Revizija centra podataka

U predhodnoj sekciji je bilo govora o revizorskim kontrolama na nivou entiteta i to predstavlja prvi, osnovni i ključni korak u revizorskim procesima kojim se definišu opšta pravila rada procesa IT revizije. Međutim, to je samo početak. Sposobnost savremene automatizovane obrade poslovnih dokumenata i informacija je srž najmodernijih operacija u poslovnoj organizaciji. Posao IT revizora je da identifikuje i izmeri sprovođenje fizičkih i administrativnih kontrola kao i sposobnost sprovedenih kontrola da se ublaži rizik remećenja i prekida obrade podataka. U ovom izlaganju će se obuhvatiti sprovođenje IT revizije centra podata, poznatim i pod nazivima serverska soba, računski centar (data centar) i po potrebi procesi obnove podataka (recovery) u slučaju potencijalnih katastrofa. Važno je prihvatiti da u okviru ovog izlaganja nije pokriveno pitanje obezbeđivanja procesa i procedura sa kojim se vrši obezbeđivanje procesa poslovnog kontinuiteta. Neke od oblasti koje će da budu obuhvaćene u okviru ovog izlaganja, između ostalog uključuju:

• Kapacitet – obim osnovnih kontrola
• Operacije centra podatraka (računskog centra)
• Sistem i elastičnost položaja centra podataka
• Strategija obnove podata (recovery) u slučaju katastrofa

Danas centri podataka obezbeđuju kontrolu fizičkog pristupa infrastrukturi, kontrolu okruženja, elastično napajanje i mrežno priključivanje, sisteme protivpožarne zaštite i nekoliko različitih tipova primenjenih alarmnih sistema. Struktura centra podataka se projektuje da održava konstantno optimalno kompjutersko okruženje. Revizorska uloga je da proveri i potvrdi da su prisutni svi neophodni sistemi i procedure i da rade podesno da bi se zaštitila poverljivost, integritet i raspoloživost poslovnih informacija.

Sistemi alarma

Zbog moguće pojave vatre, vode, ekstremne temperature i nivoa vlažnosti, fluktacije električne energije i ugroženosti fizičkim upadom u centar podataka (i njegove operacije), interni IT revizori bi trebalo da posvete pažnju identifikaciji nekoliko različitih tipova sistema alarma koji bi trebalo da su primenjeni u okviru centra podataka. Interni IT revizori bi trebalo specijalno da pogledaju i razmotre prisustvo i funkcionisanje sledećih tipova alarma.

• Burglar alarm ((Kontrolni panel burglar alarma predstavlja centralnu jedinicu montiranu na zid u kojoj su smešteni uređaji za detekciju i povezani i upravljani kablovi za alarm. Ovo uključuje uređaje kao što su zvona, sirene, kontakte na vratima, detektore pokreta, detektori dima itd. Tipični paneli se nalaze u uslužnim ormarima ili pristupnim sobama.)) , alarm protiv provale – upada je moguć sa (magnetnim vratima, senzorima na prozorima (za identifikaciju loma, stakla), senzorima za uočavanje kretanja i ponekad zvučnim senzorima, ili primenjenim kabinetom koji obuhvata više raznih tipova senzora protiv upada),
• Alarm požara (najčešće senzori koji se aktiviraju na dim (pušenje), temperaturu, pojavu vatre, razdeljeni po zonama koje pokrivaju različite delove objekta centra podataka,
• Alarm za vodu (najčešće sa senzorima ispod duplog poda blizu mogućih tačaka rizika, u blizini vodovodnih i kanalizacionih cevi kao i grejnih instalacija punjenih vodom),
• Alarm vlažnosti (normalno sa senzorima postavljenim svuda u okviru objekta centra podataka),
• Alarm o funkcionisanju elekrtrične energije (sa senzorima blizu logičke tačke ulaza),
• Hemijski ili gasni alarm (ponekad u sobama sa akumulatorskim baterijama i blizu vazdušnog usisavanja kod klima uređaja).

