Memahami proses audit

Kepatuhan keamanan sistem informasi bergantung pada penyelesaian dua proses dasar:

Implementasi dan pengoperasian kontrol keamanan

Menyelaraskan sistem informasi dengan standar dan peraturan di dalam lingkup melibatkan tugas internal yang harus dilakukan sebelum penilaian formal. Auditor mungkin dilibatkan dalam keadaan ini untuk melakukan analisis gap, memberikan panduan, dan meningkatkan kemungkinan sertifikasi yang berhasil.

Verifikasi dan validasi independen

Demonstrasi kepada pihak ketiga yang netral bahwa kontrol keamanan sistem diimplementasikan dan beroperasi secara efektif, sesuai dengan standar dan peraturan di dalam ruang, diperlukan sebelum banyak sistem informasi mendapatkan status bersertifikat. Banyak sertifikasi memerlukan audit berkala untuk memastikan sertifikasi lanjutan, yang dianggap sebagai bagian dari keseluruhan praktik pemantauan berkelanjutan.

Menentukan cakupan audit

Menentukan lingkup audit, khususnya kontrol apa yang dibutuhkan dan bagaimana merancang atau memodifikasi penyebaran OpenStack untuk memuaskan mereka, seharusnya hal ini merupakan langkah perencanaan awal.

Saat menentukan lingkup penerapan OpenStack untuk tujuan kepatuhan, memprioritaskan kontrol di sekitar layanan sensitif, seperti fungsi perintah dan kontrol dan teknologi virtualisasi dasar. Kompromi fasilitas ini dapat mempengaruhi lingkungan OpenStack secara keseluruhan.

Pengurangan ruang lingkup membantu memastikan arsitek OpenStack membentuk kontrol keamanan berkualitas tinggi yang disesuaikan dengan penerapan tertentu, namun sangat penting untuk memastikan praktik ini tidak menghilangkan area atau fitur dari pengerasan keamanan. Contoh umum berlaku untuk pedoman PCI-DSS, di mana infrastruktur terkait pembayaran dapat diteliti untuk masalah keamanan, namun layanan pendukung tidak diperhatikan, dan rentan diserang.

Saat menangani kepatuhan, Anda dapat meningkatkan efisiensi dan mengurangi upaya kerja dengan mengidentifikasi area umum dan kriteria yang berlaku di beberapa sertifikasi. Sebagian besar prinsip dan pedoman audit yang dibahas dalam buku ini akan membantu mengidentifikasi kontrol ini, dan tambahan sejumlah entitas eksternal menyediakan daftar komprehensif. Berikut adalah beberapa contohnya:

The Cloud Security Alliance Cloud Controls Matrix (CCM) membantu penyedia awan dan konsumen dalam menilai keamanan keseluruhan penyedia awan. CSA CMM menyediakan kerangka kerja kontrol yang memetakan standar dan peraturan yang berlaku di industri termasuk ISO 27001/2, ISACA, COBIT, PCI, NIST, Forum Jericho dan NERC CIP.

The SCAP Security Guide adalah referensi lain yang berguna. Ini masih merupakan sumber yang muncul, namun kami mengantisipasi bahwa ini akan tumbuh menjadi alat dengan pemetaan kontrol yang lebih terfokus pada sertifikasi dan rekomendasi pemerintah federal AS. Misalnya, SCAP Security Guide saat ini memiliki beberapa pemetaan untuk panduan penerapan teknis keamanan (STIG) dan NIST-800-53.

Pemetaan kontrol ini akan membantu mengidentifikasi kriteria kontrol bersama di seluruh sertifikasi, dan memberikan visibilitas kepada auditor dan auditee di area masalah di dalam kumpulan kontrol untuk sertifikasi kepatuhan dan pengesahan tertentu.

Tahapan audit

Audit memiliki empat tahap yang berbeda, walaupun sebagian besar pemangku kepentingan dan pemilik kontrol hanya akan berpartisipasi dalam satu atau dua. Keempat tahapan tersebut adalah Planning, Fieldwork, Reporting and Wrap-up. Masing-masing tahap ini dibahas di bawah ini.

Tahap Planning biasanya dilakukan dua minggu sampai enam bulan sebelum Fieldwork dimulai. Dalam item audit tahap ini seperti kerangka waktu, garis waktu, kontrol yang akan dievaluasi, dan pemilik kontrol dibahas dan diselesaikan. Kekhawatiran tentang ketersediaan sumber daya, ketidakberpihakan, dan biaya juga dipecahkan.

