Czym jest audyt informatyczny?
Audyt informatyczny możemy określić jako proces mający na celu ustalenie czy systemy informatyczne i odpowiedzialne za nie osoby w należyty sposób chronią dane, gwarantują bezpieczeństwo procesów biznesowych i efektywnie pomagają osiągać cele organizacji zapewniając jednocześnie odporność na niepożądane zdarzenia.
Po co przeprowadza się audyt informatyczny?
W dobie wszechobecnych komputerów, sieci i tzw. „Internetu rzeczy” od systemów informatycznych zależy praktycznie każdy aspekt prowadzonej działalności. W systemach prowadzone są wszystkie procesy biznesowe i administracyjne. Od infrastruktury IT zależy poufność i integralność danych, systemy kontroli dostępu, systemy monitoringu wizyjnego i w końcu bardzo wrażliwe na przestoje systemy wspierające produkcję (OT), czy systemy przemysłowe SCADA.
Trudno zatem wskazać bardziej newralgiczny i mający wpływ na bezpieczeństwo biznesu obszar niż infrastruktura IT. Czym może skutkować brak odpowiedniego nad nią nadzoru opisywałem np. w artykułach „przegląd samochodu i niezamówione testy bezpieczeństwa” oraz „wyciek danych – jak tego nie robić – studium przypadku”. Audyt informatyczny jest zatem nieodzownym narzędziem wspierającym procesy utrzymania ciągłości biznesowej mające zagwarantować odporność organizacji na nieprzewidziane zdarzenia.
Jakie obszary obejmuje audyt?
Audyt informatyczny ma na celu ocenę w jaki sposób osoby odpowiedzialne za infrastrukturę IT wywiązują się z zadań związanych m.in. z:
- zapewnieniem wysokiego poziomu bezpieczeństwa
- zapewnieniem odporności środowiska IT na awarie
- zarządzaniem uprawnieniami
- zarządzaniem konfiguracją
- zarządzaniem aktualizacjami
- zarządzaniem kopiami zapasowymi i archiwalnymi
- inwentaryzacją infrastruktury technicznej
- inwentaryzacją oprogramowania
- monitorowaniem środowiska
- dokumentacją infrastruktury
- wsparciem użytkowników
- doborem odpowiednich do potrzeb rozwiązań technicznych
- zarządzaniem kompetencjami
- doborem odpowiednich partnerów i dostawców zewnętrznych
w celu oceny środowiska IT brane są pod uwagę m.in. dobre praktyki stosowane w branży (bazujące np. na standardach ITIL), zalecenia producentów systemów, międzynarodowe normy a nawet przepisy prawa (np. dotyczące ochrony danych osobowych). W przypadku audytu informatycznego nie bez znaczenia zostają też zagadnienia związane z działaniem:
- ochrony p.poż.,
- klimatyzacji i wentylacji
- instalacji elektrycznej
- kontrolą dostępu
- bezpieczeństwem okablowania
Jednymi z obszarów poszerzających zakres audytu IT mogą być również audyt bezpieczeństwa informacji lub też bardziej techniczny audyt bezpieczeństwa systemów – tzw. testy penetracyjne. Ze względu na swoją specyfikę są one jednak przeważnie wykonywane oddzielnie (niekiedy w celu spełnienia wymogu prawnego, a niekiedy jako objaw szczególnej troski o bezpieczeństwo infrastruktury lub danych.)
Czy warto przeprowadzać audyt?
Stary dowcip mówi, iż kontrola jest najwyższą formą zaufania. Audytu nie powinniśmy jednak traktować wyłącznie jako narzędzia kontroli. Audyt jest na pewno elementem mobilizującym osoby odpowiedzialne za badany obszar do utrzymywania wysokich standardów, ale daje też możliwość znalezienia słabych punktów i wdrożenia zawczasu procesów naprawczych. Warto pamiętać, że nawet najlepsi specjaliści popełniają często błędy wynikające z faktu, iż oceniają sytuację cały czas z tej samej perspektywy i brak im spojrzenia „z lotu ptaka”. Jeżeli więc audyt informatyczny nie jest stałym elementem procesów nadzorczych to warto na pewno wykonać go przynajmniej raz na jakiś czas.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