Ovi alarmni sistemi će, normalno, blagovremeno snabdevati potrebnim informacijama operativni centar u okviru centra podataka. Operateri u okviru centra podataka su po pravilu edukovani kako da reaguju kod pojave alarmnih uslova, za specifične senzore. U savremenim centrima podatraka prisutne su i kamere za prismotru, da bi omogućile da se blagovremeno uoči i izoluje uzrok problema.

Postupak IT revizije centra podataka

Centar podataka je objekat koji je projektovan da smesti jedan ili više kritičnih informacionih sistema koji su vezani za poslovnu organizaciju. Ti sistemi su sastavljeni od kompjuterskog hardvera, jednog ili više operativnih sistema i programskih aplikacija. Aplikacije su poluga podrške specifičnim operativnim funkcionalnostima takvim kao što su izvršavanje komercijalnih poslovnih procesa, (naručivanje, upravljanje relacijama sa partnerom (Customer Relation Management – CRM)), proizvodnim procesima (lansiranje radnih naloga) i procesima računovodstva i finansija.

Po svojoj prirodi savremene mogućnosti obrade podataka su u osnovi hijerarhije poslovne organizacije, pa je to razlog zašto je izuzetno važno da postoje neophodne kontrole da bi se ublažio mogući rizik njihovog rada. Glavni centri pretnji između ostalog uključuju:

• Prirodne pretnje, takve kao što su meterološki događaji, poplave, zemljotresi ili požari,
• Pretnje nastale od ljudi, kao što su terorstički incidenti, pobune, krađe ili sabotaže,
• Opasnost okruženja kao što su ekstremne temperature ili vlažnost,
• Gubitak komunalnih usluga, kao što je električna energija ili telekomunikacije.

IT revizor bi trebalo da uoči i zabeleži da su mnoge od ovih pretnji fizičke po svojoj prirodi. U nastavku izlaganja ukazaće se na neke različite kontrole koje imaju za cilj ublažavaje ovih pretnji.

Plаn zа oporаvаk informаcionih sistemа u slučаju hаvаrije

Procenjujući različite rizike po informacije i informacione sisteme (naročito zbog neočekivanih havarija i/ili drugih destruktivnih delovanja) i planirajući preventivne mere za ublažavanje istih, poslovna organizacija bi trebalo da uspostavi anticipativne mere zaštite, sa kojima se mogu ublažiti mnoge vrste rizika poslovne organizacije. Kao jednu od najvažnijih pripremnih radnji je uspostavljanje efikasnih procedura kao preventivnih mera sa kojima će se obezbediti što brže vraćanje informacionih sistema i potrebnih raspoloživosti informacija u radno stanje posle nastale havarije.

Mnoge strukovne organizacije (COSO, IIA, ISACA) kao i usvojeni standardi (na primer; serija standarda ISO 27000), revizorske kuće (PricewaterhouseCoopers, Deloitte Touche, Tohmatsu Limited, Ernst & Young i KPMG) kao i prateća stručna literatura, definišu mnoge kontrolne liste (checklists) koje pomažu internim IT revizorima u praktičnom radu. Tako na primer, knjiga IT revizija ((Chris Davis, Mike Schiller and Kevin Wheeler, IT revizija Savez računovođa i revizora Srbije, 2008)) definiše preko 40 kontrolnih tačaka koje su vezane za centar podataka, koje se po potrebi mogu i trebaju dekomponovati na mnogo detaljniji pristup. U nastravku se iznose samo neke od mogućih kontrolnih tačaka u okviru kontrolne liste (checklist), uz jedan nešto detaljnije obrađen primer.

