Audyt bezpieczeństwa IT

Bezpieczeństwo systemów IT przetwarzających cenne dla firmy informacje to bardzo szerokie pojęcie, na które składa się szereg elementów. System jest na tyle bezpieczny na ile bezpieczne jest jego najsłabsze ogniwo. To te najsłabsze elementy, najmniej chronione miejsca, luki stają się najczęstszą furtką do naszych systemów. Dlatego warto pomyśleć o audycie bezpieczeństwa.

Audyt bezpieczeństwa to nic innego jak szereg działań mających na celu wykrycie najsłabszych punktów w wprowadzonej przez nas polityce bezpieczeństwa. Audytu takiego dokonują najczęściej audytorzy zewnętrzni. Obejmuje on zarówno organizacyjno-procesowe (np. procesy związane z obiegiem dokumentów) jak i kwestie techniczne (np. bezpieczeństwo fizyczne).

Podstawowym narzędziem każdego audytora systemów informatycznych jest metodyka COBIT 4.1 (Control OBjectives for Information and related Technologies). COBIT 4.1 pozwala określić kryteria oceny dla poszczególnych obszarów IT w organizacji. Towarzyszy mu przewodnik audytowania systemów informatycznych (IT Assurance Guide: Using COBIT), który zawiera szczegółowe wytyczne opisujące każdy etapów audytu, w tym planowanie, określenie zakresu, wykonanie audytu oraz raportowanie jego wyników.

Jednym z ważniejszych etapów audytu jest określenie celu i zakresu audytu. Odpowiednio dobrany zakres audytu do jego celu sprawi, iż jego wynik będzie miarodajny i będziemy mogli, na jego podstawie określić dale działania, które mają na celu poprawę bezpieczeństwa. Prawidłowo przeprowadzony audyt bezpieczeństwa pozwoli uzyskać pewność, że dane Twojej firmy są bezpieczne i odpowiednio chronione.

Na audyt bezpieczeństwa może składać się:

  • Kontrola dostępu do informacji oraz danych
  • Ocena świadomości pracowników
  • Testy socjotechniczne
  • Badanie bezpieczeństwa serwerów, urządzeń sieciowych, stacji roboczych, urządzeń bezprzewodowych i przenośnych
  • Testy penetracyjne
  • Kontrola dostępu fizycznego, bezpieczeństwa fizycznego budynków i pomieszczeń szczególnego przeznaczenia
  • Analiza i przestrzeganie obowiązujących procedur
  • Bezpieczeństwo danych – analiza systemu kopii zapasowej

Audyt powinien zakończyć się sporządzeniem raportu. Raport taki powinien opierać się na rzetelnej i wiarygodnej dokumentacji  sporządzonej w trakcje prac audytowych, a każda teza w nim zawarta powinna być podparta zgromadzonymi obserwacjami faktycznymi. Nadrzędną zasadą przy opracowywaniu raportu z przeglądu jest zawarcie w nim opisu zaobserwowanego stanu faktycznego, opisu ryzyk związanych z zaobserwowanym stanem oraz ewentualnych rekomendacji zmian i usprawnień. Raport sporządzany przez audytora powinien dodatkowo obejmować szereg innych informacji, które określone są w standardach audytowania systemów IT (Standard S7 – Raportowanie).

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.