Audyt Informatyczny



Audyt to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane.


Na potrzeby mikro i małych przedsiębiorstw audyt informatyczny to nic innego jak zbiór czynności które umożliwiają nam uzyskanie informacji na temat zasobów sprzętowych, zainstalowanego oprogramowania oraz ważnych licencji na programy. Ponadto dzięki audytowi informatycznemu uzyskujemy informację czy system informatyczny i przechowywane dane są odpowiednio zabezpieczone, czy jest zapewniona ochrona przed niepożądanymi zdarzeniami oraz jeśli już do takich dojdzie to czy są one na czas wykrywane i korygowane. Może dotyczyć zarówno pojedynczej stacji roboczej lub też obejmować kompleksowo systemy informatyczne całej firmy.

Podstawowe cele audytu
Wykonuje się go w celu zapewnienia, że firma działa na całkowicie legalnym oprogramowaniu, sprzęt jest wykorzystywany efektywnie i zgodnie z przeznaczeniem a poufne informacje dostatecznie zabezpieczone przed nieautoryzowanym dostępem. Informacje te pozwalają zaplanować zakupy sprzętu i licencji oraz precyzyjniej reagować w sytuacjach kryzysowych. Niestety, w większości przypadków audyt wykazuje konieczność podjęcia działań w jednej lub wszystkich tych sferach.

Uniknięcie nieprzyjemnych konsekwencji
Używanie w firmie oprogramowania innego niż oryginalne oraz z nieaktualną licencją w przypadku kontroli urzędowej może prowadzić do wysokich kar pieniężnych lub konfiskaty sprzętu. Niewłaściwe wykorzystanie sprzętu zmniejsza efektywność pracy, co może prowadzić do wymiernych strat produkcyjności. Z kolei wycieki informacji mogą zadecydować o utracie przewagi konkurencyjnej firmy. Jeśli jednak dostatecznie wcześnie wykona się audyt i dostrzeże potencjalne zagrożenia, można je rozwiązać w sposób, który będzie znacznie mniej kosztowny.

Kilka słów o rodzajach audytu:
1. Audyt sprzętu – dotyczy obecności konkretnych jednostek roboczych oraz elementów architektury informatycznej w firmie a także właściwej ich konfiguracji technicznej. Jest to jednak nie tylko zbadanie stanu ilościowego komputerów (jak przy ewidencji środków trwałych czy spisie z natury), ale też sprawdzenie, czy każda jednostka robocza posiada te podzespoły, które powinna, zgodnie ze stanem zakupu lub późniejszych uwierzytelnionych modyfikacji. Audyt sprzętu umożliwia zaplanowanie zakupów oraz znacznie ułatwia bieżącą politykę sprzętową. Może też prowadzić do odkrycia, że dany element został „wyniesiony” poza firmę bez upoważnienia.

2. Audyt oprogramowania – odpowiada przede wszystkim na pytanie, jakiego rodzaju oprogramowanie jest używane w firmie, a także jakiego rodzaju pliki znajdują się na komputerach roboczych. W pierwszym zakresie podstawą jest wyszukanie aplikacji niepożądanych, które nie mają związku z rodzajem wykonywanej pracy oraz takich, które nadmiernie i zbędnie obciążają procesory w czasie działania. Popularne niepożądane programy często związane są z odtwarzaniem muzyki lub filmów, grami komputerowymi oraz aplikacjami w charakterze „rozrywkowym”, a także z pobieraniem danych z internetu (np. programy obsługi torrent’ów). Oprócz tego, audyt ma na celu wykazanie, jak duża część powierzchni dyskowej jest zajmowana przez pliki niezwiązane z pracą – na przykład filmy, muzyka, zdjęcia.

3. Audyt legalności – jest związany z ustaleniem, czy wykorzystywane oprogramowanie posiada ważne licencje oraz czy firma może z niego korzystać pod względem prawnym. W wielu sytuacjach w firmie występuje zbyt mało licencji lub nawet nie ma ich wcale. Audyt legalności pozwala uniknąć kar za nielegalne wykorzystywanie oprogramowania.

