Obecnie coraz więcej organizacji stawia na zwiększenie bezpieczeństwa sieci, danych, poczty elektronicznej, stron internetowych czy aplikacji webowych. W stworzeniu niezawodnego systemu bezpieczeństwa w firmie pomaga audyt systemów IT.
Audyt IT opiera się na analizie i ocenie funkcjonowania systemów informatycznych w organizacji. Podczas audytu oceniana jest użyteczność i niezawodność rozwiązań informatycznych oraz wydajność, wiarygodność, bezpieczeństwo i zgodność z normami.
Audyt bezpieczeństwa IT pozwala na kompleksową ocenę zabezpieczeń danego systemu, analizę ryzyka i podjęcie działań naprawczych.
Systemy IT
W każdej organizacji możemy wyróżnić następujące systemy IT: systemy informatyczne, systemy teleinformatyczne i systemy informacyjne. Każdy z nich jest inny, składa się z różnych zasobów.
System informatyczny – urządzenie lub grupa wzajemnie połączonych lub związanych ze sobą urządzeń, które wykonują program zgodnie z przeznaczeniem oraz wykonujące automatyczne przetwarzanie danych. Ponadto na system informatyczny składają się ludzie, korzystający z tego systemu, elementy organizacyjne oraz baza wiedzy. Elementy organizacyjne to procedury, które opisują do czego służy system i jakie ma funkcjonalności. Baza wiedzy to elementy informacyjne, w tym instrukcje, z których dowiemy się jak przeprowadzić jakiś proces w danym systemie.
System teleinformatyczny – oznacza każdy system, który umożliwia przetwarzanie informacji w formie elektronicznej, w tym wszystkie zasoby niezbędne do jego działania. Do zasobów systemu teleinformatycznego zaliczamy infrastrukturę, organizację, pracowników i zasoby informatyczne. Definicja ta obejmuje aplikacje biznesowe, wspólne usługi IT, systemy obsługiwane na zewnątrz oraz urządzenia użytkownika końcowego.
System informacyjny – zespół komputerów, sieci i oprogramowania służące do przetwarzania informacji. Systemy informacyjne są najszerzej rozbudowane, mają wielopoziomową strukturę. W systemie tym następuje zmiana informacji wejściowych w wyjściowe, za pomocą procedur i modeli która pozwala na procedowanie w organizacji konkretnych danych. System informacyjny składa się ze środków materialnych, ludzi.
Rodzaj systemu ma znaczenie przy wyborze metody przeprowadzenia audytu. Istotne jest czy będziemy audytować system informatyczny, teleinformatyczny czy system informacyjny. Ta wiedza pozwoli nam dostosować konkretne działania do tego, co w danym systemie się znajduje.
Etapy audytu systemów IT
Na początku procesu powinniśmy ustalić metodę przeprowadzenia audytu systemów IT. Jest to ważne, ponieważ metoda ta określa, jak audyt zostanie przeprowadzony i jakie informacje zostaną zebrane. Odpowiednia metoda audytu pozwala zidentyfikować podatności w systemie i wskazuje, jakie działania należy podjąć, aby je poprawić.
Do audytów IT zaliczamy: audyt legalności oprogramowania, audyt infrastruktury (sprzętu), audyt bezpieczeństwa IT, audyt zgodności z przepisami itp.
Ocena systemów IT może być całościowa bądź skupiać się jedynie na wybranych obszarach wskazanych przez daną organizację. Audyt systemów IT może obejmować różne rodzaje systemów, w tym systemy komputerowe, sieci, bazy danych, oprogramowanie i inne systemy informatyczne.
Audyt IT polega na przeglądzie wszystkich zasobów danej organizacji, analizie napotkanych problemów, wskazaniu potencjalnych zagrożeń. Następnie należy zarekomendować procedury służące zabezpieczeniu systemu i przygotować plan działania w razie wystąpienia zagrożenia bezpieczeństwa IT.
Ustalenie zasobów IT
Każdy audyt powinien rozpocząć się do ustalenia zasobów IT. Zasoby te obejmują sprzęt, systemy oprogramowania oraz informacje cenne dla organizacji. Analiza bezpieczeństwa powinna więc dotyczyć:
- sieci (router, Wifi, LAN, przełączniki VLAN) – bezpieczeństwo sieciowe dotyczy ochrony danych przesyłanych drogą elektroniczną, zabezpieczeń punktów dostępowych, monitorowania sieci, itp.,
- danych (pliki na serwerze, baza danych, dostępy i uprawnienia) – bezpieczeństwo informacji obejmuje weryfikację zabezpieczeń systemów, uprawnień użytkowników, uwierzytelnienia użytkowników, itp.,
- portali i aplikacji (strona www, poczta elektroniczna, systemy B2B) – bezpieczeństwo aplikacji dodatkowo skupia się na kwestiach bezpieczeństwa połączenia z witryną, przesyłu danych z aplikacji, szyfrowania danych w bazie, itp.
