Audyt bezpieczeństwa informatycznego

Rozwiązaniem służącym podniesieniu poziomu bezpieczeństwa jest przeprowadzenie w firmie audytu bezpieczeństwa informatycznego, który wskaże obszary wymagające usprawnień.

Na firmy na całym świecie czyhają coraz bardziej wyrafinowane ataki ze strony ceberprzestępców. Według badań z roku na rok wzrasta liczba nadużyć finansowych, infekcji złośliwym oprogramowaniem, kradzieży haseł, defacementu, czyli włamań na strony internetowe, prowadzących do zmiany wyglądu. Lekceważenie kwestii bezpieczeństwa informatycznego to ryzyko wielkich strat, które negatywnie wpływają na kondycję firmy przez wiele lat i które często wielokrotnie przewyższają koszt przeprowadzenia audytu.

Audyty bezpieczeństwa informatycznego są normą w większości dużych firm, w małych i średnich przedsiębiorstwach takie działania nie są jednak powszechne. Najlepszym rozwiązaniem jest regularne przeprowadzanie audytu – „profilaktyka” jest najskuteczniejszą formą podnoszenia poziomu bezpieczeństwa firmy. Istnieją także sytuacje wyjątkowe, w których specjaliści zalecają zaplanowanie dodatkowego audytu bezpieczeństwa informatycznego.

Dodatkowa kontrola jest niezbędna na przykład po stwierdzeniu włamania. Taka sytuacja wymaga identyfikacji przyczyny naruszenia bezpieczeństwa w firmie i doprowadzenia do wykrycia sprawcy. Przeprowadzenie takiego audytu powinno prowadzić nie tylko do wskazania sprawcy, ale także do powstania szczegółowego planu usprawnienia zabezpieczeń, co będzie prowadziło do uniknięcia takich sytuacji w przyszłości.

Fuzja wymaga audytu

Bardzo ważną przyczyną przeprowadzenia audytu bezpieczeństwa informatycznego jest połączenie dwóch przedsiębiorstw – kontrola przejmowanego przedsiębiorstwa pozwala inwestorowi na dokładne zapoznanie się z ryzykiem powiązanym z przejmowaną firmą. Audyt bezpieczeństwa jest także powszechnie stosowany podczas nawiązywania współpracy biznesowej między firmami, szczególnie w obszarze outsourcingu z wykorzystaniem systemów IT, dzieje się tak zwłaszcza wtedy, kiedy kooperacja opiera się na wspólnym rynku UE.

Firmy przeprowadzają audyt bezpieczeństwa w związku ze zmianą osób zarządzających i odpowiadających za bezpieczeństwo – jest to doskonała okazja do poznania przez nowego zarządzającego zastanego status quo, co pozwala na lepszą ocenę osiągnięć tego specjalisty po upływie określonego czasu. Innym ważnym powodem przeprowadzenia audytu jest wdrożenie nowego oprogramowania, co umożliwia sprawdzenie, czy system został prawidłowo skonfigurowany i wdrożony oraz czy spełnia wymagania bezpieczeństwa przedsiębiorstwa. Powszechną tendencją obserwowaną wśród polskich firm jest decydowanie się na audyt bezpieczeństwa informatycznego w celu uzyskania jednego z certyfikatów poświadczających odpowiedni poziom bezpieczeństwa.

– Coraz częściej przedsiębiorstwa starają się o certyfikat zgodny z normą ISO 27000. Standard ten stanowi podstawę organizacji procesu zarządzania bezpieczeństwem informacji w firmie. Firma starająca się o taki certyfikat musi zaplanować cykl audytów. Audyt zerowy przeprowadza się w celu wykrycia obszarów, które nie spełniają wymagań normy, a jego wyniki służą do wskazania elementów, które wymagają poprawy. Jeśli firma jest już gotowa na proces certyfikacji, licencjonowana firma przeprowadza audyt certyfikacyjny. Jeśli nie zostaną stwierdzone nieprawidłowości, firma otrzymuje certyfikat. Utrzymanie certyfikatu zgodnego z normą ISO 27000 wymaga przeprowadzania okresowych audytów, mających na celu potwierdzenie tego, że firma w dalszym ciągu spełnia określone wymagania – mówi Mariusz Pawłowski, Partner Zarządzający w firmie Optima Partners. – Uzyskanie takiego certyfikatu ma na celu nie tylko zwiększenie poziomu bezpieczeństwa informatycznego w przedsiębiorstwie, ma także wymiar prestiżowy i wiąże się z wzmocnieniem pozycji firmy w środowisku biznesowym – wyjaśnia Mariusz Pawłowski.

Pomimo ogromu zagrożeń polskie firmy zdają się je bagatelizować. Można zaobserwować  jedynie minimalny wzrost budżetu przeznaczonego na ten cel w obszarze IT, znacznie mniejszy niż w innych sektorach związanych z IT. Dlaczego polscy biznesmeni nie dostrzegają korzyści, jakie płyną z inwestowania w zabezpieczenia, w tym w audyty bezpieczeństwa informatycznego? Być może dlatego, że korzyści te są trudne do oceny w krótkiej perspektywie – wszak dopóki firma nie padnie ofiarą przestępców internetowych lub nieuważnych pracowników, nie jest łatwo oszacować, jakie straty powstaną po zmniejszeniu budżetu przeznaczonego na bezpieczeństwo IT.