) Audyt informatyczny: Kiedy i jak przeprowadzić audyt bezpieczeństwa IT? | Blog – Kompania Informatyczna

Audyt informatyczny: Kiedy i jak przeprowadzić audyt bezpieczeństwa IT?

utworzone przez | lis 18, 2021 | IT w firmie

W codziennym życiu wiemy, których zaułków i dzielnic miasta lepiej unikać, w których jesteśmy całkowicie bezpieczni. Zupełnie inaczej wygląda to w wirtualnym świecie: zagrożenia dla systemów informatycznych w Twojej firmie są niczym koń trojański – każdy je widzi, ale nie zawsze potrafimy je zidentyfikować. Tymczasem cyberprzestępcy mogą wykraść Twoje dane lub zniszczyć reputację firmy. A wszystko z pomocą kilku kliknięć w klawiaturę. Zagrożeniem mogą być też niezbuyt czujni pracownicy firmy, który swoimi działaniami wystawiają na próbę bezpieczeństwo danych. Powiedźmy sobie jasno: technologia jest przydatna, ale też podatna na ataki. Dlatego tak ważne jest regularne przeprowadzanie audytu bezpieczeństwa IT, który pozwala nam upewnić się, czy dane i sieć są zabezpieczone przed ewentualnym atakiem.

  • Niemal połowa firm w Polsce w 2017 roku poniosła straty na skutek ataków cyberprzestępców.
  • Audyt IT ma na celu sprawdzenie, czy system informatyczny firmy we właściwy sposób chroni jej majątek, utrzymuje integralność danych i dostarcza właściwych informacji.
  • Celem audytu informatycznego jest także sprawdzenie efektywności wykorzystywania zasobów.
  • Audyt bezpieczeństwa informatycznego nie może skupiać się jedynie na zasobach informatycznych przedsiębiorstwa. Ważnym elementem polityki bezpieczeństwa jest szkolenie pracowników i stworzenie polityki dostępu do informacji i nadawania haseł.Audyt IT ma na celu sprawdzenie, czy system informatyczny firmy we właściwy sposób chroni jej majątek, utrzymuje integralność danych i dostarcza właściwych informacji.
  • Celem audytu informatycznego jest także sprawdzenie efektywności wykorzystywania zasobów.
  • Audyt bezpieczeństwa informatycznego nie może skupiać się jedynie na zasobach informatycznych przedsiębiorstwa. Ważnym elementem polityki bezpieczeństwa jest szkolenie pracowników i stworzenie polityki dostępu do informacji i nadawania haseł.

Audyt informatyczny a bezpieczeństwo firmy

Większość przedsiębiorców w Polsce uważa, że problem cyberbezpieczeństwa ich po prostu nie dotyczy. Tymczasem według autorów raportu „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” w 2017 aż 44% firm poniosło straty finansowe na skutek ataków, a 62% spółek odnotowało zakłócenia i przestoje w swoim funkcjonowaniu. 21% firm padło ofiarą zaszyfrowania dysku. Brzmi przerażająco? Te statystyki łatwo zrozumieć, gdy spojrzymy na kolejne liczby:

  • 46% spółek nie wypracowało procedur działania w przypadku awarii lub innych incydentów zagrażających bezpieczeństwu firmy
  • 20% średnich i dużych firm nie zatrudnia specjalistów, którzy zadbaliby o cyberbezpieczeństwo
  • 3% – taką część budżetu średnio stanowią wydatki na bezpieczeństwo systemów informatycznych
  • I na koniec: zaledwie 8% firm rozumie potrzebę zapewnienia bezpieczeństwa systemów informatycznych i realizuje w tym celu konkretne działania.

Na czym polega audyt informatyczny?

Audyt systemów informatycznych to nic innego jak przegląd i ocena systemów informatycznych w firmie oraz powiązanych z nimi niezautomatyzowanych procesów. Planowanie audytu bezpieczeństwa IT obejmuje dwa etapy. Pierwszym krokiem powinno być zebranie informacji i zaplanowanie konkretnych działań w ramach audytu. Na tym etapie audytor powinien wziąć pod uwagę pięć rzeczy:

  • Znajomość biznesu i przemysłu
  • Wyniki audytu z poprzednich lat
  • Najnowsze trendy i dobre praktyki
  • Regulacje prawne
  • Nieodłączne elementy oceny ryzyka

Kolejnym krokiem jest realizacja audytu, na którą składają się:

  • Badanie i ocena systemów informatycznych
  • Testowanie i ocena systemów
  • Raportowanie

Audyt bezpieczeństwa IT może także uwzględniać kontrolowane ataki na infrastrukturę sieciową oraz sprawdzenie reakcji pracowników w sytuacjach zagrażających cyberbezpieczeństwu (tzw. testy penetracyjne), które mają na celu wykrycie luk w zabezpieczeniach.

