banner
banner

Nasz blog, czyli baza niezwykle przydatnej wiedzy.

Chcesz skuteczniej chronić dane korzystając z wiedzy ekpertów? Zapisz się do newslettera Data Point!

[contact-form-7 id="341" title="Newsletter"]
Na czym polega dobry audyt IT

Na czym polega dobry audyt IT

Rodzaje audytów

Zasadniczo istnieją cztery rodzaje audytów informatycznych.

• Legalność oprogramowania – zadaniem audytu jest przegląd za­so­bów opro­gra­mo­wa­nia, wykorzystywanych i po­sia­da­nych li­cen­cji, zniwelowanie przypadkowego użyt­ko­wa­ne­go nie­le­gal­ne­go opro­gra­mo­wa­nia oraz opty­ma­li­za­cja kosz­tów.

• Sprzę­t – taki audyt polega na kon­fi­gu­ra­cji sta­cji ro­bo­czych oraz ser­we­rów poprzez uru­cho­mie­nie na każ­dym kom­pu­te­rze od­po­wied­nie­go pro­gra­mu in­wen­ta­ry­zu­ją­ce­go, precyzyjnie opi­su­jącego jego kom­po­nen­ty. W wyniku takiej kontroli mogą pojawić się wnioski odnośnie wymiany bazy sprzętowej lub zakupu określonych podzespołów.

• Bez­pie­czeń­stwo in­for­ma­cji – jest to całościowa ana­li­za bez­pie­czeń­stwa baz da­nych prze­twa­rza­nych przez firmę, po­li­ty­ki bez­pie­czeń­stwa in­for­ma­cji, za­rzą­dza­nia ry­zy­kiem oraz planów za­cho­wa­nia cią­gło­ści dzia­ła­nia.

• Infrastruktura sieciowa – przegląd i sprawdzenie routerów, switchy, kanałów VPN oraz zabezpieczeń zewnętrznych mających wpływ na bezpieczeństwo sieciowego.

Warto mieć na uwadze, że praktycznie nie ma całkowicie bezpiecznych systemów informatycznych. W sferze IT cały czas zachodzi rozwój, pojawiają się zmiany, niektóre rozwiązania tracą swoją wydajność. Ta dynamika sprzyja niestety powstawaniu słabych punktów w systemach, które chętnie są wykorzystywane przez osoby lub organizacje nastawione na wnikanie do zasobów firm. I właśnie celem cyklicznych audytów jest wyszukiwanie luk w systemie, wyłapywanie potencjalnych zagrożeń oraz przygotowanie procedur na wypadek sytuacji kryzysowej. Audyt pozwala też na zaplanowanie zmian zabezpieczeń oraz wydatków związanych z modernizacją infrastruktury IT.

Symulacje zdarzeń awaryjnych

Jeżeli istnieje taka potrzeba lub zlecający wyrazi chęć, możliwe jest w ramach audytu bezpieczeństwa przeprowadzenie symulacji określonego ataku. W tym celu stosuje się testy penetracyjne, polegające na kontrolowanym ataku na infrastrukturę bezpieczeństwa IT firm oraz socjotechniczne próby wyłudzenia danych od jej pracowników. W ramach audytu możliwe jest także sprawdzenie ciągłości działania. Taki test ma za zadanie określenie długości przerwy w wyniku nagłego nieprzewidzianego zdarzenia oraz wskazanie zdolności do jak najszybszego wznowienia normalnego funkcjonowania systemu IT firmy.   

Jak często audytować?

Z zachowaniem odpowiednich proporcji audyty IT można porównać do serwisowania samochodu. Potrzebne jest działania cykliczne, kontrole określonych krytycznych obszarów funkcjonowania systemu, wymiany podzespołów/sprzętu itd. Dobrą praktyką jest korzystanie z tego samego dostawcy usług audytorskich, chyba że firma dysponuje własnym w pełni kompetentnym działem IT. Znajomość specyfiki działania firmy, rodzaj przechowywanych i przetwarzanych danych, rodzaje zabezpieczeń, stan infrastruktury technicznej czy nawet demografia personelu to czynniki, które należy dobrze poznać i mieć na uwadze przy każdorazowym audycie. Regularnie audytujący podmiot będzie w stanie określić odpowiednią częstotliwość działań kontrolnych. Możliwe jest też częstsze wybiórcze sprawdzanie wybranych obszarów infrastruktury IT, które są szczególnie wrażliwe na różne zachwiania stabilności działania. W dużych organizacjach pierwotny audyt systemu może potrwać nawet kilka tygodni.

Jeśli nurtują Was określone kwestie związane z audytami IT lub dostrzegacie potrzebę wdrożenia takiej procedury, zachęcam do kontaktu.

501-387-314
ewa.piekart@data-point.pl

ewa-piekart

Ewa Piekart

Dyrektor generalny

eye czytano 435 razy

Jeden backup, to nie backup.