、威胁、漏洞以及控制等。
确定资产
企业不能保护他们不知道的东西,所以他们必须明确企业的所有资产,而且要特别注意那些最关键的东西。资产统计列表出来之后,企业必须使用某种分类方法或者企业标准把它们进行分类。一般来说,可以参考以下标准对资产进行分类和评估:
类型:信息、硬件、软件、服务等
价值:业务价值和竞争价值
复杂性:不正常的企业管理费用、兼容性,或者操作要求
寿命:操作周期、折旧历史以及预期的生命期限
确定危险程度和保密级别
对资产进行分类之后,接着就是分配资产的危险程度级别和保密级别。以保密性、完整性和可用性要求为基础的危险程度和保密级别分类能够为各类资产指定各种特殊控制。下面的标准提供了一个简单的危险程度级别和保密级别分类方法:
级别1(高级保护):对于业务运行的维持来说生死攸关(例如,股票交易公司的股票交易服务器)。
级别2(中级保护):对于支持业务运行来说很重要(例如,股票交易公司的邮件服务器)。
级别3(基本保护):对于日常业务运行来说是必要的(例如,股票交易公司的打印服务器)。
按照保密要求进行的级别分类:
秘密:未经授权的披露会给公司带来毁灭性的后果(比如,商业秘密、源代码等。)
私人:未经授权的披露会影响公司的形象(比如,人事资料、金融信息等。)
公开:不会给公司带来负面影响(比如,新型服务、领导层信息等。)
威胁以及漏洞的确定
对资产进行确定、分类和分配危险程度级别以后,下一步就是确定他们的威胁和漏洞。威胁的根源是漏洞。漏洞是指人、过程以及技术上的弱点,可以被威胁所利用。比如,恶意软件(malware)就是一个威胁,它能够利用没打补丁的系统中的漏洞。另外一个潜在的威胁是灯火管制,能够利用缺乏发电机的建筑。威胁可以按照业务、技术、物理以及管理进行分类。对于企业来说,不仅要知道他们的威胁和漏洞,而且还要了解这些威胁和漏洞,确定它们能够带来的风险级别以及应对措施。
风险计算
风险计算对于决定资源的非常好的利用来说至关重要。一个简单的风险计算公式为:风险=资产价值*威胁*漏洞。请注意,这个描述中的资产价值要比它的初始投资成本大得多。资产的价值随着资源的利用而增加。资产开发、测试、运行和维护中应用了各种资源。另外,资产中存储的信息也有价值。举个例子,让我们来看一下可以接受客户信息的网络服务器。如果包含客户信息的数据库被破解,那么就可能招致法律制裁和名誉损失。另外,商业秘密的丢失能够导致市场份额减少、竞争力下降。因此,计算资产价值时必须考虑所有能够影响其价值的因素。
在计算威胁值时,你需要考虑其预估损失(PL)和年发生率(ARO)。PL是指威胁发生时资产暴露的百分比。也就是说,如果恶意软件破解了含有客户信息的数据库,而且预计有60%的数据丢失,那么PL就是60%。然后我们来看下这个威胁的ARO,即一年中威胁发生的次数。在这个例子中,预计的年发生率大概是每两年一次,即0.5。那么我们的危险计算系数为0.3(PL x ARO)。
在确定风险之前,你还需要计算不足性(DL)。DL是指有控制的情况下无效保护的数量。也就是说,如果现在保护公司数据库的杀毒技术80%有效,那么就有20%的不足性。有了这个数据,连同资产价值和威胁计算系数一起,我们就能计算风险。在这个例子中,让我们假设数据库的价值是50万美元。那么,风险=500000美元*0.3*0.2=30000美元。在这种情况下,我们就可以证明投资30000美元来保护这个关键的数据库是值得的。
此风险评估过程让审计团队以风险为基础区分责任的优先级,同时能够侧重于那些显著影响业务运行的关键资产。这个风险评估过程可以与审计范围中的风险排名相结合。请记住,这些活动需要进行一定的估计,因为每个攻击或者威胁载体都是不同的。
审计范围
审计范围包括审计团队可能进行评估的所有潜在审计实体以及所有审计过程。从本质上讲,审计范围包括推动企业业务目标的人员、过程以及技术。比如,审计范围内的潜在领域包括基础设施、应用程序、过程、架构、监管规则遵从、框架、政策以及边界保护等。除了上文提到的用货币因素确定风险级别以外,另一种方法就是使用风险排名表对风险进行排名。
风险排名是利用判断对审计实体进行评分的过程。风险排名表通过分配给各个风险领域的顾虑等级量表(rating scale)和数值进行计算。比如,下面的表格把网络应用程序看成是高风险领域。而且表格把网络应用程序复杂性列为高级别顾虑,顾虑级别为3。而分配给复杂性的值是1.75;因此,1.75 x 3.0 = 5.25,即为网络应用程序复杂性的风险值。
上面的表格是一个高级别风险排名的例子。有了排名标准以后,排在前面的25%的审计实体应该认为是高风险的,并且必须在本年中进行审计。根据这个表格,所有的网络应用程序和网络服务器都必须在今年进行审计。更全面的风险排名表格能够对特定的网络应用程序进行排名,或者把每个支付卡行业安全标准PCI DSS的要求作为自己的审计实体。表格中列出的实体的细节详细程度取决于审计范围的大小和进行深入风险排名评估的可用资源。而每年的风险评估和排名过程则决定了审计计划。
审计计划
审计计划列出了年度审计日程表、范围、目标以及开始审计所需要的资源。审计计划是根据风险评估结果以及风险排名创建的。风险评估真正推进了这个过程,因为它帮助审计团队明确不足性、未解决的弱点,以及担心的领域。除了上面的表格中显示的风险排名标准以外,其他潜在的标准有:最近的技术更新、最近的合并、最近的收购、新的监管规则等等。审计计划定义了角色和责任、审计团队的方法、后勤保障以及工作指标。对于要开始审计的审计团队来说,审计计划其实就是一个由管理层批准的工作计划。
