Audyt bezpieczeństwa informatycznego

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Audyt bezpieczeństwa informatycznego
Autor: Rafał Pawlak
23.09.2007.
Zmieniony 23.09.2007.
Infrastruktura informatyczna każdej firmy jest stale narażona na penetrację. Aż w 80 proc. przypadków
dane z firmy wyciekały w wyniku świadomego działania bądź niefrasobliwości jej pracowników. Audyt
informatyczny pozwala stworzyć sieć teleinformatyczną zabezpieczoną przed każdą formą penetracji.
Zarówno sieci otwarte, z nieskrępowanym dostępem do Internetu, jak i sieci firmowe mające tylko jeden
punkt dostępu do sieci globalnej czy wydzielone sieci typu VPN są zagrożone penetracją dokładnie w
takim samym stopniu. Bezpieczeństwo sieci oznacza bowiem nie tylko budowanie murów ochronnych
przed agresorem z zewnątrz, ale także stworzenie takich warunków, aby każdemu stanowisku pracy
wewnątrz firmy przyporządkowane były ścisłe reguły dostępu do zasobów sieciowych. Konieczne jest
skonstruowanie reguł i hierarchii, które będą opisywać każde stanowisko pracy i zarazem całą sieć. Jest
to kompleksowa polityka bezpieczeństwa, która nie zamyka się w zabezpieczeniach technicznych, ale
obejmuje również procedury działania pracowników podczas pracy z danymi oraz sposoby postępowania
w razie incydentów i naruszeń bezpieczeństwa.
- Każdy pracownik musi być odpowiedzialny za wykonywane działania w sieci teleinformatycznej.
Zarządzanie bezpieczeństwem jest scentralizowane w organizacji, ale odpowiedzialność jest rozproszona twierdzi Radosław Kaczorek z Deloitte.
Usługą, która pozwala na sprawdzenie całej sieci teleinformatycznej, ustalenie jej słabych punktów i
usunięcie ich, jest audyt bezpieczeństwa informacyjnego. Jego część obejmująca jedynie badanie i
tworzenie procedur dla infrastruktury technicznej nosi nazwę audytu bezpieczeństwa informatycznego.
Kompleksowy audyt całej infrastruktury nie jest zwykle zamawiany przez małe i średnie firmy, ale
zdarzają się wyjątki. Robią to na przykład firmy brokerskie, parające się produkcją specjalną, wykonujące
ważne zlecenia z zakresu projektowania (np. pracownie informatyczne czy designerskie) lub będące
podwykonawcami w wielkich projektach. Zakres audytu może być bardzo różny. Dlatego także niewielkie
firmy mogą go zamówić. Oczywiście koszt audytu nie może być wyższy od kosztu potencjalnie utraconych
danych.
STANDARDOWE ZABEZPIECZENIA NIE WYSTARCZĄ
Audyt bezpieczeństwa informatycznego jest zamówioną w zewnętrznej firmie niezależną analizą
infrastruktury sieciowej przedsiębiorstwa. Uchroni to dane firmowe przed zniszczeniem, ujawnieniem
bądź modyfikacją. Nie jest to usługa jednorazowa - stan zabezpieczeń systemu IT każdej firmy powinien
podlegać okresowej weryfikacji.
W polskich firmach najpopularniejszy jest audyt sprawdzający system informatyczny. Analizie poddaje się
serwery dostępowe (www i FTP), urządzenia sieciowe realizujące połączenia (routery, switche), stacje
robocze pracowników etc. Mimo że w wielu małych i średnich firmach nie ma jeszcze zwyczaju
sprawdzania poziomu bezpieczeństwa infrastruktury IT, rosnąca ilość prób uzyskania dostępu do
firmowych sieci i coraz bardziej widoczne, wymierne straty sprawiają, że sytuacja ta powoli się zmienia.
Rośnie też liczba firm oferujących tego typu usługi.
Koszty pełnego audytu są zazwyczaj wysokie. Wynoszą od 20 tys. nawet do ponad 100 tys. euro w
zależności od stopnia skomplikowania i rozmiarów sieci przedsiębiorstwa. Jednak nawet niewielkie firmy
mogą zamówić przeprowadzenie audytu. Niedrogie usługi sprawdzające infrastrukturę w cenie od
kilkudziesięciu dolarów wprowadza m.in. Qumak-Sekom. Trudno je co prawda nazwać pełnym audytem,
ale dla małej firmy stanowią dobrą podstawę budowy własnej strategii bezpieczeństwa informatycznego.
Tak naprawdę nie wystarcza jednak zbudowanie w miarę sprawnego systemu bezpieczeństwa w firmie,
wprowadzenie do sieci firewalla zabezpieczającego firmowe serwery i desktopy, używanie stale
aktualizowanego oprogramowania antywirusowego oraz instalowanie publikowanych przez producentów
oprogramowania łat.
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 01:33
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Niebezpieczeństwo grozi bowiem nie tylko z zewnątrz. Jak wykazują raporty RSA Security i Verisign, aż
80 proc. incydentów związanych z bezpieczeństwem informacji ma miejsce wewnątrz firmy. Ze
stanowiska użytkownika można doprowadzić do nadużyć, takich jak: nielegalne zwiększanie uprawnień
dostępu, podszywanie się pod innych użytkowników, podsłuchiwanie informacji przesłanych przez sieć,
sabotaż, wykradanie danych.
