Audyt bezpieczeństwa informatycznego

Audyt bezpieczeństwa informatycznego

Niedawno opublikowany raport z ponad 1200 audytów bezpieczeństwa FireEye (jednego z dostawców oprogramowania i usług) wykazał, że aż 97% firm zostało zaatakowanych poprzez sieć Internet. Umożliwiło to atakującym przejęcie i zdalne zarządzanie komputerami, bez wiedzy użytkownika.

Skala problemu świadczy o rosnącym poziomie zagrożenia bezpośrednio dla firm i ich danych.

Niestety badanie wskazało także na niską świadomość problemu u osób zarządzających lub odpowiedzialnych za bezpieczeństwo informacji.

Co zatem należy zrobić, aby zabezpieczyć firmę i jej dane?

Jak można stwierdzić, czy firma lub instytucja jest odporna na ataki?
Czy sieć, komputery lub serwery są odpowiednio zabezpieczone? Ile jest urządzeń w sieci?
Kto ma dostęp do sieci i do danych?
Jakie dane wypływają na zewnątrz organizacji?
Czy pracownicy dbają o bezpieczeństwo danych?
Czy moje dane moich są bezpieczne?
Co w przypadku awarii sprzętowej?
Co mam zrobić, aby zapewnić stabilną, wydajną i bezpieczną pracę?

Te i wiele innych podobnych pytań ciągle zadają sobie i nam osoby zarządzające firmami i instytucjami, niezależnie od wielkości i stopnia zaawansowania „komputeryzacji”.

Postęp technologiczny oraz rosnąca ilość urządzeń podłączonych do Sieci sprawiają, iż rośnie poziom zagrożenia wykradzenia lub utraty danych. Wydaje się, że świadomość problemu powoli rośnie. Świadczyć o tym może rosnąca ilość zapytań ze strony naszych Klientów w zakresie audytu bezpieczeństwa informatycznego.

Audyt informatyczny w firnie

Obecnie, na podstawie nawet podstawowego audytu informatycznego możemy dość łatwo sprawdzić, czy przedsiębiorstwo jest odpowiednio zabezpieczone przed utratą czy wykradzeniem danych. Często wykonujemy go za darmo, na wstępie współpracy, aby sprawdzić stan świadomości, przyjąć jakiś punkt odniesienia i ustalić zarys kierunku rozwoju.

Aby dogłębnie sprawdzić czy firma jest całościowo zabezpieczona potrzebny jest audyt o znacznie większym zakresie, często połączony z testami penetracyjnymi. Dokładny zakres prac zależy od wyznaczonego celu. Bezpieczeństwo bowiem może być różnie rozumiane, m.in. jako np. gwarancja ciągłości pracy, wydajności, zgodność z wymogami GIODO, ISO np.:27001, legalność oprogramowania, itp.).

Natomiast nawet najlepsze procedury nie zadziałają, jeśli nie zadbamy o użytkowników. Najsłabszym ogniwem systemu jest bowiem człowiek. W tym przypadku nie ma lepszej drogi niż ciągłe budowanie świadomości poprzez regularne szkolenia.

Czym jest audyt bezpieczeństwa informacji?

Audyt bezpieczeństwa informatycznego to zgodnie z definicją Polskiej Normy:

„Dokonanie niezależnego przeglądu i oceny działania systemu w celu przetestowania adekwatności środków nadzoru systemu, upewnienia się, czy system działa zgodnie z ustaloną polityką bezpieczeństwa i z procedurami operacyjnymi oraz w celu wykrycia przełamań bezpieczeństwa i zalecenia wskazanych zmian w środkach nadzorowania, polityce bezpieczeństwa oraz w procedurach”

Źródło: PN-I-02000:2002, pkt 3.1.007

Cele audytu bezpieczeństwa

Jako cele audytu teleinformatycznego wskazuje się:

  • ocenę czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej tak, aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane, a ich skutki na czas korygowane,
  • ocenę zgodności z regulacjami, standardami, normami dotyczącymi zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS).

Przebieg audytu bezpieczeństwa informatycznego

Jak przebiega proces audytu informatycznego:

  • przygotowanie – udzielenie uprawnień, ustalenie osób kontaktowych, opracowanie harmonogramu, komunikacja celów i sposobów działania audytorów,
  • badanie formalne – dokumentacja, ankiety itp.,
  • badanie techniczne – analiza stanu faktycznego systemów informatycznych, przegląd i ocena zabezpieczeń,
  • wyniki – protokół rozbieżności i zalecenia poaudtytowe.

Audyt bezpieczeństwa