Audyty informatyczne
Audyt informatyczny to szereg czynności zmierzających do uzyskania i oceny informacji na temat zasobów sprzętowych, zainstalowanego oprogramowania, ważności licencji a także bezpieczeństwa systemu informatycznego w przedsiębiorstwie. Audyt może dotyczyć całego systemu jak i wybranego elementu – stacji roboczej, serwera, punktu dostępowego. Celem audytu IT jest sprawdzenie czy firma pracuje na właściwym oprogramowaniu, sprzęt jest właściwie wykorzystywany a cały system jest odpowiednio zabezpieczony i nie istnieje ryzyko wycieku ważnych informacji w niepowołane ręce.
Rodzaje audytów informatycznych
Audyty informatyczne można podzielić ze względu na strefę działania, która jest kontrolowana, wyróżniamy cztery kategorie audytów IT :
- Audyt sprzętu
- Audyt oprogramowania
- Audyt legalności
- Audyt bezpieczeństwa
- Audyt bezpieczeństwa sieci
- Audyt bezpieczeństwa sieci LAN
- Audyt bezpieczeństwa urządzeń sieciowych
- Audyt bezpieczeństwa sieci bezprzewodowych
- Audyt bezpieczeństwa aplikacji
- Audyt bezpieczeństwa aplikacji www, portalów, e-sklepów
- Audyt wydajnościowy
- Audyt wg. Ustawy o ochronie danych osobowych
Wszystkie te grupy mogą stanowić odrębne tematy działań audytorów, jak i mogą stanowić całość jednego kompleksowego audytu.
Audyt sprzętu dotyczy konkretnych jednostek roboczych lub serwerów wraz z elementami peryferyjnymi. Badany jest stan sprzętu, możliwości aktualizacji i rozbudowy. Badany jest również stan sprzętu (podobnie jak ma to miejsce przy ewidencji środków trwałych) oraz zgodność ze specyfikacją – sprawdzany jest stan podzespołów ze stanem faktycznym. Audyt ten pozwala zaplanować na przyszłość wymianę sprzętu a często także pozwala zapobiec awariom podzespołów. Można też odkryć fakt, że cześć sprzętu zaginęła lub została podmieniona na inny.
Audyt oprogramowania odpowiada na na pytanie jakiego typu oprogramowanie jest używane w firmie, jakie pliki znajdują się na stacjach roboczych i serwerach. Dzięki takim testom możliwe jest wyeliminowanie złośliwego oprogramowania, oprogramowania które zabiera nie potrzebnie zasoby sprzętowe komputera, programów które nie są związane z wykonywaniem pracy na danym stanowisku, a także plików które nie powinny znajdować się na firmowych komputerach tj. filmy, zdjęcia, muzyka etc. Audyt taki często prowadzony jest razem z audytem legalności.
Audyt legalności pomaga ustalić czy firma posiada ważne licencje na wykorzystywane oprogramowani i czy może z niego korzystać pod względem prawnym. W wielu sytuacjach firma posiada zbyt mało licencji lub nie posiada ich wcale, często też mylone są rodzaje licencji, to czego można używać w domu nie nadaje się do użytku komercyjnego. Audyt legalności oprogramowania może okazać się bardzo ważnym elementem kontroli, dzięki któremu firma może uniknąć przykrych konsekwencji prawnych z tytuły używania niewłaściwego oprogramowania.
Nielegalne oprogramowanie przyczyną kłopotów
Wykorzystywanie oprogramowania innego niż oryginalne lub brak aktualnych licencji na wykorzystywanie programów w razie kontroli może prowadzić do wysokich kar pieniężnych i konfiskaty sprzętu komputerowego. Niewłaściwie oprogramowanie może narazić właściciela firmy nie tylko na straty finansowe związane z karami ale także zmiesza efektywność pracowników a także może być przyczyną utraty informacji (pirackie lub nie aktualizowane oprogramowanie może zawierać luki bezpieczeństwa, co sprawi, że dane dostaną się w ręce konkurencji).
Audyt bezpieczeństwa informatycznego to przegląd i ocena polityki bezpieczeństwa systemów działających w firmie. Działanie firmy audytorskiej pomaga zabezpieczyć firmowe systemy informatyczne wraz z przechowywanymi danymi. Brak odpowiedniego poziomu bezpieczeństwa może spowodować wyciek istotnych dla funkcjonowania firmy danych tj. kontakty e-mail, wiadomości pocztowe, dokumenty firmowe, bazy danych, dane księgowe itp.
Audyt bezpieczeństwa ma na celu wskazanie i wyeliminowanie problemów natury technicznej jak i błędów i nie wiedzy pracowników.
