Audyty informatyczne

Audyt informatyczny to szereg czynności zmierzających do uzyskania i oceny informacji na temat zasobów sprzętowych, zainstalowanego oprogramowania, ważności licencji a także bezpieczeństwa systemu informatycznego w przedsiębiorstwie. Audyt może dotyczyć całego systemu jak i wybranego elementu – stacji roboczej, serwera, punktu dostępowego. Celem audytu IT jest sprawdzenie czy firma pracuje na właściwym oprogramowaniu, sprzęt jest właściwie wykorzystywany a cały system jest odpowiednio zabezpieczony i nie istnieje ryzyko wycieku ważnych informacji w niepowołane ręce.

Rodzaje audytów informatycznych
Audyty informatyczne można podzielić ze względu na strefę działania, która jest kontrolowana, wyróżniamy cztery kategorie audytów IT :

  1. Audyt sprzętu
  2. Audyt oprogramowania
  3. Audyt legalności
  4. Audyt bezpieczeństwa
  • Audyt bezpieczeństwa sieci
  • Audyt bezpieczeństwa sieci LAN
  • Audyt bezpieczeństwa urządzeń sieciowych
  • Audyt bezpieczeństwa sieci bezprzewodowych
  • Audyt bezpieczeństwa aplikacji
  • Audyt bezpieczeństwa aplikacji www, portalów, e-sklepów
  • Audyt wydajnościowy
  • Audyt wg. Ustawy o ochronie danych osobowych

Wszystkie te grupy mogą stanowić odrębne tematy działań audytorów, jak i mogą stanowić całość jednego kompleksowego audytu.

Audyt sprzętu dotyczy konkretnych jednostek roboczych lub serwerów wraz z elementami peryferyjnymi. Badany jest stan sprzętu, możliwości aktualizacji i rozbudowy. Badany jest również stan sprzętu (podobnie jak ma to miejsce przy ewidencji środków trwałych) oraz zgodność ze specyfikacją – sprawdzany jest stan podzespołów ze stanem faktycznym. Audyt ten pozwala zaplanować na przyszłość wymianę sprzętu a często także pozwala zapobiec awariom podzespołów. Można też odkryć fakt, że cześć sprzętu zaginęła lub została podmieniona na inny.

Audyt oprogramowania odpowiada na na pytanie jakiego typu oprogramowanie jest używane w firmie, jakie pliki znajdują się na stacjach roboczych i serwerach. Dzięki takim testom możliwe jest wyeliminowanie złośliwego oprogramowania, oprogramowania które zabiera nie potrzebnie zasoby sprzętowe komputera, programów które nie są związane z wykonywaniem pracy na danym stanowisku, a także plików które nie powinny znajdować się na firmowych komputerach tj. filmy, zdjęcia, muzyka etc. Audyt taki często prowadzony jest razem z audytem legalności.

Audyt legalności pomaga ustalić czy firma posiada ważne licencje na wykorzystywane oprogramowani i czy może z niego korzystać pod względem prawnym. W wielu sytuacjach firma posiada zbyt mało licencji lub nie posiada ich wcale, często też mylone są rodzaje licencji, to czego można używać w domu nie nadaje się do użytku komercyjnego. Audyt legalności oprogramowania może okazać się bardzo ważnym elementem kontroli, dzięki któremu firma może uniknąć przykrych konsekwencji prawnych z tytuły używania niewłaściwego oprogramowania.

Nielegalne oprogramowanie przyczyną kłopotów
Wykorzystywanie oprogramowania innego niż oryginalne lub brak aktualnych licencji na wykorzystywanie programów w razie kontroli może prowadzić do wysokich kar pieniężnych i konfiskaty sprzętu komputerowego. Niewłaściwie oprogramowanie może narazić właściciela firmy nie tylko na straty finansowe związane z karami ale także zmiesza efektywność pracowników a także może być przyczyną utraty informacji (pirackie lub nie aktualizowane oprogramowanie może zawierać luki bezpieczeństwa, co sprawi, że dane dostaną się w ręce konkurencji).

 

Audyt bezpieczeństwa informatycznego to przegląd i ocena polityki bezpieczeństwa systemów działających w firmie. Działanie firmy audytorskiej pomaga zabezpieczyć firmowe systemy informatyczne wraz z przechowywanymi danymi. Brak odpowiedniego poziomu bezpieczeństwa może spowodować wyciek istotnych dla funkcjonowania firmy danych tj. kontakty e-mail, wiadomości pocztowe, dokumenty firmowe, bazy danych, dane księgowe itp.
Audyt bezpieczeństwa ma na celu wskazanie i wyeliminowanie problemów natury technicznej jak i błędów i nie wiedzy pracowników.
Szkolenia z bezpieczeństwa informacji

Polityka bezpieczeństwa obejmuje szereg zasad którymi powinni kierować się administratorzy sieci, administratorzy systemów informatycznych oraz pracownicy danego przedsiębiorstwa, głównymi aspektami polityki bezpieczeństwa są:

