Audyt informatyczny dla małych i średnich przedsiębiorstw.

Audyt informatyczny
dla małych i średnich przedsiębiorstw.
Aby mówić o audycie informatycznym w pierwszej kolejności
musimy przytoczyć jego definicje, a wiec: „Audyt
informatyczny jest to proces zbierania i oceniania dowodów w
celu określenia czy system informatyczny i związane z nim
zasoby właściwie chronią majątek, utrzymują integralność
danych i dostarczają odpowiednich i rzetelnych informacji,
osiągają efektywnie cele organizacji, oszczędnie wykorzystują
zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby
dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się
przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane”
Jak wiec przeprowadzić audyt aby był on zgodny z przytoczona tu definicja? Nie jest to na pewno
rzecz łatwa. Istnieją normy takie jak ITIL, ISO 9001 czy COBIT którymi można się kierować przy
przeprowadzaniu audytu. Są one bardzo rozbudowanie dlatego jesteśmy wstanie w oparciu o nie
przeprowadzić bardzo szczegółowy audyt. Oczywiście przeprowadzenie takiego audytu wymaga
od audytora dokładnej znajomości przytoczonych tu norm oraz poświęcenia dużej ilości czasu co
jest równoznaczne z dużymi kosztami. Jest to na pewno idealne rozwiązanie dla dużych korporacji
bądź mniejszych firm w których z racji na dziedzinę która się zajmują taki audyt jest niezbędny.
Realia pokazują jednak ze w przypadku małych i średnich przedsiębiorstw oczekiwania są trochę inne.
Z reguły audyt jest przeprowadzany w celu pozyskania ogólnej informacji o stanie posiadanej
infrastruktury informatycznej ( bezpieczeństwie, legalności , zabezpieczaniu przed ewentualnymi
awariami), który stanowi podstawę do oceny pracy działu informatycznego firmy bądź w przypadku
korzystania z outsourcingu informatycznego firmy która te usługi świadczy. Przeprowadzenie takiego
audytu jest dużo łatwiejsze, mniej czasochłonne a co za tym idzie o wiele tańsze.
Zakres audyty powinien obejmować kluczowe elementy infrastruktury informatycznej, jak np.:


analizę architektury sieci, a tu m.in.:
 Zabezpieczanie dostępu do sieci od strony LAN/WAN
 Ograniczenie dostępu z zewnątrz tylko do usług które są wymagane (np. www,
poczta, ftp)
 Zabezpieczenie urządzeń sieciowych ( switche, routery), weryfikacja złożoności haseł
dostępowych oraz fizyczne zabezpieczanie przed nie autoryzowanym dostępem.
 Odseparowanie od siebie sieci w poszczególnych działach w firmie poprzez VLAN
 Weryfikacja zdalnego dostępu do zasobów firmy przez pracowników.
 Weryfikacja posiadania schematu sieci.
analizę systemu backupowego
 Harmonogram wykonywania kopii bezpieczeństwa.
 Fizyczne zabezpieczenie nośników na których backup jest trzymany.
 Weryfikacja zasobów objętych backupem .
 Weryfikacja poprawności wykonywania backupu poprzez testowe odzyskanie.
 Weryfikacja posiadania procedury wykonywania kopii bezpieczeństwa oraz
procedury odzyskiwania środowiska w przypadku awarii.



