Bardzo często w ramach prac mam okazję oglądać różne raporty z przeprowadzonych audytów. Często zdarza się więc, że niekoniecznie jestem zachwycony tym co widzę. Nie chodzi tu w tym wypadku o merytorykę - tutaj niekiedy pokutuje kryterium najniższej ceny. W tym momencie mam na myśli samą czytelność dokumentu.
Przygotowanie raportu z audytu często jest traktowane jako
najbardziej żmudna, wnosząca dyskusyjną wartość część audytu. W końcu wszystkie
luki i tak zostały wykryte, w trakcie audytu powiedziano o tym co trzeba
naprawić. Po co więc męczyć się z raportem - słyszałem (naprawdę) kilka razy. Na
temat raportowania mam zupełnie inne zdanie. Otóż produktem pracy audytora,
czyli czymś materialnym za co nam się płaci jest dokument - raport. Już z tego
powodu warto się przyłożyć do prac, by klient mógł zobaczyć wysoką jakość
usługi. I by z przyjemnością zaczął korzystać z wyników naszej pracy
Zawiła struktura
raportu
Raport powinien być prosty w odbiorze. Wystarczy, że dotyka
skomplikowanych zagadnień. Typowa struktura raportu zawiera podsumowanie dla
kierownictwa podkreślające najważniejsze obszary ryzyka, zestawienie odbytych
czynności audytowych oraz szczegółowe obserwacje wraz z rekomendacjami.
Widywałem jednak raporty, w których nie można doszukać się
informacji, które z obserwacji niosą za sobą najpoważniejsze ryzyko. Widywałem
raporty, które składały się z niejasnego dokumentu głównego, a obserwacje były
rozsiane po kilku załącznikach bez jasnego połączenia z jedną całość. Widywałem
rekomendacje, których nijak nie można było przypisać do obserwacji, bądź takie,
gdzie rekomendacje wykorzystywały w znaki, które w jakiś zagmatwany sposób
podobno łączyły się w obserwacjami….
Nie tędy droga. Klient powinien od razu otwierając raport
dowiedzieć się gdzie nie jest dobrze. A gdy zainteresuje się szczegółami -
będzie chciał wiedzieć na jakiej podstawie wyciągnięto wnioski, powinien być to
w stanie zrobić samodzielnie i sprawnie.
Zbyt ogólne obserwacje
Obserwacja powinna być napisana w taki sposób by klient był
w stanie dowiedzieć się w jakim obszarze wykryto luki. Powinien mieć możliwość
samodzielnego zweryfikowania naszych słów. No i oczywiście powinna bazować na
faktach, unikając naszych opinii oraz uogólnień. Z dobrze napisaną obserwacją
nie powinno się dyskutować
Obserwacje typu "Organizacja nie zarządza zmianami w
oprogramowaniu" można łatwo podważyć, a klient nie koniecznie będzie
wiedział do czego "przyczepił" się audytor.
Ogólne bądź banalne
rekomendacje
Rekomendacje są podstawową wartością płynącą z raportu
audytowego. Klient płaci za to by się dowiedzieć jak można doskonalić
organizację, nie tylko za samą identyfikację luk. Rekomendacje nie powinny
wskazywać na konkretne mechanizmy np."Należy wdrożyć JIRA do wsparcia
procesu zarządzania zmianami", nie powinny być ogólnymi banałami typu
"Należy wdrożyć proces zarządzania zmianą", nie powinny również być
przygotowywane w sposób wprost sugerujący sugerujące wdrożenie zaobserwowanego brakującego
mechanizmu kontrolnego (Obserwacja "Nie ma kamer CCTV"; Rekomendacja:
"Zakupić kamery CCTV"). Rekomendacje nie powinny być też zachowawcze
"Sugerujemy ewentualne rozważenie potrzeby przemyślenia zasadności
zlecenia analizy pozwalającej zidentyfikować …"
W rekomendacji należy skoncentrować się na wskazaniu czego
brakuje w organizacji, ale tak by móc zachować niezależność podczas kolejnych
audytów
Styl pisania
Raporty z audytów bezpieczeństwa, czy systemów zarządzania
bezpieczeństwem informacji często dotykają technicznych kwestii. Ale de facto
wskazują na ryzyka biznesowe. Czytane są więc przez osoby niekoniecznie bardzo
biegłe w kwestiach technologicznych. Wskazywanie na "podatność w
komponencie serwera JBoss" nie pozwoli zazwyczaj najwyższemu kierownictwu
zorientować się czy problem jest poważny. Podobnie zresztą informacja, że
aplikacja jest podatna na atak "Man-In-The-Middle" czy wręcz
informacja, że można "zaatakować system wykorzystując SQL Injection".
"Stety czy niestety" ale warto napisać raport tak by osoby techniczne
wiedziały konkretnie gdzie jest problem, a kierownictwo biznesowe by było w
stanie zorientować się z jakim wiąże się to ryzykiem i jaki powinien być
priorytet prac.
Równocześnie warto pamiętać o tym, że raport powinien
nadawać się do przeczytania. Zdania na 13 linijek, pełne literówek, błędów
ortograficznych i interpunkcyjnych są na porządku dziennym. A zamawiający wcale
nie interesuje się tym, że ekspert w zakresie bezpieczeństwa ma dysgrafię,
dysortografię czy inną dysleksję.
"Brzydki" wygląd
raportu
To jest oczywiście kwestia bardzo indywidualna, ale gdy w
raporcie korzysta się z kilku egzotycznych czcionek, czasami pogrubionych,
czasami zawierających całe długie akapity w kursywie, gdy ewentualne wykresy są
krzywe i niejasne a tabele nie mają opisu co zawierają. To na ile
profesjonalnie wygląda raport przekłada się (może niekiedy zbyt często) na to
jaki jest jego odbiór.
Podstawą udanego raportu z audytu zdecydowanie powinna być
zawarta w nim wartość merytoryczna. Ale potem trzeba jeszcze "umieć
sprzedać" zawartą tam wiedzę by klient był zadowolony… I by ponownie do
nas wrócił