  • ochrona danych przed dostaniem się w niepowołane ręce
  • procedury dostępu do danych – kto i na jakich zasadach może mieć dostęp do grup danych
  • archiwizacja danych – jak poprawnie wykonywać kopie bezpieczeństwa
  • przechowywanie kopii bezpieczeństwa – jak i gdzie przechowywać kopie danych
  • procedury na wypadek utraty danych

 

Korzyści płynące z audytu bezpieczeństwa

  1. Ocena aktualnego poziomu zabezpieczenia systemu informatycznego.
  2. Wykrycie słabych punktów systemu informatycznego.
  3. Opracowanie polityki bezpieczeństwa i wdrożenie jej.
  4. Poprawa bezpieczeństwa sieci informatycznej.
  5. Dostarczenie odpowiednich narzędzi i środków zapobiegających zagrożeniom.
  6. Szkolenie pracowników z zasad bezpieczeństwa teleinformatycznego.

Audyt bezpieczeństwa sieci LAN umożliwia sprawdzenie aktualnego stanu bezpieczeństwa sieci LAN oraz odpowiada na pytanie jakie kroki należy poczynić aby zwiększyć bezpieczeństwo sieci LAN.

  • określenie aktualnego stanu bezpieczeństwa sieci LAN
  • wykrycie prób naruszeń zabezpieczeń
  • wskazanie możliwości zabezpieczenia sieci
  • pogłębienie wiedzy administratorów odpowiedzialnych za sieć LAN
  • zastosowanie mechanizmów zwiększających poziom bezpieczeństwa

Audyt bezpieczeństwa sieci bezprzewodowej opiera się na badaniu podatności aktualnych zabezpieczeń sieci na ataki

  • wykrycie sieci przewodowych (802.11a, 802.11b, 802.11g, 802.11n) w kilku wybranych miejscach.
  • określenie typów zabezpieczeń wykrytych sieci
  • próba złamania kluczy szyfrujących
  • weryfikacja trybu ogłaszania SSID
  • wykrycie prób naruszeń zabezpieczeń
  • określenie aktualnego stanu sieci
  • wskazanie możliwości zabezpieczania sieci bezprzewodowej
  • sprawdzenie możliwości technicznych urządzeń klienckich korzystających z sieci
  • pogłębienie wiedzy administratorów odpowiedzialnych za sieć bezprzewodową
  • wdrożenie polityki bezpieczeństwa sieci bezprzewodowej
  • wdrożenie odpowiednich zabezpieczeń sieci bezprzewodowej

Audyt bezpieczeństwa urządzeń sieciowych ma na celu sprawdzenie urządzeń sieciowych tj. routery, switche, accesspointy, firewalle, serwery i inne podatności na ataki.

  • podatność na skanowanie w poszukiwaniu otwartych portów
  • skanowanie aktywnych hostów w sieci
  • próba ominięcia systemu firewall
  • podatność urządzeń na komunikację ICMP
  • wykrycie prób naruszeń zabezpieczeń
  • określenie aktualnego stanu sprzętu sieciowego
  • wskazanie możliwości lepszego zabezpieczania sprzętu
  • pogłębienie wiedzy administratorów odpowiedzialnych za sprzęt sieciowy
  • wdrożenie polityki bezpieczeństwa
  • wdrożenie odpowiednich zabezpieczeń aktywnych urządzeń sieciowych

Audyt bezpieczeństwa aplikacji www, portali internetowych i sklepów internetowych celem tego typu audytów jest sprawdzenie działania systemu od strony użytkownika, przeprowadzane testy mają na celu wyeliminowanie słabych stron systemów w większości oparty o bazy danych. Przy skomplikowanych serwisach twórcy często tracą kontrolę nad bezpieczeństwem systemu. Brak odpowiedniej wiedzy powoduje, że zbudowany system posiada wiele luk umożliwiających nieautoryzowany dostęp do danych a także wgranie fałszywych danych.

Audyt wydajnościowy wykrywa problemy z wydajnością systemów działających na serwerze, przy zwiększającej się ilości danych oraz wzmożonym ruchu użytkowników system (strona www, e-sklep, portal internetowy) zaczyna ładować się coraz wolniej zużywając przy tym co raz więcej zasobów systemowych serwera – najczęściej kończy się to wyłączeniem systemu i komunikacie o przeciążeniu serwera lub o ograniczeniu dostępu do bazy danych. Audyt wydajnościowy pozwala wykryć i zapobiec takim sytuacjom.

Audyt wg. Ustawy o ochronie danych osobowych stosuje się w przypadku systemów IT przetwarzających dane osobowe, w dużym uproszczeniu za dane osobowe w rozumieniu Ustawy uważa się „Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Mogą nimi być np. imię i nazwisko, adres e-mail, adres zamieszkania, telefon kontaktowy.

Testy na zgodność z ustawą o ochronie danych osobowych prowadzimy zgodnie z wytycznymi „Rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.”

Po dokonaniu audyty Klient otrzymuje informację o opisie wymogu wraz z spełnieniem (lub nie) przez system oraz ew. informacją dotyczącą sposobu korekty systemu.