Strona główna » Bezpieczeństwo Systemów IT » Audyty bezpieczeństwa
Kwestie bezpieczeństwa regulowane są przez niektóre z norm ISO, takie jak np. ISO 27001 (System Zarządzania Bezpieczeństwem Informacji), ISO 27002 (dawniej ISO 17799 - Praktyczne zasady zarządzania bezpieczeństwem informacji), ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji), ISO 24762 (Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie).
Ustawa o ochronie danych osobowych, Rozporządzenie Rady Ministrów z dnia 11 października 2005 r. czy Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności to tylko niektóre z przepisów prawa narzucające na firmy z sektora prywatnego oraz jednostki publiczne określone obowiązki związane np. ze zgłaszaniem do GIODO baz danych osobowych, wdrażaniem polityk bezpieczeństwa czy corocznym przeprowadzaniem audytów bezpieczeństwa.
Niezależnie od wdrożonych procedur, norm i polityk bezpieczeństwa testy penetracyjne są nieodzownym elementem kontroli, który w sposób praktyczny bada poziom bezpieczeństwa środowiska IT i obnaża jego słabe elementy. W ramach testów badane są m.in. takie elementy infrastruktury jak sieci kablowe i bezprzewodowe, serwery, urządzenia sieciowe, stacje robocze. Testowaniu poddawane są również kanały komunikacji elektronicznej (e-mail, telefonia IP, komunikatory), punkty styku z Internetem, serwisy WWW.
Użytkownicy systemów stanowią zawsze najsłabsze ogniwo w łańcuchu zabezpieczeń. Niezależnie od stosowanych systemów, urządzeń i procedur człowiek, którego czujność może zostać uśpiona stanowi łatwy cel ataku dla potencjalnych intruzów. Nieuwaga lub niewiedza pracownika jest najczęstszą przyczyną aktywowania szkodliwego oprogramowania, umożliwienia nieautoryzowanego dostępu, wycieku danych i innych incydentów mających krytyczny wpływ na poziom bezpieczeństwa.
Brak kontroli nad instalowanym i używanym w firmie oprogramowaniem poza konsekwencjami prawnymi wynikającymi z naruszeń licencyjnych pociąga za sobą również ryzyko aktywowania narzędzi o charakterze koni trojańskich mających na celu szpiegowanie, zdalną kontrolę i wykradanie informacji (np. danych dostępowych do kont bankowych). Jednym z elementów audytu powinna więc być dokładna inwentaryzacja zainstalowanych na stacjach roboczych aplikacji i weryfikacja ich legalności.