W codziennym życiu wiemy, których zaułków i dzielnic miasta lepiej unikać, a w których jesteśmy całkowicie bezpieczni. Zupełnie inaczej wygląda to w wirtualnym świecie: zagrożenia dla systemów informatycznych w Twojej firmie są niczym koń trojański – każdy je widzi, ale nie zawsze potrafimy je zidentyfikować. Tymczasem cyberprzestępcy mogą wykraść Twoje dane lub zniszczyć reputację firmy. A wszystko z pomocą kilku kliknięć w klawiaturę. Zagrożeniem mogą być też niezbyt czujni pracownicy firmy, który swoimi działaniami wystawiają na próbę bezpieczeństwo danych. Powiedźmy sobie jasno: technologia jest przydatna, ale też podatna na ataki. Dlatego tak ważne jest regularne przeprowadzanie audytu bezpieczeństwa IT, który pozwala nam upewnić się, czy dane i sieć są zabezpieczone przed ewentualnym atakiem.
Co to takiego Audyt IT? Definicja
Żeby zrozumieć, dlaczego jest ważny, najpierw wyjaśnijmy sobie co to takiego Audyt IT? Definicja mówi, iż jest to systematyczna ocena i analizowanie struktury i zasobów informatycznych oraz weryfikacja procesów pod kątem identyfikacji potencjalnych zagrożeń dla bezpieczeństwa danych. Audyt informatyczny obejmuje także sprawdzanie efektywności systemów IT pod kątem zmieniających się potrzeb firmy. Celem jest sprawdzenie, czy system informatyczny firmy we właściwy sposób chroni jej majątek, utrzymuje integralność danych i dostarcza właściwych informacji.
Audyt bezpieczeństwa informatycznego nie może skupiać się jedynie na zasobach informatycznych przedsiębiorstwa. Ważnym elementem polityki bezpieczeństwa jest szkolenie pracowników i stworzenie polityki dostępu do informacji i nadawania haseł. Rzetelne podejście do tematu jest niezwykle ważne, bo tylko w 2017 roku połowa polskich firm poniosła straty na skutek ataków cyberprzestępców
Audyt informatyczny a bezpieczeństwo firmy
Większość przedsiębiorców w Polsce uważa, że problem cyberbezpieczeństwa ich po prostu nie dotyczy. Tymczasem według autorów raportu „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” w 2017 aż 44% firm poniosło straty finansowe na skutek ataków, a 62% spółek odnotowało zakłócenia i przestoje w swoim funkcjonowaniu. 21% firm padło ofiarą zaszyfrowania dysku. Brzmi przerażająco? Te statystyki łatwo zrozumieć, gdy spojrzymy na kolejne liczby:
- 46% spółek nie wypracowało procedur działania w przypadku awarii lub innych incydentów zagrażających bezpieczeństwu firmy
- 20% średnich i dużych firm nie zatrudnia specjalistów, którzy zadbaliby o cyberbezpieczeństwo
- 3% – taką część budżetu średnio stanowią wydatki na bezpieczeństwo systemów informatycznych
- I na koniec: zaledwie 8% firm rozumie potrzebę zapewnienia bezpieczeństwa systemów informatycznych i realizuje w tym celu konkretne działania.
Na czym polega audyt informatyczny?
Jak już wspomnieliśmy audyt systemów informatycznych to nic innego jak przegląd i ocena systemów informatycznych w firmie oraz powiązanych z nimi niezautomatyzowanych procesów. Planowanie audytu bezpieczeństwa IT obejmuje dwa etapy. Pierwszym krokiem powinno być zebranie informacji i zaplanowanie konkretnych działań w ramach audytu. Na tym etapie audytor powinien wziąć pod uwagę pięć rzeczy:
- Znajomość biznesu i przemysłu
- Wyniki audytu z poprzednich lat
- Najnowsze trendy i dobre praktyki
- Regulacje prawne
- Nieodłączne elementy oceny ryzyka
Kolejnym krokiem jest realizacja audytu, na którą składają się:
- Badanie i ocena systemów informatycznych
- Testowanie i ocena systemów
- Raportowanie
Audyt bezpieczeństwa IT może także uwzględniać kontrolowane ataki na infrastrukturę sieciową oraz sprawdzenie reakcji pracowników w sytuacjach zagrażających cyberbezpieczeństwu (tzw. testy penetracyjne), które mają na celu wykrycie luk w zabezpieczeniach.
