Audyt informatyczny dla małych i średnich przedsiębiorstw.
Transkrypt
Audyt informatyczny dla małych i średnich przedsiębiorstw.
Audyt informatyczny dla małych i średnich przedsiębiorstw. Aby mówić o audycie informatycznym w pierwszej kolejności musimy przytoczyć jego definicje, a wiec: „Audyt informatyczny jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane” Jak wiec przeprowadzić audyt aby był on zgodny z przytoczona tu definicja? Nie jest to na pewno rzecz łatwa. Istnieją normy takie jak ITIL, ISO 9001 czy COBIT którymi można się kierować przy przeprowadzaniu audytu. Są one bardzo rozbudowanie dlatego jesteśmy wstanie w oparciu o nie przeprowadzić bardzo szczegółowy audyt. Oczywiście przeprowadzenie takiego audytu wymaga od audytora dokładnej znajomości przytoczonych tu norm oraz poświęcenia dużej ilości czasu co jest równoznaczne z dużymi kosztami. Jest to na pewno idealne rozwiązanie dla dużych korporacji bądź mniejszych firm w których z racji na dziedzinę która się zajmują taki audyt jest niezbędny. Realia pokazują jednak ze w przypadku małych i średnich przedsiębiorstw oczekiwania są trochę inne. Z reguły audyt jest przeprowadzany w celu pozyskania ogólnej informacji o stanie posiadanej infrastruktury informatycznej ( bezpieczeństwie, legalności , zabezpieczaniu przed ewentualnymi awariami), który stanowi podstawę do oceny pracy działu informatycznego firmy bądź w przypadku korzystania z outsourcingu informatycznego firmy która te usługi świadczy. Przeprowadzenie takiego audytu jest dużo łatwiejsze, mniej czasochłonne a co za tym idzie o wiele tańsze. Zakres audyty powinien obejmować kluczowe elementy infrastruktury informatycznej, jak np.: analizę architektury sieci, a tu m.in.: Zabezpieczanie dostępu do sieci od strony LAN/WAN Ograniczenie dostępu z zewnątrz tylko do usług które są wymagane (np. www, poczta, ftp) Zabezpieczenie urządzeń sieciowych ( switche, routery), weryfikacja złożoności haseł dostępowych oraz fizyczne zabezpieczanie przed nie autoryzowanym dostępem. Odseparowanie od siebie sieci w poszczególnych działach w firmie poprzez VLAN Weryfikacja zdalnego dostępu do zasobów firmy przez pracowników. Weryfikacja posiadania schematu sieci. analizę systemu backupowego Harmonogram wykonywania kopii bezpieczeństwa. Fizyczne zabezpieczenie nośników na których backup jest trzymany. Weryfikacja zasobów objętych backupem . Weryfikacja poprawności wykonywania backupu poprzez testowe odzyskanie. Weryfikacja posiadania procedury wykonywania kopii bezpieczeństwa oraz procedury odzyskiwania środowiska w przypadku awarii. analizę zabezpieczenia antywirusowego serwerów oraz stacji roboczych analizę środowiska serwerowego serwerownia analiza kontroli dostępu do serwerowni wyposażenie ( szafa rakowa, klimatyzacja, czujniki temperatury etc. ) awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami w przypadku przerwy w dostawie prądu. legalność posiadanego oprogramowania. zabezpieczenie sprzętowe przed wystąpieniem awarii analiza poprawności konfiguracji usług jakie pełnią serwery analizę stacji roboczych weryfikacja legalności oprogramowania. weryfikacja uprawnień jakie użytkownik posiada na stacji łatwość dostępu do stacji przez osoby nieuprawnione ( logowanie, złożoność i ważność haseł ) Jest to oczywiście przykładowy i bardzo uproszony zakres audytu który dla każdej firmy musi zostać stworzony indywidualnie. W celu ograniczenia kosztów przeprowadzenia takiego audyt musi on zostać tak zaplanowany, aby wykonać go w jak najkrótszym czasie. Następstwem przeprowadzenia audytu jest sporządzenie raportu. Raport przeznaczony jest dla osób zarządzających firma czyli z reguły mało technicznych dlatego opis i słownictwo użyte w raporcie powinno być zrozumiałe dla wszystkich. Raport powinien być zwięzły, czytelny i zawierać podstawowe składniki: 1. Opis stanu faktycznego. Jest to bardzo ważny element raportu. Bardzo często , nawet w małych firmach dochodzi do sytuacji, gdzie zarząd firmy nie wie jakie zasoby informatyczne posiada ( sprzętowe, programowe) i jaką funkcjonalności mógł by przy użyciu ich osiągnąć. Ponoszone są koszty na zakup nowych rozwiązań, które równie dobrze można by osiągnąć przy użyciu obecnie używanych zasobów. 2. Opis znalezionych nieprawidłowości. W informatyce nie ma jednego najlepszego rozwiązania gdzie odstępstwo od niego można by wskazać jako nieprawidłowość. Dlatego bardzo ważną kwestią ( a może i najważniejszą) jest podejście audytora do oceny środowiska. Nie powinna ona być robiona na zasadzie wyszukiwania owych odstępstw lecz na dogłębnej ich analizie i znalezienia powodów dla których one występują. Nie oceniona w takiej sytuacji jest pomoc ze strony osób odpowiedzialnych za środowisko informatyczne, które brały udział w jego powstawaniu i są w stanie dane rozwiązanie uargumentować. 3. Rekomendacje zmian. Jeśli przedstawiliśmy już słabe strony audytowanego środowiska należy zaproponować rozwiązanie które wpłynie na jego poprawę. Proponowane rozwiązania można podzielić na etapy, np.: Krytyczne (zmiany które maja wpływ na bezpieczeństwo sieci, danych et.) są to te zmiany, które powinny być wprowadzone natychmiast Opcjonalne – po zapoznaniu się ze sposobem działania firmy można zaproponować rozwiązania wpływające na poprawienie wydajności pracy. W dobie powszechnej informatyzacji bardzo ważne jest zachowanie bezpieczeństwa IT w każdej organizacji. Łatwość użytkowania i powszechność Internetu sprawia, że dostęp do informacji przechowywanych w systemach informatycznych jest znacznie łatwiejszy. Niewłaściwe zabezpieczenia często skutkują utratą tajemnic firmowych, zawodowych, danych osobowych, innych informacji niejawnych. Jeśli dojdzie zaś do awarii sprzętu lub systemu informatycznego może to doprowadzić do niepożądanego przestoju w funkcjonowaniu firmy. Infrastruktura IT musi spełniać najwyższe standardy bezpieczeństwa. Odpowiednio przygotowane i przeprowadzone audyty informatyczne pozwalają na uniknięcie awarii i sytuacji kryzysowych w infrastrukturze IT firmy. Artykuł opracował Andrzej Baranowski, Team Leader Support Online Sp. z o.o. Firma Support Online to zespół specjalistów i inżynierów IT, którzy kompleksowo opiekują się infrastrukturą IT naszych Klientów. W ramach opieki oferujemy audyty i monitorowanie wdrożonych rozwiązań. Jeśli jesteś zainteresowany audytem informatycznym w Twojej firmie lub innymi rozwiązaniami informatycznymi - skontaktuj się z nami: Support Online Sp. z o.o. tel. + 22 335 28 00 e-mail: [email protected] www.support-online.pl Źródła: Opracowanie własne