analizę zabezpieczenia antywirusowego serwerów oraz stacji roboczych
analizę środowiska serwerowego
 serwerownia
 analiza kontroli dostępu do serwerowni
 wyposażenie ( szafa rakowa, klimatyzacja, czujniki temperatury etc. )
 awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami
w przypadku przerwy w dostawie prądu.
 legalność posiadanego oprogramowania.
 zabezpieczenie sprzętowe przed wystąpieniem awarii
 analiza poprawności konfiguracji usług jakie pełnią serwery
analizę stacji roboczych
 weryfikacja legalności oprogramowania.
 weryfikacja uprawnień jakie użytkownik posiada na stacji
 łatwość dostępu do stacji przez osoby nieuprawnione ( logowanie, złożoność i
ważność haseł )
Jest to oczywiście przykładowy i bardzo uproszony zakres audytu który dla każdej firmy musi
zostać stworzony indywidualnie. W celu ograniczenia kosztów przeprowadzenia takiego audyt musi
on zostać tak zaplanowany, aby wykonać go w jak najkrótszym czasie.
Następstwem przeprowadzenia audytu jest sporządzenie raportu. Raport przeznaczony jest
dla osób zarządzających firma czyli z reguły mało technicznych dlatego opis i słownictwo użyte w
raporcie powinno być zrozumiałe dla wszystkich. Raport powinien być zwięzły, czytelny i zawierać
podstawowe składniki:
1. Opis stanu faktycznego. Jest to bardzo ważny element raportu. Bardzo często , nawet w
małych firmach dochodzi do sytuacji, gdzie zarząd firmy nie wie jakie zasoby informatyczne
posiada ( sprzętowe, programowe) i jaką funkcjonalności mógł by przy użyciu ich osiągnąć.
Ponoszone są koszty na zakup nowych rozwiązań, które równie dobrze można by osiągnąć
przy użyciu obecnie używanych zasobów.
2. Opis znalezionych nieprawidłowości. W informatyce nie ma jednego najlepszego
rozwiązania gdzie odstępstwo od niego można by wskazać jako nieprawidłowość. Dlatego
bardzo ważną kwestią ( a może i najważniejszą) jest podejście audytora do oceny środowiska.
Nie powinna ona być robiona na zasadzie wyszukiwania owych odstępstw lecz na dogłębnej
ich analizie i znalezienia powodów dla których one występują. Nie oceniona w takiej sytuacji
jest pomoc ze strony osób odpowiedzialnych za środowisko informatyczne, które brały udział
w jego powstawaniu i są w stanie dane rozwiązanie uargumentować.
3. Rekomendacje zmian. Jeśli przedstawiliśmy już słabe strony audytowanego środowiska
należy zaproponować rozwiązanie które wpłynie na jego poprawę. Proponowane rozwiązania
można podzielić na etapy, np.:
 Krytyczne (zmiany które maja wpływ na bezpieczeństwo sieci, danych et.) są to te
zmiany, które powinny być wprowadzone natychmiast
 Opcjonalne – po zapoznaniu się ze sposobem działania firmy można zaproponować
rozwiązania wpływające na poprawienie wydajności pracy.
W dobie powszechnej informatyzacji bardzo ważne jest zachowanie bezpieczeństwa IT w każdej
organizacji. Łatwość użytkowania i powszechność Internetu sprawia, że dostęp do informacji
przechowywanych w systemach informatycznych jest znacznie łatwiejszy. Niewłaściwe
zabezpieczenia często skutkują utratą tajemnic firmowych, zawodowych, danych osobowych, innych
informacji niejawnych. Jeśli dojdzie zaś do awarii sprzętu lub systemu informatycznego może to
doprowadzić do niepożądanego przestoju w funkcjonowaniu firmy. Infrastruktura IT musi spełniać
najwyższe standardy bezpieczeństwa. Odpowiednio przygotowane i przeprowadzone audyty
informatyczne pozwalają na uniknięcie awarii i sytuacji kryzysowych w infrastrukturze IT firmy.
Artykuł opracował Andrzej Baranowski,
Team Leader Support Online Sp. z o.o.
Firma Support Online to zespół specjalistów i inżynierów IT,
którzy kompleksowo opiekują się infrastrukturą IT naszych
Klientów. W ramach opieki oferujemy audyty i monitorowanie
wdrożonych rozwiązań. Jeśli jesteś zainteresowany audytem
informatycznym w Twojej firmie lub innymi rozwiązaniami
informatycznymi - skontaktuj się z nami:
Support Online Sp. z o.o.
tel. + 22 335 28 00
e-mail: [email protected]
www.support-online.pl
Źródła:
Opracowanie własne