banner bloomnet

Jak przeprowadzić audyt informatyczny

Audyt bezpieczeństwa IT jest koniecznością nie tylko dla największych graczy, ale też średnich i małych przedsiębiorstw. Utrata wrażliwych danych użytkowników przez lukę w systemie lub ataki cyberprzestępców, może mieć katastrofalne skutki dla Twojego biznesu. Oto na czym polega audyt informatyczny.   

Jak przeprowadzić audyt informatyczny

Audyt bezpieczeństwa informatycznego

Na początku postraszmy trochę właścicieli firm:

8 proc. – tyle przedsiębiorstw jest „dojrzałych pod względem bezpieczeństwa informacji”,

82 proc. – tyle firm zanotowało w ubiegłym roku przynajmniej jedno naruszenie bezpieczeństwa (co czwarte aż dziesięć),

44 proc. – tyle firm poniosło w 2017 r. straty finansowe przez cyberataki (to 9 proc. więcej niż w 2016 r.),

46 proc. – aż tyle spółek nie posiada przygotowanych procedur reakcji na incydenty naruszenia bezpieczeństwa,

62 proc. – tyle spółek odnotowało zakłócenia i przestoje funkcjonowania,

3 proc. – taką część budżetu IT stanowią średnio w firmach wydatki na bezpieczeństwo i jak szacują eksperci jest to przynajmniej trzy raz za mało.

Według raportu PwC „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” (stąd pochodzą wspomniane dane), do najczęstszych skutków incydentów bezpieczeństwa zalicza się zainfekowanie systemu złośliwym oprogramowaniem typu ransomware (21 proc.), spowolnienie działania/brak dostępu do sieci, utratę lub uszkodzenie przetwarzanych danych (po 20 proc.), utratę reputacji (18 proc.), brak dostępu do skrzynki pocztowej lub aplikacji (16 proc.), przestój w prowadzeniu działalności (15 proc.), kradzież „miękkiej” własności intelektualnej (11 proc.), wyciek danych o klientach (10 proc.), kradzież tożsamości pracownika/klienta (9 proc.) i wyciek danych o pracownikach (8 proc.).

Audyt informatyczny firmy – elementy

Oczywiście nie istnieje coś takiego jak 100-procentowo bezpieczny system informatyczny. Po prostu możliwości technologiczne cały czas się zmieniają, a wraz z nimi tricki na złamanie kolejnych zabezpieczeń.

Audyt IT pozwoli jednak dokonać przeglądu zasobów firmy, wskazać luki w systemie, potencjalne zagrożenia oraz przygotować plan działania na wypadek sytuacji kryzysowej. Dzięki audytowi będziesz mógł też lepiej zaplanować wydatki na zakup sprzętu lub software’u.

Generalnie rozróżnia się więc trzy kategorie audytu informatycznego:

Legalności oprogramowania – celem jest uporządkowanie zasobów oprogramowania i posiadanych licencji, ograniczenie nieświadomie użytkowanego nielegalnego oprogramowania oraz optymalizacja kosztów.

Sprzętu – analiza konfiguracji stacji roboczych (oraz serwerów), polegająca na uruchomieniu na każdym komputerze odpowiedniego programu inwentaryzującego, który dokładnie opisuje komponenty urządzenia. Konsekwencją może być zalecenie rozbudowy bazy sprzętowej przez zakup odpowiednich podzespołów lub ich migrację.

Bezpieczeństwa informacji – analizuje bezpieczeństwo baz danych przetwarzanych przez firmę, politykę bezpieczeństwa informacji, zarządzanie ryzykiem oraz tzw. plany zachowania ciągłości działania. W tym miejscu warto podkreślić, że RODO, które obowiązuje w Polsce od 25 maja, wyodrębniło w branży audytowej gałąź dotyczącą właśnie ochrony danych osobowych. Część firm zlecało taką kontrolę jeszcze długo przed wspomnianym terminem, inne dopiero teraz, chcąc zweryfikować, czy ich polityka bezpieczeństwa spełnia wszystkie unijne wytyczne. Audyt zgodności z RODO polega na zlokalizowaniu wszystkich baz zawierających dane użytkowników, a następnie sprawdzeniu, w jaki sposób są chronione i czy istnieje ryzyko wycieku.

Mechanizmy zabezpieczające dzieli się na trzy typy: prewencyjne, detekcyjne i reakcyjne. Chociaż audyt naturalnie może też dotyczyć tylko wybranych elementów systemu, takich jak konkretne serwery lub system antywirusowy.

Łukasz Dudko, założyciel agencji Bloomnet i właściciel firmy Versoft zajmującej się bezpieczeństwem systemów informatycznych:

- Bardzo wymiernym przykładem jest audyt ciągłości działania, którego celem jest wskazanie możliwości firmy do wznowienia działalności po katastrofie, np. pożarze w serwerowni lub innym zdarzeniu, które spowoduje utratę danych czy infrastruktury. W trakcie audytu u naszego klienta, firmy spedycyjnej, okazało się, że czas niezbędny do ponownego uruchomienia działalności po utracie danych z głównej serwerowni wynosił ponad 48 godzin. A każda godzina przestoju oznaczała stratę rzędu 100 tys. zł. W wyniku audytu zostały wprowadzone zmiany proceduralne (bez jakichkolwiek inwestycji), które spowodowały skrócenie tego czasu do 8 godzin. A ewentualne dodatkowe zalecenia związane z inwestycjami, potencjalnie obniżały go do 2 godzin.

Kontrolowany kryzys

Warto wspomnieć, że audyt – jeśli wymaga tego sytuacja – może uwzględniać też symulację ataków.

- Służą temu testy penetracyjne, czyli kontrolowane ataki na infrastrukturę sieciową oraz socjotechniczne, to jest sprawdzenie reakcji pracowników na próby wyłudzenia informacji. Nawet jeżeli firma posiada własny dział IT, to bezpieczeństwo informacji jest na tyle wąską i skomplikowaną specjalizacją, że skorzystanie ze wsparcia zewnętrznych doradców może okazać się niezbędne – czytamy w raporcie „Cyberbezpieczeństwo 2018” autorstwa serwisu interaktywnie.com.

Trudno oczywiście określić, ile czasu może potrwać audyt IT realizowany przez zewnętrzną firmę, wszystko zależy bowiem od zasobów kontrolowanego przedsiębiorstwa. Można jednak przyjąć, że badania i testy to średnio miesiąc pracy, przy czym po stronie audytora jest też przygotowanie ewentualnego harmonogramu działań naprawczych oraz raportu z dokładnymi informacjami na temat zagrożeń i propozycji usprawnień.

Źródła:własne