Określenie potencjalnych zagrożeń
Po określeniu zasobów kolejnym krokiem jest analiza i określenie potencjalnych zagrożeń w obszarach:
- oprogramowanie, czyli sprawdzenie jego legalności oraz posiadanych licencji, a także doradztwo w zakresie instalowania oprogramowania z sieci,
- sprzęt – sprawdzenie konfiguracji poszczególnych stacji roboczych i serwerów oraz inwentaryzacja zasobów informatycznych,
- bezpieczeństwo informacji – polityka i organizacja bezpieczeństwa informacji czy zarządzanie dostępem użytkowników do wybranych informacji.
Weryfikacja zabezpieczeń
Następnie należy dokonać weryfikacji i testowania zabezpieczeń ochrony danych w poszczególnych systemach IT. Dotyczy to zarówno zabezpieczeń technicznych jak i organizacyjnych, wymaganych przepisami RODO. Podczas weryfikacji zabezpieczeń technicznych należy sprawdzić m.in.: czy wdrożono dwuetapową weryfikację, czy organizacja korzysta z firewall i oprogramowania antywirusowego lub czy następuje automatyczna blokada dostępu do systemu przy dłuższej nieaktywności pracy użytkownika. Wśród zabezpieczeń organizacyjnych należy weryfikować dokumentację RODO: rejestr czynności przetwarzania, analizę ryzyka, politykę prywatności i inne. Każde zabezpieczenia muszą być cyklicznie przeglądane, doskonalone i dostosowywane do zmienionych warunków. Temu służy właśnie audyt IT.
Ponadto należy zweryfikować procedury funkcjonujące w organizacji, m.in. polityki haseł, procedury zapewnienia ciągłości działania systemów IT czy procedury wykonywania kopii zapasowych. Audyt ma wykazać czy są znane, stosowane i czy dają odpowiedni poziom zabezpieczenia.
Sprawozdanie z audytu
Ostatnim etapem audytu IT jest przygotowanie sprawozdania oraz omówienie wyników audytu z kierownictwem. Raportu z audytu powinien zawierać szczegółową ocenę stanu systemów IT organizacji, w tym zgodności jak i opis istniejących słabych punktów i zagrożeń oraz rekomendacje dotyczące ich usunięcia lub zminimalizowania. W sprawozdaniu powinny być wskazane wykryte ryzyka dla ochrony danych . Oczywiście, aby audyt był skuteczny, należy wdrożyć zalecenia zawarte w raporcie.
Korzyści z audytu systemów IT
Audyt bezpieczeństwa infrastruktury IT to skuteczna metoda na przeciwdziałanie potencjalnym zagrożeniom. Audyt ten pozwoli ocenić skalę ryzyka oraz wdrożyć zabezpieczenia, które minimalizują ryzyko do poziomu akceptowalnego. Dzięki niemu możliwe jest:
- poprawienie wydajności całej infrastruktury informatycznej,
- wykrycie i usunięcie krytycznych luk bezpieczeństwa i podatności,
- obiektywna ocena poziomu zabezpieczeń,
- eliminacja ryzyka utraty wrażliwych danych,
- optymalizacja kosztów poprzez wczesne zapobieganie awariom,
- weryfikacja skuteczności środków ochrony danych dla aktualnych ryzyk i zagrożeń.
Chcąc utrzymać wysoki poziom bezpieczeństwa systemów IT każda organizacja powinna przeprowadzać audyty IT regularnie. Takie działanie pozwoli zapewnić aktualizację i zgodność z obowiązującymi standardami oraz zmiennym otoczeniem, w którym funkcjonuje. Ponadto audyt należy zaplanować z wyprzedzeniem i zapewnić odpowiednie zasoby, takie jak ludzie, narzędzia i czas. Jest to konieczne, aby proces audytu przebiegał płynnie i skutecznie.
W ramach audytu IT można poprawić bezpieczeństwo informacji, procesów i systemów IT, zachęcamy do ich przeprowadzania.
Więcej informacji o uczestnikach audytu IT oraz roli IOD w tym procesie znajdą Państwo w naszej bazie wiedzy w artykule Audyt systemów IT – uczestnicy i rola IOD.