Bagian tersulit dari audit jarang merupakan kontrol itu sendiri. Itu adalah saat seseorang meminta untuk melihat buktinya.
Di sebuah ruang konferensi yang sedikit beraroma spidol penghapus kering dan kopi yang terbakar, "bukti" sering kali berarti spreadsheet yang diekspor dari sistem yang tidak pernah dibangun untuk orang luar. Itu berarti tangkapan layar panel admin, file zip kebijakan, daftar akun pengguna yang ditarik pada Jumat sore karena permintaan auditor datang terlambat pada Kamis. Itu juga berarti data—kadang-kadang data yang sama yang telah dihabiskan oleh pengacara privasi Anda selama bertahun-tahun untuk memberi tahu semua orang agar tidak dipindahkan, tidak disalin, tidak dikirim melalui email, tidak dicetak.
Auditor tidak meminta catatan mentah karena mereka ingin tahu. Mereka bertanya karena mereka tidak dapat menandatangani nama mereka pada laporan yang dibangun berdasarkan perasaan. Jika Anda mengatakan akses ke data pelanggan terbatas, mereka ingin melihat daftar akses. Jika Anda mengatakan perubahan ditinjau, mereka ingin melihat tiket, permintaan tarik, persetujuan, log penyebaran, dan bukti bahwa itu tidak diedit setelah fakta. Di dunia keuangan, di bidang kesehatan, di bisnis mana pun yang menyentuh informasi pribadi, jejak bukti itu dengan cepat mengalami konflik dasar: membuktikan bahwa Anda menangani data dengan benar dapat memerlukan menunjukkan data yang seharusnya Anda lindungi.
Tim yang peduli privasi merasakan konflik itu dalam keputusan kecil yang berulang. Apakah kita memberikan firma audit akun sementara di produksi, hanya baca, dengan logging yang ditingkatkan? Apakah kita membiarkan mereka menjalankan kueri, atau apakah kita menjalankannya dan menempelkan hasilnya ke dalam dokumen? Apakah kita menyensor nama dan email dan berharap auditor menerimanya? Dalam audit jarak jauh, apakah kita berbagi layar kita sementara seseorang mengawasi kita mengklik melalui sistem yang berisi catatan pelanggan nyata, mengetahui satu filter yang salah dapat menampilkan nomor jaminan sosial di seluruh panggilan Zoom?
Beberapa kerangka kerja secara tidak langsung mendorong Anda menuju eksposur. PCI DSS, misalnya, dapat memerlukan demonstrasi bagaimana data pemegang kartu disimpan, diakses, dan dipantau. Audit dan penilaian HIPAA dapat tergantung pada apakah Anda dapat menunjukkan penanganan yang tepat terhadap informasi kesehatan yang dilindungi. GDPR dan undang-undang privasi lainnya menambah tekanan terpisah: hanya ungkapkan apa yang diperlukan, dokumentasikan dasar hukum Anda, batasi akses bahkan di dalam organisasi. "Hanya apa yang diperlukan" menjadi licin ketika auditor memutuskan apa yang diperlukan.
Sebagian besar tim mulai dengan pengendalian akal sehat. Mereka menyiapkan laptop "ruang bersih" yang hanya digunakan untuk pekerjaan audit. Mereka menonaktifkan salin/tempel di alat tertentu. Mereka memberi watermark pada ekspor. Mereka menyetel batas waktu untuk akun. Mereka menjaga log terus-menerus dari setiap file yang dibagikan, kepada siapa, dan mengapa, karena audit itu sendiri menjadi sesuatu yang mungkin perlu Anda jelaskan nanti.
Kemudian ada langkah yang lebih halus: membuktikan kontrol tanpa mengungkapkan data yang mendasarinya.
Terkadang itu sesederhana mengganti pengidentifikasi. Daftar pelanggan dapat menjadi daftar email yang di-hash, di mana auditor masih dapat mengonfirmasi keunikan dan menghitung tanpa melihat alamat. Laporan izin dapat menunjukkan peran dan jumlah daripada nama individu, dilengkapi dengan sampel yang lebih kecil dan terkendali jika auditor bersikeras untuk menguji spesifik. Audit basis data dapat dilakukan dengan menunjukkan skema, pengaturan enkripsi, kebijakan manajemen kunci, dan log akses—tanpa membuang tabel.
Pengambilan sampel adalah di mana tim mengalami masalah, karena "sampel" dapat diam-diam menjadi "terlalu banyak." Seorang auditor meminta dua puluh lima tiket dukungan yang melibatkan data pelanggan. Setiap tiket berisi tangkapan layar yang ditempel oleh agen, kadang-kadang dengan detail yang tidak disensor. Seseorang harus membukanya, memeriksa, menyensor, dan mengekspornya kembali. Pekerjaan itu lambat, dan berisiko. Anda dengan cepat belajar sistem mana yang dibangun dengan pemikiran penyensoran dan mana yang dibangun untuk kecepatan, dengan privasi yang disematkan sebagai seperangkat pedoman yang diikuti orang sampai mereka lelah.
Beberapa organisasi melangkah lebih jauh, menggunakan metode teknis yang dirancang untuk memisahkan bukti dari eksposur. Pohon Merkle, yang pada dasarnya adalah kumpulan terstruktur dari hash, dapat mendukung bukti tentang kumpulan catatan: Anda dapat membuktikan bahwa catatan tertentu termasuk dalam dataset yang lebih besar tanpa mengungkapkan seluruh dataset. Ide-ide ini bukanlah hal baru, tetapi menggunakannya dalam pekerjaan kepatuhan rutin masih tidak merata. Banyak auditor merasa nyaman dengan tangkapan layar dan ekspor; lebih sedikit yang siap menilai bukti kriptografi tanpa mengandalkan spesialis.
Ada juga komputasi rahasia—menjalankan beban kerja sensitif di lingkungan yang dilindungi perangkat keras—dan enclave aman yang, dalam teori, memungkinkan auditor untuk menjalankan pemeriksaan terhadap data nyata sambil mencegah auditor melihat nilai mentah. Janji itu jelas: uji kontrol, jaga data tetap tersegel. Kenyataannya lebih rumit. Teknologi enclave bervariasi menurut penyedia dan konfigurasi cloud. Membuktikan bahwa enclave diatur dengan benar, disertifikasi dengan benar, dan dibatasi dengan benar dapat menjadi audit tersendiri. Dan pendekatan apa pun yang memerlukan rekayasa khusus harus ditimbang terhadap kebenaran paling sederhana dari pekerjaan kepatuhan: itu harus dapat diulang tahun depan ketika insinyur kunci telah pindah.
Salah satu alat yang paling praktis adalah pembatasan. Program privasi yang matang merasa nyaman mengatakan tidak, dan kemudian menawarkan alternatif yang masih menghormati maksud audit.
Tegangan tidak menghilang. Auditor berada di bawah kendala mereka sendiri: standar, tanggung jawab, waktu. Mereka tidak ingin menjadi firma pertama yang menerima metode bukti baru dan kemudian menjelaskan mengapa itu gagal. Tim privasi juga berada di bawah kendala: janji kontraktual, hukum, dan fakta sederhana bahwa begitu data meninggalkan batas, lebih sulit untuk diperhitungkan. "Audit tanpa eksposur" i
bukan satu teknik.