Uno dei modi principali in cui possiamo garantire la responsabilità (accountability) attraverso mezzi tecnici è assicurandoci di avere registrazioni accurate di chi ha fatto cosa e quando lo ha fatto.
In quasi tutti gli ambienti, dal livello di tecnologia più basso al più alto, la responsabilità viene in gran parte ottenuta attraverso l’uso dell’auditing.
Il dizionario di diritto di Merriam-Webster definisce un audit come “un esame e una revisione metodici“.
Si effettuano Audit per diverse ragioni.
L’auditing ci fornisce i dati con cui possiamo implementare la Accountability.
Se non abbiamo la capacità di valutare le nostre attività per un periodo di tempo, non abbiamo la capacità di facilitare e implementare la responsabilità su larga scala.
In particolare nelle organizzazioni più grandi, la nostra capacità di eseguire audit equivale direttamente alla nostra capacità di ritenere chiunque responsabile di qualsiasi cosa accada.
Potremmo anche essere vincolati da requisiti contrattuali o normativi che ci obbligano a essere soggetti a revisione contabile su una base ricorrente.
In molti casi, tali audit sono effettuati da terze parti indipendenti, certificate e autorizzate a svolgere tale compito.
Buoni esempi di tali audit sono quelli richiesti da SOX, che esistono per garantire che le aziende riportino onestamente i propri risultati finanziari.
Cosa controlliamo?
Quando effettuiamo un audit, ci sono una serie di elementi che possiamo esaminare, principalmente incentrati sulla conformità alle leggi e alle politiche pertinenti.
Nel mondo della sicurezza delle informazioni, tendiamo a considerare l’accesso da o verso i sistemi come un obiettivo primario, ma spesso estendiamo questo anche in altri campi, come la sicurezza fisica.
Le password sono un elemento comunemente controllato, poiché dovremmo impostare la nostra politica per dettare come vengono costruite e utilizzate.
Se non ci prendiamo cura di creare password in modo sicuro, possono essere facilmente violate da un utente malintenzionato.
Dovremmo anche preoccuparci della frequenza con cui vengono cambiate le password.
Se capita che una password cada nelle mani di qualcuno che non dovrebbe averla, è consigliabile cambiare la password a intervalli relativamente frequenti per garantire che questa persona non abbia un accesso permanente.
In molti casi, il controllo della sicurezza della password e la gestione delle modifiche alla password vengono eseguiti in modo automatizzato da funzioni all’interno di un sistema operativo o da utilità progettate per farlo e anche queste devono essere verificate per garantire che siano a posto e configurate correttamente.
Le licenze software sono un altro argomento di controllo comune.
In particolare sui sistemi di proprietà dell’organizzazione per cui lavoriamo, garantire che tutto il nostro software sia concesso in licenza in modo appropriato è un compito importante.
Se dovessimo essere controllati da un’agenzia esterna e scoprissimo che stiamo eseguendo grandi quantità di software senza licenza, le sanzioni pecuniarie potrebbero essere davvero gravi.
Spesso è meglio se possiamo trovare e correggere noi stessi tali problemi prima di ricevere una notifica da una società esterna.