Istnieje także niebezpieczeństwo ataku zewnętrznego, np. zadziałania nieznanej dotychczas luki w
systemach operacyjnych lub aplikacjach czy też zainstalowania przez przypadek konia trojańskiego, który
stworzy w firmowej sieci "tylne drzwi" (backdoors) umożliwiające zdalne przejęcie kontroli nad zasobami
informatycznymi w firmie.
KTO DO AUDYTU
Przeprowadzenie audytu jest konieczne, jeśli trzeba sprawdzić poziom bezpieczeństwa sieci (serwerów
sieciowych i firewalli), np. przed wprowadzeniem zmian w sieci czy też udostępnieniem nowych usług
sieciowych użytkownikom wewnętrznym i zewnętrznym. Jest to niezbędne także wtedy, gdy stwierdzono
próby włamań do sieci. Sam sprzęt nie gwarantuje jeszcze pełnej szczelności sieci. Istotne jest jego
optymalne skonfigurowanie. W takim wypadku wykryte zostaną błędy konfiguracyjne i zostanie podane,
jak je naprawić.
Typowa analiza poziomu bezpieczeństwa składa się z kilku etapów: zewnętrznych i wewnętrznych testów
penetracyjnych, analizy infrastruktury technicznej i przepływu informacji, oceny stanu aktualnego i
zaleceń, jak go poprawić.
Testy penetracyjne są kontrolowanymi próbami wejścia do sieci, czyli po prostu symulacją włamania.
Audyt bezpieczeństwa ma na celu wyznaczenie aktualnego poziomu bezpieczeństwa środowiska
informatycznego w firmie i określenie, czy stosowane zabezpieczenia są wystarczające, czy istnieją w
nich luki wymagające naprawienia oraz jakie informacje można wydobyć od użytkowników sieci w firmie.
Audyt bezpieczeństwa informatycznego w przedsiębiorstwie może być wykonany nie tylko całościowo, ale
i cząstkowo. Siłą rzeczy usługa cząstkowa jest tańsza.
Kompleksowe badanie bezpieczeństwa informatycznego zawiera wiele osobnych analiz i testów. Według
działającej w tym sektorze firmy Unizeto, w jego skład wchodzi m.in. zebranie informacji o strukturze
organizacyjnej przedsiębiorstwa oraz infrastrukturze sieci, używanych mediach, urządzeniach aktywnych i
pasywnych, systemach zabezpieczeń fizycznych i logicznych oraz analiza ruchu sieciowego, testowanie
sieci, analiza systemów ochrony zasobów sieciowych i powiadamiania o zagrożeniach, weryfikacja
administracji siecią wraz z metodami kontroli dostępu, analiza ochrony kryptograficznej, zasobów
ludzkich (wiedza personelu IT), bezpieczeństwa fizycznego, polityki dostępu do zasobów internetowych,
kontroli antywirusowej, procedur odzyskiwania danych. Audytor przygotowuje raport z przeprowadzonych
analiz, zawierający m.in. określenie błędów wraz ze sposobami ich naprawy.
Tego typu audyt przydaje się nie tylko po to, by ocenić i naprawić stan bezpieczeństwa IT w firmie.
Będzie pomocny także wtedy, gdy firma zechce ubezpieczyć się od ryzyka informatycznego. Warto to
zrobić choćby dlatego, że ubezpieczenie takie coraz częściej wymuszają na swoich podwykonawcach
koncerny, dla których firmy te pracują. Ponadto jeśli firma dowiedzie, że przestrzega procedur, ma
opracowaną politykę bezpieczeństwa i odpowiednią infrastrukturę, towarzystwa ubezpieczeniowe
proponują niższe ceny polis obejmujących ryzyko informatyczne.
Usługi audytorskie świadczą zarówno międzynarodowe firmy (np. Deloitte&Touche czy
PricewaterhouseCoopers), jak i krajowe firmy teleinformatyczne, np. Altkom, Comarch, Unizeto, oraz
niewielkie spółki, dla których audyty są uzupełnieniem podstawowej działalności.
Wybierając firmę audytorską, jeśli nie jest to spółka międzynarodowa o ustalonej renomie, warto
sprawdzić kompetencje audytorów, choć na ogół o referencje jest trudno. Klienci nie zawsze życzą sobie
występować na listach referencyjnych firm audytorskich choćby dlatego, że oznaczałoby to przyznanie się
do prac przy systemie bezpieczeństwa. Natomiast łatwo można dowiedzieć się, czy konkretni audytorzy
dysponują kwalifikacjami potwierdzonymi stosownymi certyfikatami, takimi jak certyfikat CISA (Certified
Information System Auditor), który ma niewielu audytorów w kraju, czy CIA (Certified Internal Auditor).
Firma ma prawo zażądać wykazu zatrudnionych audytorów i certyfikatów, które posiadają.
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 01:33
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Warto też zapoznać się ze stosowaną przez potencjalnego audytora metodologią i dowiedzieć się, czy jest
zgodna z powszechnie uznawanymi standardami, takimi jak ISO 17799.
Konieczność przeprowadzenia audytów nawet w małych firmach ma uzasadnienie, bowiem - jak wykazują
raporty Europejskiego Instytutu Zarządzania - jeden udany atak na zasoby informatyczne firmy może
spowodować straty długofalowe (utrata baz danych, informacji o wyrobach), sięgające nawet 50 proc. jej
rocznego zysku.
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 01:33