2.7 KiB
Hoe 'technisch' is de audit?
In de PECB training worden vaak technische security experts genoemd, bijv. 'de firewall-engineer'. In hoeverre moet de auditor inhoudelijk technische kennis hebben? Moet hij bijv. een oordeel hebben over de configuratie van de firewall?
Hoewel je als individuele auditor niet verwacht wordt om elk technisch detail van elk mogelijk systeem of framework te kennen, is inhoudelijke technische kennis wel degelijk vereist om een succesvolle ISO 27001-audit uit te voeren.
Hier is hoe de norm en de praktijk hiermee omgaan:
1. Collectieve kennis en het gebruik van Technische Experts De norm eist dat het auditteam collectief (als geheel) over de benodigde kennis van IT-tools, methoden en de implementatie van de Annex A-maatregelen beschikt. Een goede auditor moet de onderliggende technologie begrijpen, anders is het onmogelijk om met redelijke zekerheid vast te stellen of technische maatregelen goed zijn geïmplementeerd. Echter, als jij als auditor de specifieke diepgaande kennis mist (bijvoorbeeld op het gebied van database-configuraties, softwareontwikkeling of complexe netwerken), dan mag (en moet) je een 'technical expert' (technisch expert) aan het auditteam toevoegen om die inhoudelijke beoordeling voor jou te doen.
2. Beoordeling van de firewall (Technical Verification) Wat betreft de firewall: ja, er wordt absoluut verwacht dat je (of jouw ingeschakelde technisch expert) de effectiviteit van de configuratie inhoudelijk kan beoordelen. Dit valt onder de auditprocedure technical verification. Mondelinge bevestiging is immers onvoldoende bewijs. Als de firewall-engineer jou vertelt dat zij specifiek netwerkverkeer aan de rand van het netwerk filteren, dan zul je de configuratie van die firewall (zoals de Access Control Lists of VPN-instellingen) moeten inzien. Je analyseert dan de regelsets om te zoeken naar mogelijke gaten, misconfiguraties of verkeer dat ten onrechte wordt doorgelaten.
3. De harde grens: Geen "hands-on" acties door de auditor Er is bij deze technische verificatie één keiharde regel: een auditor mag nooit zelf 'hands-on' testen of systemen bedienen. Zelfs als jij zelf een voormalig netwerkengineer bent en exact weet hoe de interface van een specifieke firewall werkt, mag je vanwege aansprakelijkheidsrisico's (liability risks) en onafhankelijkheid nooit zélf de muis overnemen, commando's intypen of zelfstandig kwetsbaarheidsscans (zoals Nessus) draaien op het netwerk van de klant.
De werkwijze is in plaats daarvan altijd dat je de technische beheerder (in dit geval de firewall-engineer) vraagt om in te loggen, de configuraties of rapportages op het scherm te openen en deze aan jou te demonstreren of uit te leggen, terwijl jij meekijkt en het inhoudelijk beoordeelt.