Les administrateurs système ont la chance d'être exposés à une variété de normes d'audit (SAS/SSAE, PCI, ISO, et d'innombrables autres) et une bonne réponse générale sur la façon de gérer les audits est quelque chose qui nous manque, alors voici ma tentative.

Version TL;DR :

1. Obtenez vous-même une copie des normes applicables
2. LIRE les normes.
3. COMPRENDRE les normes.
4. Veillez à ce que les politiques et procédures de votre entreprise répondent aux exigences.
5. Veillez à ce que votre entreprise suit ses politiques et procédures.
6. Profitez de votre audit sans transpiration.

Le matériel spécifique à la norme SSAE 16 sera décalé comme suit.
Il convient de noter que la norme SSAE 16, tout comme les déclarations SAS 70 qu'elle remplace, n'est pas vraiment une "norme", mais plutôt une "norme". déclaration par l'AICPA sur la manière dont un audit doit être mené et dont les résultats doivent être présentés.
L'audit SSAE 16 lui-même est encore très largement un audit "L'entreprise fait ce que ses procédures, contrats, etc. disent qu'elle fait". Il est souvent présenté comme un "croquemitaine de l'audit", mais il n'est pas si effrayant que cela et n'impose que très peu d'exigences en soi.

Ce qu'il faut faire est un audit de toute façon ?

Wikipedia donne une excellente définition de l'audit : l'évaluation d'une personne, d'une organisation, d'un système, d'un processus, d'une entreprise, d'un projet ou d'un produit.
Dans le contexte où nous sommes le plus souvent impliqués, les audits sont conçus pour garantir que les processus et procédures d'une organisation répondent à certains objectifs de contrôle - par exemple, garantir que seuls les utilisateurs autorisés peuvent apporter des modifications à la configuration d'un pare-feu.

Cela semble assez simple Mais qu'est-ce qu'ils vont regarder ?

Si un audit est mené correctement, tout ce qui sera couvert par l'audit sera détaillé dans la norme sur laquelle porte l'audit. Si vous examinez la norme, vous savez ce qui sera examiné et vous pouvez procéder à vos propres examens et audits internes pour vous assurer que vous êtes en conformité avant qu'un audit externe ("de certification") n'ait lieu.

Dans le cas du SSAE 16, les Statements on Standards for Attestation Engagements (SSAE) sont promulgués par l'Organisation mondiale de la santé (OMS). Institut américain des comptables agréés . Il s'agit de l'un des nombreux documents normatifs gratuits que vous pouvez obtenir auprès d'eux.

Tout cela semble très bien, mais pourquoi l'informatique est-elle impliquée ?

Citez un aspect de l'entreprise que l'informatique ne touche pas.
De nombreux contrôles, si ce n'est la plupart, qui sont mis en œuvre ont des fondements techniques (comme "Les utilisateurs se connectent avec un nom d'utilisateur et un mot de passe") dont le personnel technique est en fin de compte responsable.

OK, Que dois-je faire pour me préparer à un audit ?

En général, deux choses sont nécessaires pour se préparer à un audit :

1. Le document de normes sur lequel porte l'audit.
   Il s'agit du point zéro de tout audit : L'auditeur doit vérifier que votre entreprise est en possession de la version la plus récente du document de normalisation.
   Ce point est parfois négligé par l'auditeur, mais c'est à votre détriment si vous essayez de vous conformer à une norme que vous n'avez pas lue et à laquelle vous ne pouvez pas vous référer.
2. Une quantité raisonnable de bon sens.
   Vous allez devoir lire le document sur les normes et soit
   • Faire correspondre chaque exigence de la norme à un processus, une procédure ou un contrôle existant ; ou
   • Créer un nouveau processus, une nouvelle procédure ou un nouveau contrôle pour répondre à l'exigence.

Cela n'a pas l'air si terrible que cela. Pourquoi les gens détestent-ils les audits ?

Il y a deux raisons courantes pour lesquelles les gens n'aiment pas l'audit (en dehors de la perte de productivité inhérente à l'audit lui-même) : Une mauvaise préparation ou de mauvais auditeurs.

Mauvaise préparation - ou "Comment s'assurer d'une expérience d'audit misérable".

Nombreux sont ceux qui racontent les malheurs de l'audit : "Cela devait prendre un jour et ils nous ont tabassés pendant deux semaines ! Je n'ai pas de données statistiques pour étayer mes dires, mais la plupart des histoires que j'ai entendues peuvent être attribuées à une mauvaise préparation de la part de l'organisation auditée.
Par ignorance, par paresse ou par manque de ressources, l'organisation n'atteint pas un ou plusieurs de ses objectifs de contrôle définis (ou les exigences de la norme), et l'auditeur fait son travail en frappant l'organisation à la tête et en lui disant qu'elle s'est plantée.

Par exemple, si une norme exige que vous empêchiez les utilisateurs non autorisés de modifier les systèmes de production, une façon d'y parvenir est de donner à tous vos administrateurs un nom d'utilisateur et un mot de passe communs, connus uniquement de l'équipe administrative.
Cette solution répond certainement à cette exigence, bien que n'importe quel administrateur système dirait qu'elle est plutôt bidon, mais si vous êtes paresseux ou pressé, vous pouvez la mettre en œuvre.

Si vous poursuivez votre lecture de la norme, vous découvrirez probablement une autre clause qui dit quelque chose comme "les changements de configuration sur les machines de production doivent être enregistrés, y compris la date, l'heure et la personne qui a effectué le changement" - tout à coup, votre système de mot de passe partagé ne fonctionne plus : Vous avez besoin d'une identification et d'une authentification traçables individuellement, et si vous aviez lu la norme (ou réfléchi aux exigences et fait preuve du bon sens que j'ai mentionné plus haut), vous l'auriez su.