5 kategorii audytu bezpieczeństwa IT
Jeśli chcesz uzyskać naprawdę dokładne informacje i w pełni zabezpieczyć dane w swojej firmie oraz integralność systemów informatycznych, audyt bezpieczeństwa IT powinien być prowadzony na pięciu szczeblach. Oto i one:
- Systemy i aplikacje: Ich audyt daje pewność, że są wydajne, aktualne, niezawodne, terminowe i bezpieczne na wszystkich poziomach działalności.
- Urządzenia do przetwarzania informacji: Kontrola tego, czy proces działa poprawnie, terminowo i dokładnie, zarówno w warunkach normalnych, jak i zakłócających.
- Wdrażanie nowych systemów: Aby sprawdzić, czy systemy, które są w fazie rozwoju, są tworzone zgodnie ze standardami organizacji.
- Zarządzanie IT i kulturą korporacyjną: W ubiegłych latach największym źródłem zagrożeń dla bezpieczeństwa informatycznego firmy były nie systemy czy aplikacje, a ludzie. Aż 33% firm w 2017 roku zadeklarowało, że sprawcami incydentów zagrażających bezpieczeństwu firmy byli pracownicy, a najważniejszymi przyczynami problemów były w kolejności: błąd użytkownika, wykorzystanie wcześniej wykradzionych danych, błędy w konfiguracji komponentów i dopiero na czwartym miejscu atak phishingowy.
- Klient / serwer, telekomunikacja, intranety i ekstranety: Audyt IT bada elementy sterowania telekomunikacją, takie jak serwer i sieć, która jest pomostem między klientami a serwerami.
Zalety audytu informatycznego
Przeprowadzenie audytu informatycznego ma wiele zalet. Wśród nich warto wymienić m.in.:
- zidentyfikowanie i analiza potencjalnych zagrożeń dla bezpieczeństwa danych oraz infrastruktury informatycznej;
- zaproponowanie zmian i środków zaradczych dostosowanych do wykrytych problemów i zagrożeń
optymalizacja procesów biznesowych; - wskazanie rozwiązań, które pozwolą na zwiększenie efektywności pracy;
- sprawdzenie zgodności systemów z obowiązującymi przepisami prawa;
- wysoki stopień kontroli nad systemami informatycznymi przekłada się na zaufanie klientów oraz na zniwelowanie ryzyka m.in. wycieku danych, które mogą to zaufanie osłabić.
Po wskazaniu szeregu korzyści być może zastanawiacie się, czy audyt IT ma jakieś wady. Cóż.. Największą, jaką możemy wskazać jest brak przeprowadzenia audytu.
Wady braku przeprowadzenia atuty informatycznego
Nieprzeprowadzanie audytów IT oznacza brak kontroli nad zagrożeniami w czasach, gdy cyberataki są coraz bardziej zaawansowane. Nieaktualizowane zabezpieczenia powodują wysokie ryzyko wycieku danych. Bez regularnych kontroli mogą nie zostać wykryte luki w systemie, które mogą zostać wykorzystane przez hakerów do kradzieży lub manipulacji danych.
Wiele firm, w szczególności finansowych i medycznych, jest zobligowanych do stosowania się do ogólnych przepisów dotyczących ochrony danych i informacji o bezpieczeństwie (np. RODO). Regularny audyt pomaga upewnić się, że systemy IT są zgodne z aktualnymi standardami prawnymi, a jego brak naraża organizację na wysokie grzywny i inne sankcje.
Jak już wspomniano wyżej przestarzałe lub nieprawne technologie zmniejszają efektywność, a tym samym podnoszą koszty. Na przykład nieoptymalna konfiguracja serwerów lub niepotrzebne zasoby sieciowe przekładają się na wyższe koszty operacyjne. Regularny audyt pozwala na wdrożenie optymalizacji również pod tym kątem.
Na koniec warto wspomnieć, że brak kontroli nad systemem IT może przełożyć się na częstsze awarie, brak kopii zapasowych danych, a w konsekwencji zakłócić pracę całego przedsiębiorstwa.
Ile trwa audyt informatyczny?
To zależy od firmy, jej specyfiki i wielkości. Zazwyczaj audyt bezpieczeństwa IT trwa około miesiąca, ale jego konsekwencją jest przygotowanie raportu i harmonogramu działań naprawczych, które powinny być zrealizowane po zakończeniu audytu. Specjaliści z branży IT zwracają też uwagę na fakt, iż bezpieczeństwo informacji w firmie jest na tyle wąską dziedziną, że do jego sprawdzenia warto wykorzystać zewnętrznych specjalistów i firmy outsourcingowe.