Neki test koraci interne IT revizije i kontrole koje se odnose na centar podataka

• Potrebno je da interni IT revizori ocene jedinice za fizičku autentifikaciju da bi odredili da li su podesne, kao i način na koji se one suštinski koriste i da li rade na adekvatan način,
• Obaveza je da se na redovnoj osnovi vrši razmatranje dnevnika bezbednosti koji se odnosi na obilaske zgrade od strane stražara, kao i drugih pratećih dokumenta, da bi se ocenila efikasnost bezbedonosne personalne funkcije,
• Potrebno je proveriti da li su osetljive oblasti adekvatno bezbedne (system sala, arhiva magnetnih medijuma i slično),
• Zahteva se da se proveri da li sistemi toplote, ventilacije, klimatizacije održavaju konstantnu temperaturu unutar centra podataka,
• Interni IT revizor bi trebalo da oceni i proceni da li centar podataka koristi elektronski štit (faradejev kavez) da bi se zaštitio od posledica radio emisija koje mogu da utiču na kompjuterski sistem ili da elektromagnetne emisije samog računara (ekrana) ne mogu koristiti u svrhe dobijanja neautorizovanog pristupa informacijama poslovne organizacije,
• Potrebno je da interni IT revizori provere da li postoji uzemljenje kojim se vrši zaštita kompjuterskih sistema kao i kvalitet (merenja) tog uzemljenja.
• Odredite da li centar podataka ima redududantno snabdevanje električnom energijom. Interni IT revizori bi trebalo da provere da li je osigurano da postoji stalnost napajanja električne energije kao uslov zaštite od gubitka podataka.

Prekid električne energije može da uzrokuje gubitak podataka dovodeći do iznenadnog prekida u radu i “spuštanja“, odnosno obaranja kompjuterkog sistema. Sistem besprekidnog napajanja (Uninterruptible Power Supply – UPS) i sistemi baterija ublažavaju taj rizik obezbeđujući 20 do 30 minuta napajanja električnom energijom, isto tako kao i rad stabilizatora električne energije za vreme normalnog korišćenja kroz stabilizaciju napona i frekvencije električne energije, pošto i stabilizator ima u okviru sebe sistem baterija a sprečiće pregorevanje uređaja na kojima su skladišteni podaci.

Kako

Sistem rezervnog napajanja posredstvom baterija ili UPS-a nudi momentalno snabdevanje električnom energijom u slučaju gubitka mrežne električne energije. To rešenje je tipično projektovano da obezbedi negde između 20 minuta i jednog sata rada kompjuterskog sistema za izvršavanje i završavanje pojedinih radnih zadataka. Istovremeno, ovi uređaji obezbeđuju dovoljno vremena koje je potrebno generatoru električne energije da se pokrene, stabilizuje i počne da generiše električnu energiju. UPS po pravilu takođe izvršava funkciju stabilizacije električne energije zato što su ovi uređaji logički postavljeni između izvora električne energije i opreme kompjuterskog centra. Kada se direktno koristi električna energija, baterije su konstantno na punjenju. Do konverzije dolazi ako je električna energija izgubljena, odnosno u prekidu, tada baterije počinju da se troše. Interni IT revizor bi trebalo da obavi intervju sa menadžerom objekta centra podataka i da posmatra UPS sistem i proceni snagu njegovih baterija kao backup sistem napajanja i da proveri da li je UPS sistem centra podataka zaštitio sve bitne i kritične kompjuterske sisteme i reagovao u adekvatnom vremenu.

• Osigurajte da je personal centra podataka utreniran da izvršava nihove poslovne funkcije,
• Osigurajte da je kapacitet centra podataka planiran da izbegne nepotrebne prekide,
• Proverite da su prisutne procedure koje osiguravaju sprovođenje bezbednog memorisanja i raspoređivanja sistemskih medija,
• Itd…

U daljem izlaganju izložičemo dalji nastavak oblasti i postupke u kojima deluje interna IT revizija.

• Koraci revizije opšte mrežne opreme
• Mrežna i komunikaciona infrastruktura
• Revizija windows operativnih sistema
• Middleware i revizija baze podataka
• Revizija aplikacija
• Revizija kompanijskih projekata
• Okvir i standardi
• Forenzičko računovodstvo
• Forenzička IT revizija