4. Audyt bezpieczeństwa danych – odnosi się do polityki i organizacji bezpieczeństwa informacji, przechowywania archiwów, kopii zapasowych, strategicznych backupów. Obejmuje swoim zakresem zarządzanie dostępem użytkowników do wybranych informacji oraz weryfikacją nadanych uprawnień. Weryfikacja wdrożonej polityki zmiany i przechowywania haseł.

Wszystkie rodzaje audytu wykonuje się zazwyczaj wspólnie lecz nic oczywiście nie stoi na przeszkodzie w wykonaniu audytu tylko dla jednego, wybranego obszaru.

Podstawowy zakres kontroli w kompleksowym audycie informatycznym:
1. Architektura sieci:
– zabezpieczenie dostępu do sieci od strony LAN/WAN
– weryfikacja zdalnego dostępu do zasobów firmy przez pracowników
– ograniczenie dostępu z zewnątrz tylko do usług które są wymagane (np. www, poczta, ftp)
– weryfikacja posiadania schematu rozmieszczenia sieci logicznej w firmie.
2. Środowisko serwerowe:
– serwerownia:
– analiza kontroli dostępu do serwerowni
– wyposażenie ( szafa rakowa, klimatyzacja, czujniki temperatury etc. )
– awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami w przypadku przerwy w dostawie prądu
– legalność posiadanego oprogramowania
– zabezpieczenie sprzętowe przed wystąpieniem awarii
– analiza poprawności konfiguracji usług jakie pełnią serwery
– sprawdzenie zgodności firmowego sprzętu z ewidencją.
3. Stacje robocze:
– weryfikacja legalności oprogramowania
– weryfikacja uprawnień jakie użytkownik posiada na stacji
– łatwość dostępu do stacji przez osoby nieuprawnione (logowanie, złożoność i ważność haseł)
– sprawdzenie zgodności firmowego sprzętu z ewidencją
– sprawdzenie konfiguracji poszczególnych stanowisk roboczych
4. System backupowy:
– harmonogram wykonywania kopii bezpieczeństwa
– zabezpieczenie nośników na których backup jest trzymany
– weryfikacja zasobów objętych backupem
– weryfikacja poprawności wykonywania backupu poprzez testowe odzyskanie
– weryfikacja posiadania procedury wykonywania kopii bezpieczeństwa oraz procedury odzyskiwania środowiska w przypadku awarii
5. Zabezpieczenia antywirusowe

Podsumowanie
W dzisiejszych czasach gdy większość działań w firmach jest zinformatyzowana bardzo ważne jest zachowanie bezpieczeństwa IT. Musimy jednak pamiętać, że łatwość użytkowania i powszechność Internetu sprawia, że dostęp do informacji przechowywanych w systemach informatycznych jest znacznie łatwiejszy. Niewłaściwe zabezpieczenia często skutkują utratą tajemnic firmowych, zawodowych, danych osobowych, innych informacji niejawnych. Jeśli dojdzie zaś do awarii sprzętu lub systemu informatycznego może to doprowadzić do niepożądanego przestoju w funkcjonowaniu firmy. Infrastruktura IT musi spełniać najwyższe standardy bezpieczeństwa. Audyt informatyczny może okazać się wyjątkowo ważnym mechanizmem kontrolnym, dzięki któremu firma może uniknąć wielu negatywnych konsekwencji niewłaściwego zarządzania zasobami informatycznymi.

Jednym z fundamentów każdego biznesu jest ochrona informacji poufnych. Mowa tu o informacjach handlowych, finansowych, planach i strategiach rozwoju firmy, bazach danych klientów czy też informacjach o produktach i usługach. Szanując w ten sposób biznes klienta, przed każdym rozpoczęciem współpracy zawieramy umowy o zachowaniu poufności (tzw. non-disclosure agreement – NDA).



"Legalność oprogramowania to nie luksus, to obowiązek."