Tahap Fieldwork adalah bagian audit yang paling terlihat. Di sinilah auditor berada di tempat, mewawancarai pemilik kontrol, mendokumentasikan kontrol yang ada, dan mengidentifikasi masalah apa pun. Penting untuk dicatat bahwa auditor akan menggunakan dua bagian proses untuk mengevaluasi kontrol yang ada. Bagian pertama adalah mengevaluasi keefektifan desain kontrol. Di sinilah auditor akan mengevaluasi apakah pengendalian mampu secara efektif mencegah atau mendeteksi dan memperbaiki kelemahan dan kekurangan. Suatu kontrol harus lulus uji ini untuk dievaluasi pada tahap kedua. Ini karena dengan kontrol yang dirancang tidak efektif, tidak ada gunanya mempertimbangkan apakah operasi itu berjalan efektif. Bagian kedua adalah efektivitas operasional. Pengujian efektivitas operasional akan menentukan bagaimana kontrol diterapkan, konsistensi pengendalian diterapkan dan oleh siapa atau dengan cara apa kontrol diterapkan. Pengendalian mungkin bergantung pada kontrol lain (kontrol tidak langsung) dan, jika memang, bukti tambahan yang menunjukkan efektivitas operasi dari kontrol tidak langsung tersebut mungkin diperlukan auditor untuk menentukan keseluruhan efektivitas operasi pengendalian.

Tahap Reporting adalah dimana setiap masalah yang diidentifikasi selama fase Fieldwork akan divalidasi oleh manajemen. Untuk keperluan logistik, beberapa kegiatan seperti validasi masalah dapat dilakukan selama fase kerja lapangan. Manajemen juga perlu memberikan rencana pemulihan untuk mengatasi masalah dan memastikan bahwa mereka tidak terulang kembali. Draft laporan keseluruhan akan diedarkan untuk ditinjau kembali kepada pemangku kepentingan dan manajemen. Menyetujui perubahan digabungkan dan draf yang diperbarui dikirim ke manajemen senior untuk diperiksa dan disetujui. Setelah manajemen senior menyetujui laporan tersebut, akhirnya diselesaikan dan didistribusikan ke manajemen eksekutif. Semua masalah dimasukkan ke dalam pelacakan masalah atau mekanisme pelacakan risiko yang digunakan organisasi.

Tahap Wrap-up adalah tempat audit secara resmi diputar mundur. Manajemen akan memulai kegiatan remediasi pada saat ini. Proses dan notifikasi digunakan untuk memastikan bahwa informasi terkait audit dipindahkan ke repositori yang aman.

Audit internal

Begitu awan digunakan, sekarang saatnya untuk melakukan audit internal. Inilah saatnya membandingkan kontrol yang Anda identifikasi di atas dengan desain, fitur, dan strategi penyebaran yang digunakan di awan Anda. Tujuannya adalah untuk memahami bagaimana setiap kontrol ditangani dan di mana ada kesenjangan. Dokumentasikan semua temuan untuk referensi di kemudian hari.

Saat mengaudit awan OpenStack, penting untuk menghargai lingkungan multi-tenant yang melekat dalam arsitektur OpenStack. Beberapa area penting yang perlu diperhatikan meliputi pembuangan data, keamanan hypervisor, pengerasan simpul (node hardening), dan mekanisme otentikasi.

Siapkan audit eksternal

Begitu hasil audit internal terlihat bagus, sekarang saatnya mempersiapkan audit eksternal. Ada beberapa tindakan penting yang harus dilakukan pada tahap ini, ini diuraikan di bawah ini:

  • Pertahankan catatan bagus dari audit internal Anda. Ini akan terbukti berguna selama audit eksternal sehingga Anda dapat siap untuk menjawab pertanyaan tentang pemetaan kontrol kepatuhan terhadap penerapan tertentu.

  • Terapkan alat uji otomatis untuk memastikan bahwa awan tetap sesuai dengan waktu.

  • Pilih auditor.

Memilih auditor bisa menjadi tantangan. Idealnya, Anda mencari seseorang yang berpengalaman dalam audit kepatuhan awan. Pengalaman OpenStack adalah plus besar lainnya. Seringkali yang terbaik adalah berkonsultasi dengan orang-orang yang telah melalui proses ini untuk referensi. Biaya dapat sangat bervariasi tergantung pada cakupan perjanjian dan perusahaan audit yang dipertimbangkan.

Audit eksternal

Ini adalah proses audit formal. Auditor akan menguji sekuriti keamanan dalam lingkup sertifikasi tertentu, dan menuntut persyaratan pembuktian untuk membuktikan bahwa kontrol ini juga diterapkan untuk audit windowt (misalnya audit SOC 2 pada umumnya mengevaluasi kontrol keamanan selama periode 6-12 bulan). Setiap kegagalan kontrol dicatat, dan akan didokumentasikan dalam laporan akhir auditor eksternal. Bergantung pada jenis penyebaran OpenStack, laporan ini dapat dilihat oleh pelanggan, jadi penting untuk menghindari kegagalan pengendalian. Inilah sebabnya mengapa persiapan audit sangat penting.

Pemeliharaan Kepatuhan

Prosesnya tidak diakhiri dengan audit eksternal tunggal. Sebagian besar sertifikasi memerlukan kegiatan kepatuhan terus-menerus yang berarti mengulangi proses audit secara berkala. Sebaiknya integrasikan alat verifikasi kepatuhan otomatis ke dalam awan untuk memastikannya sesuai setiap saat. Ini harus dilakukan selain alat pemantauan keamanan lainnya. Ingat bahwa tujuannya adalah keamanan dan kepatuhan. Gagal pada salah satu front ini akan secara signifikan mempersulit audit di masa depan.