5 kategorii audytu bezpieczeństwa IT

Jeśli chcesz uzyskać naprawdę dokładne informacje i w pełni zabezpieczyć dane w swojej firmie oraz integralność systemów informatycznych, audyt bezpieczeństwa IT powinien być prowadzony na pięciu szczeblach. Oto i one:

  1. Systemy i aplikacje: Ich audyt daje pewność, że są wydajne, aktualne, niezawodne, terminowe i bezpieczne na wszystkich poziomach działalności.
  2. Urządzenia do przetwarzania informacji: Kontrola tego, czy proces działa poprawnie, terminowo i dokładnie, zarówno w warunkach normalnych, jak i zakłócających.
  3. Wdrażanie nowych systemów: Aby sprawdzić, czy systemy, które są w fazie rozwoju, są tworzone zgodnie ze standardami organizacji.
  4. Zarządzanie IT i kulturą korporacyjną: W ubiegłych latach największym źródłem zagrożeń dla bezpieczeństwa informatycznego firmy były nie systemy czy aplikacje, a ludzie. Aż 33% firm w 2017 roku zadeklarowało, że sprawcami incydentów zagrażających bezpieczeństwu firmy byli pracownicy, a najważniejszymi przyczynami problemów były w kolejności: błąd użytkownika, wykorzystanie wcześniej wykradzionych danych, błędy w konfiguracji komponentów i dopiero na czwartym miejscu atak phishingowy.
  5. Klient / serwer, telekomunikacja, intranety i ekstranety: Audyt IT bada elementy sterowania telekomunikacją, takie jak serwer i sieć, która jest pomostem między klientami a serwerami.

Ile trwa audyt informatyczny?

To zależy od firmy, jej specyfiki i wielkości. Zazwyczaj audyt bezpieczeństwa IT trwa około miesiąca, ale jego konsekwencją jest przygotowanie raportu i harmonogramu działań naprawczych, które powinny być zrealizowane po zakończeniu audytu. Specjaliści z branży IT zwracają też uwagę na fakt, iż bezpieczeństwo informacji w firmie jest na tyle wąską dziedziną, że do jego sprawdzenia warto wykorzystać zewnętrznych specjalistów i firmy outsourcingowe.

Jak robi to Kompania Informatyczna?

Najpierw zbieramy dane diagnostyczne i konfiguracyjne. Potrzebne informacje uzupełniamy wywiadem z pracownikami oraz prosimy Klientów o dostarczenie procedur IT. Następne przychodzi czas na etap analizy tych danych.
Na koniec audytu przesyłamy raport, który zawiera opis stanu faktycznego i jego porównanie do poprzedniego audytu (jeśli był). Dodatkowo raport zawiera rekomendacje zmian i sugestie dotyczące bezpieczeństwa, a także szczegółowy opis każdego komputera i każdego serwera wraz z testami dysków, pamięci itd. Sprawdzamy również procedury i ich stosowanie oraz dokonujemy oceny ryzyka lub porównujemy stan faktyczny z istniejącymi dokumentami oceny ryzyka.

Raport powinien dać odpowiedzi na następujące pytania:

  • Czy stosowane procedury i polityki są bezpiecznie?
  • Czy serwery posiadają podstawowe zabezpieczenia?
  • Czy stacje robocze są wydajne?
  • Czy sprzęt, na którym pracujemy jest aktualny, sprawny technicznie i wystarczający?
  • Czy posiadamy nielegalne oprogramowanie?
  • Jaki jest poziom zabezpieczeń sieci komputerowej?
  • Czy dostęp do danych jest bezpieczny?
  • Jakie są słabe punkty infrastruktury i gdzie widać potencjalne zagrożenia oraz czy ryzyko z nimi związane jest wysokie
  • Co możemy zrobić, aby przejść na wyższy poziom

By efektywnie zarządzać bezpieczeństwem sieci informatycznych w firmie należy całościowo spojrzeć na infrastrukturę teleinformatyczą. Takie holistyczne spojrzenie nazywane jest strategią Defense in Depth, która zapewnia ochronę na każdym poziomie i kompleksowo zabezpiecza zasoby informatyczne firmy nie wyłączając z tego czynnika ludzkiego i ewentualnych błędów pracowników.

“Przewodnik audytora systemów informatycznych” Marian Molski, Małgorzata Łacheta, Helion 2007
“Podstawy audytu wewnętrznego” Krzysztof Czerwiński, Wydawnictwo Link 2003
“Wdrożenia informatycznych systemów zarządzania” Prof. dr hab. Mariusz Flasiński, Marcin Taranek, Piotr Witczyński, PWN 2016
“Nowoczesny audyt wewnętrzny” Robert Moeller, Wydawnictwo Gab 2021
“Audyt zgodności z rodo w praktyce” Konrad Gałaj-Emiliańczyk, Presscom 2021