Szkolenia z bezpieczeństwa informacji
Polityka bezpieczeństwa obejmuje szereg zasad którymi powinni kierować się administratorzy sieci, administratorzy systemów informatycznych oraz pracownicy danego przedsiębiorstwa, głównymi aspektami polityki bezpieczeństwa są:
- ochrona danych przed dostaniem się w niepowołane ręce
- procedury dostępu do danych – kto i na jakich zasadach może mieć dostęp do grup danych
- archiwizacja danych – jak poprawnie wykonywać kopie bezpieczeństwa
- przechowywanie kopii bezpieczeństwa – jak i gdzie przechowywać kopie danych
- procedury na wypadek utraty danych
Korzyści płynące z audytu bezpieczeństwa
- Ocena aktualnego poziomu zabezpieczenia systemu informatycznego.
- Wykrycie słabych punktów systemu informatycznego.
- Opracowanie polityki bezpieczeństwa i wdrożenie jej.
- Poprawa bezpieczeństwa sieci informatycznej.
- Dostarczenie odpowiednich narzędzi i środków zapobiegających zagrożeniom.
- Szkolenie pracowników z zasad bezpieczeństwa teleinformatycznego.
Audyt bezpieczeństwa sieci LAN umożliwia sprawdzenie aktualnego stanu bezpieczeństwa sieci LAN oraz odpowiada na pytanie jakie kroki należy poczynić aby zwiększyć bezpieczeństwo sieci LAN.
- określenie aktualnego stanu bezpieczeństwa sieci LAN
- wykrycie prób naruszeń zabezpieczeń
- wskazanie możliwości zabezpieczenia sieci
- pogłębienie wiedzy administratorów odpowiedzialnych za sieć LAN
- zastosowanie mechanizmów zwiększających poziom bezpieczeństwa
Audyt bezpieczeństwa sieci bezprzewodowej opiera się na badaniu podatności aktualnych zabezpieczeń sieci na ataki
- wykrycie sieci przewodowych (802.11a, 802.11b, 802.11g, 802.11n) w kilku wybranych miejscach.
- określenie typów zabezpieczeń wykrytych sieci
- próba złamania kluczy szyfrujących
- weryfikacja trybu ogłaszania SSID
- wykrycie prób naruszeń zabezpieczeń
- określenie aktualnego stanu sieci
- wskazanie możliwości zabezpieczania sieci bezprzewodowej
- sprawdzenie możliwości technicznych urządzeń klienckich korzystających z sieci
- pogłębienie wiedzy administratorów odpowiedzialnych za sieć bezprzewodową
- wdrożenie polityki bezpieczeństwa sieci bezprzewodowej
- wdrożenie odpowiednich zabezpieczeń sieci bezprzewodowej
Audyt bezpieczeństwa urządzeń sieciowych ma na celu sprawdzenie urządzeń sieciowych tj. routery, switche, accesspointy, firewalle, serwery i inne podatności na ataki.
- podatność na skanowanie w poszukiwaniu otwartych portów
- skanowanie aktywnych hostów w sieci
- próba ominięcia systemu firewall
- podatność urządzeń na komunikację ICMP
- wykrycie prób naruszeń zabezpieczeń
- określenie aktualnego stanu sprzętu sieciowego
- wskazanie możliwości lepszego zabezpieczania sprzętu
- pogłębienie wiedzy administratorów odpowiedzialnych za sprzęt sieciowy
- wdrożenie polityki bezpieczeństwa
- wdrożenie odpowiednich zabezpieczeń aktywnych urządzeń sieciowych
Audyt bezpieczeństwa aplikacji www, portali internetowych i sklepów internetowych celem tego typu audytów jest sprawdzenie działania systemu od strony użytkownika, przeprowadzane testy mają na celu wyeliminowanie słabych stron systemów w większości oparty o bazy danych. Przy skomplikowanych serwisach twórcy często tracą kontrolę nad bezpieczeństwem systemu. Brak odpowiedniej wiedzy powoduje, że zbudowany system posiada wiele luk umożliwiających nieautoryzowany dostęp do danych a także wgranie fałszywych danych.
Audyt wydajnościowy wykrywa problemy z wydajnością systemów działających na serwerze, przy zwiększającej się ilości danych oraz wzmożonym ruchu użytkowników system (strona www, e-sklep, portal internetowy) zaczyna ładować się coraz wolniej zużywając przy tym co raz więcej zasobów systemowych serwera – najczęściej kończy się to wyłączeniem systemu i komunikacie o przeciążeniu serwera lub o ograniczeniu dostępu do bazy danych. Audyt wydajnościowy pozwala wykryć i zapobiec takim sytuacjom.
Audyt wg. Ustawy o ochronie danych osobowych stosuje się w przypadku systemów IT przetwarzających dane osobowe, w dużym uproszczeniu za dane osobowe w rozumieniu Ustawy uważa się „Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Mogą nimi być np. imię i nazwisko, adres e-mail, adres zamieszkania, telefon kontaktowy.
Testy na zgodność z ustawą o ochronie danych osobowych prowadzimy zgodnie z wytycznymi „Rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.”
Po dokonaniu audyty Klient otrzymuje informację o opisie wymogu wraz z spełnieniem (lub nie) przez system oraz ew. informacją dotyczącą sposobu korekty systemu.