Vous verrez un exemple d'un auditeur qui signale une mauvaise préparation dans Annexe B de la norme SSAE 16, section 801 Le rapport d'audit, extrait d'un modèle de rapport d'audit, se lit comme suit :
The accompanying description states on page [mn] that XYZ Service Organization uses operator identification numbers and passwords to prevent unauthorized access to the system. Based on inquiries of staff personnel and observation of activities, we have determined that operator identification numbers and passwords are employed in applications A and B but are not required to access the system in applications C and D.

Mauvais auditeurs - ou "Je ne sais pas pourquoi, on m'a juste dit que vous deviez faire". X !"

L'autre extrémité du spectre se produit également : très souvent, les auditeurs ne sont pas experts dans tous les domaines qu'ils contrôlent. Ils connaissent très certainement les normes (si ce n'est pas le cas, demandez un autre auditeur !), mais l'application spécifique de la norme peut dépasser leur domaine d'expertise.
Un auditeur n'a pas besoin d'être un administrateur de système pour savoir si un objectif de contrôle tel que le contrôle de la qualité de l'eau a été atteint. Usernames and passwords are employed as an access control mechanism for XYZ Application -- Ils peuvent observer quelques personnes utiliser le système et vérifier que chaque personne saisit un nom d'utilisateur et un mot de passe.

Les mauvais auditeurs sont ceux qui ne comprennent pas qu'il peut y avoir plusieurs façons d'atteindre un objectif de contrôle (par exemple, en utilisant des cartes à puce au lieu de noms d'utilisateur et de mots de passe pour se connecter) ou, pire encore, ceux qui ne comprennent pas qu'il peut y avoir plusieurs façons d'atteindre un objectif de contrôle. les auditeurs qui ne comprennent tout simplement pas le raisonnement qui sous-tend les normes qu'ils contrôlent .
En règle générale, tout ce que vous pouvez faire ici est de ne pas être d'accord avec l'opinion de l'auditeur (soumettez le problème à son patron, soit en apportant la preuve que vous répondez aux exigences que l'auditeur prétend ne pas respecter, soit en apportant la preuve que la demande de l'auditeur est hors du champ d'application ou qu'elle constituerait en soi une violation de la norme à laquelle vous devez répondre).

"Échouer à un audit

Il y a plusieurs façons d'"échouer" à un audit, et certaines sont meilleures que d'autres.
Cela arrive rarement et il ne faut pas s'y attendre. Chaque audit va trouver un problème sur lequel il faudra se pencher. Ces problèmes portent différents noms - "exceptions d'audit", "notes de non-conformité" et "violation" étant des noms assez courants - mais ce n'est pas parce qu'il y a une constatation négative que vous avez toujours "échoué" à un audit.

Les audits de certification sont généralement effectués sur la base d'une norme comportant certaines exigences de performance (l'exemple le plus connu est sans doute la série de normes de gestion de la qualité ISO 9000). À l'issue de l'audit, l'équipe d'auditeurs recommande à l'organisme de certification de certifier (ou de ne pas certifier, ou de retirer la certification) une organisation comme étant "conforme" à une norme donnée.
Des déficiences mineures dans la performance ne peuvent pas empêcher la certification.
Par exemple, la norme ISO 9001 exige qu'une entreprise procède à des examens périodiques des données relatives à la qualité. Si une entreprise déclare qu'un examen de la qualité de sa chaîne de fabrication est effectué tous les 30 jours, mais qu'en réalité elle le fait le premier jour de chaque mois, elle est dans l'incapacité de respecter les exigences de la norme. techniquement non conformes à leurs procédures, et donc par les application la plus stricte possible ils ne peuvent pas être certifiés.
Dans des cas comme celui-ci, l'auditeur émet un avis de non-conformité et recommande la certification "dans l'attente d'une action corrective acceptable pour tous les avis de non-conformité". L'entreprise modifie alors son manuel de procédures opérationnelles pour y ajouter la mention "examen mensuel de la qualité", envoie une copie à l'auditeur et obtient la certification.

Les non-conformités plus importantes ("Vous dites que vous lisez toutes les réclamations des clients et que vous y répondez dans les 30 jours, mais je vous ai vu prendre le gros sac de courrier rempli de réclamations et le brûler sur le parking sans même l'ouvrir") sont pratiquement un échec garanti - ce sont des choses qui montrent une culture organisationnelle qui ne tient pas compte des normes/exigences applicables.
Ce type de problème nécessite généralement un nouvel audit complet afin de prouver à l'auditeur que vous prenez les exigences au sérieux.

N'oubliez pas que les auditeurs sont également responsables devant quelqu'un d'autre, généralement un organisme de certification.
Si leurs audits sont douteux, ils finiront par perdre l'autorisation de les réaliser.

Les audits SSAE 16 (SAS 70) sont des audits "Nous faisons ce que nous disons".
Vous ne pouvez pas "échouer" à l'audit parce que les normes sont les vôtres, mais vous pouvez avoir des "non-conformités matérielles" (ce qui signifie, en langage AICPA/Auditeur, "Vous avez échoué parce que vous ne faites pas ce que vous dites que vous faites").
Pour les petites choses comme l'exemple de paragraphe que j'ai cité plus haut, la correction des systèmes concernés C y D Toutefois, comme pour les audits de certification par rapport à une norme spécifique, si les auditeurs ont l'impression d'une "culture organisationnelle" de mépris des règles/exigences, il leur sera beaucoup plus difficile d'accepter de rééditer leur rapport sans procéder à un nouvel audit complet.