Jak robi to Kompania Informatyczna?
Najpierw zbieramy dane diagnostyczne i konfiguracyjne. Potrzebne informacje uzupełniamy wywiadem z pracownikami oraz prosimy Klientów o dostarczenie procedur IT. Następne przychodzi czas na etap analizy tych danych.
Na koniec audytu przesyłamy raport, który zawiera opis stanu faktycznego i jego porównanie do poprzedniego audytu (jeśli był). Dodatkowo raport zawiera rekomendacje zmian i sugestie dotyczące bezpieczeństwa, a także szczegółowy opis każdego komputera i każdego serwera wraz z testami dysków, pamięci itd. Sprawdzamy również procedury i ich stosowanie oraz dokonujemy oceny ryzyka lub porównujemy stan faktyczny z istniejącymi dokumentami oceny ryzyka.Raport powinien dać odpowiedzi na następujące pytania:
- Czy stosowane procedury i polityki są bezpiecznie?
- Czy serwery posiadają podstawowe zabezpieczenia?
- Czy stacje robocze są wydajne?
- Czy sprzęt, na którym pracujemy jest aktualny, sprawny technicznie i wystarczający?
- Czy posiadamy nielegalne oprogramowanie?
- Jaki jest poziom zabezpieczeń sieci komputerowej?
- Czy dostęp do danych jest bezpieczny?
- Jakie są słabe punkty infrastruktury i gdzie widać potencjalne zagrożenia oraz czy ryzyko z nimi związane jest wysokie
- Co możemy zrobić, aby przejść na wyższy poziom
By efektywnie zarządzać bezpieczeństwem sieci informatycznych w firmie należy całościowo spojrzeć na infrastrukturę teleinformatyczą. Takie holistyczne spojrzenie nazywane jest strategią Defense in Depth, która zapewnia ochronę na każdym poziomie i kompleksowo zabezpiecza zasoby informatyczne firmy nie wyłączając z tego czynnika ludzkiego i ewentualnych błędów pracowników.
FAQ
Na czym polega audyt informatyczny?
Audyt informatyczny polega na systematycznej ocenie i analizie struktury IT oraz zasobów informatycznych. W jego ramach dokonuje się też weryfikacji procesów pod kątem identyfikacji potencjalnych zagrożeń dla bezpieczeństwa danych.
Ile kosztuje audyt informatyczny?
W Kompanii Informatycznej wiemy, że dobra oferta jest szyta na miarę i każda firma potrzebuje nieco innej obsługi. Dlatego też nasz cennik jest elastyczny i dostosowany do wielkości oraz realnych potrzeb danej organizacji.
Jakie są rodzaje audytów?
Audyt jest to badanie przedsiębiorstwa pod kątem określonych wzorców, przepisów czy struktur. Oprócz audytu IT istnieje szereg innych, takich jak audyt finansowy, jakości, operacyjny, podatkowy, zgodności, RODO, etc.
Jak przeprowadzić audyt IT?
Przeprowadzenie audytu informatycznego obejmuje dwa etapy: przygotowanie i realizację. Pierwszym krokiem jest zebranie informacji i zaplanowanie kolejnych działań. Kolejnym krokiem jest realizacja audytu, na którą składają się analiza i ocena systemów informatycznych, testy oraz raportowanie.
Bibliografia:
„Przewodnik audytora systemów informatycznych” Marian Molski, Małgorzata Łacheta, Helion 2007
„Podstawy audytu wewnętrznego” Krzysztof Czerwiński, Wydawnictwo Link 2003
„Wdrożenia informatycznych systemów zarządzania” Prof. dr hab. Mariusz Flasiński, Marcin Taranek, Piotr Witczyński, PWN 2016
„Nowoczesny audyt wewnętrzny” Robert Moeller, Wydawnictwo Gab 2021
„Audyt zgodności z rodo w praktyce” Konrad Gałaj-Emiliańczyk, Presscom 2021
„Audyt IT w praktyce” Jakubiec, P.
„Informacje o bezpieczeństwie i audyt IT” Nowicki M., Wydawnictwo Akademickie 2020
„Audyt informacji bezpieczeństwa w organizacji” Radomski J., Wydawnictwo Naukowe PWN 2017
Wytyczne dotyczące audytu bezpieczeństwa IT w organizacji – Urząd Ochrony danych osobowych, Warszawa https://www.uodo.gov.pl