Upgreat

Audyty bezpieczeństwa IT

Bezpieczeństwo systemów teleinformatycznych jest obszarem, któremu najczęściej poświęca się zbyt mało czasu i uwagi. Kwestie bezpieczeństwa są często bagatelizowane ze względu na brak środków finansowych, wolnych etatów i złudne poczucie, że posiadanie firewalla i programów antywirusowych załatwia kwestię bezpieczeństwa w dostatecznym stopniu.

Tymczasem od bezpieczeństwa środowiska IT zależne jest dzisiaj bezpieczeństwo wszystkich procesów biznesowych, danych i komunikacji czyli w efekcie bezpieczeństwo całej firmy i jej pracowników. Odpowiedzialność prawna np. za wyciek danych osobowych lub utrata dobrego wizerunku firmy związana z nagłaśnianymi chętnie przez media incydentami bezpieczeństwa to tylko niektóre z przykrych konsekwencji zaniedbań.

Jak zatem w profesjonalny sposób podejść do zagadnienia bezpieczeństwa w środowisku IT? 

Pierwszym krokiem jest sprawdzenie aktualnego stanu zabezpieczeń poprzez zlecenie audytu. Audyt bezpieczeństwa jest jednak pojęciem niesprecyzowanym, co powoduje, że na rynku dostępna jest cała gama usług audytorskich bardzo różniących się zakresem przeprowadzanych prac. Aby do zagadnienia podejść w sposób najbardziej profesjonalny i kompleksowy, w opracowanej przez nas metodologii badania znalazły sie następujące obszary poddawane kontroli:

Zgodność z międzynarodowymi normami ISO

Kwestie bezpieczeństwa regulowane są przez niektóre z norm ISO, takie jak np. ISO 27001 (System Zarządzania Bezpieczeństwem Informacji), ISO 27002 (dawniej ISO 17799 - Praktyczne zasady zarządzania bezpieczeństwem informacji), ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji), ISO 24762 (Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie).

Zgodność z krajowymi przepisami prawa

Ustawa o ochronie danych osobowych, Rozporządzenie Rady Ministrów z dnia 11 października 2005 r. czy Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności to tylko niektóre z przepisów prawa narzucające na firmy z sektora prywatnego oraz jednostki publiczne określone obowiązki związane np. ze zgłaszaniem do GIODO baz danych osobowych, wdrażaniem polityk bezpieczeństwa czy corocznym przeprowadzaniem audytów bezpieczeństwa.

Testy penetracyjne

Niezależnie od wdrożonych procedur, norm i polityk bezpieczeństwa testy penetracyjne są nieodzownym elementem kontroli, który w sposób praktyczny bada poziom bezpieczeństwa środowiska IT i obnaża jego słabe elementy. W ramach testów badane są m.in. takie elementy infrastruktury jak sieci kablowe i bezprzewodowe, serwery, urządzenia sieciowe, stacje robocze. Testowaniu poddawane są również kanały komunikacji elektronicznej (e-mail, telefonia IP, komunikatory), punkty styku z Internetem, serwisy WWW.

Próby socjotechniczne

Użytkownicy systemów stanowią zawsze najsłabsze ogniwo w łańcuchu zabezpieczeń. Niezależnie od stosowanych systemów, urządzeń i procedur człowiek, którego czujność może zostać uśpiona stanowi łatwy cel ataku dla potencjalnych intruzów. Nieuwaga lub niewiedza pracownika jest najczęstszą przyczyną aktywowania szkodliwego oprogramowania, umożliwienia nieautoryzowanego dostępu, wycieku danych i innych incydentów mających krytyczny wpływ na poziom bezpieczeństwa.

Inwentaryzacja oprogramowania

Brak kontroli nad instalowanym i używanym w firmie oprogramowaniem poza konsekwencjami prawnymi wynikającymi z naruszeń licencyjnych pociąga za sobą również ryzyko aktywowania narzędzi o charakterze koni trojańskich mających na celu szpiegowanie, zdalną kontrolę i wykradanie informacji (np. danych dostępowych do kont bankowych). Jednym z elementów audytu powinna więc być dokładna inwentaryzacja zainstalowanych na stacjach roboczych aplikacji i weryfikacja ich legalności.