Audyt bezpieczeństwa informatycznego

Przeczytaj także: Bezpieczeństwo danych w firmach 2007

Rozwiązaniem służącym podniesieniu poziomu bezpieczeństwa jest przeprowadzenie w firmie audytu bezpieczeństwa informatycznego, który wskaże obszary wymagające usprawnień.

Na firmy na całym świecie czyhają coraz bardziej wyrafinowane ataki ze strony ceberprzestępców. Respondenci biorący udział w corocznym badaniu CSI Computer Crime and Security Survey 2009 zanotowali wzrost nadużyć finansowych (19,5% w porównaniu do 12% w roku 2008), infekcji złośliwym oprogramowaniem (29,2% w 2009 roku, 21% w roku poprzednim), kradzieży haseł (17,3% w porównaniu do 9% w roku poprzednim), defacement, czyli włamań na strony internetowe, prowadzących do zmiany wyglądu strony (13,5 % przy 6% w roku poprzednim). Według raportu Paradoks bezpieczeństwa opublikowanego przez firmę McAfee, w roku 2009 połowa średniej wielkości firm z całego świata zauważyła większą liczbę incydentów związanych z bezpieczeństwem niż rok wcześniej, a przeciętne straty z ich powodu wyniosły aż 43 tys. dolarów. Lekceważenie kwestii bezpieczeństwa informatycznego to ryzyko wielkich strat, które negatywnie wpływają na kondycję firmy przez wiele lat i które często wielokrotnie przewyższają koszt przeprowadzenia audytu.

Audyty bezpieczeństwa informatycznego są normą w większości dużych firm, w małych i średnich przedsiębiorstwach takie działania nie są jednak powszechne. Najlepszym rozwiązaniem jest regularne przeprowadzanie audytu – „profilaktyka” jest najskuteczniejszą formą podnoszenia poziomu bezpieczeństwa firmy. Istnieją także sytuacje wyjątkowe, w których specjaliści zalecają zaplanowanie dodatkowego audytu bezpieczeństwa informatycznego.

Dodatkowa kontrola jest niezbędna na przykład po stwierdzeniu włamania. Taka sytuacja wymaga identyfikacji przyczyny naruszenia bezpieczeństwa w firmie i doprowadzenia do wykrycia sprawcy. Przeprowadzenie takiego audytu powinno prowadzić nie tylko do wskazania sprawcy, ale także do powstania szczegółowego planu usprawnienia zabezpieczeń, co będzie prowadziło do uniknięcia takich sytuacji w przyszłości.

Bardzo ważną przyczyną przeprowadzenia audytu bezpieczeństwa informatycznego jest połączenie dwóch przedsiębiorstw – kontrola przejmowanego przedsiębiorstwa pozwala inwestorowi na dokładne zapoznanie się z ryzykiem powiązanym z przejmowaną firmą. Audyt bezpieczeństwa jest także powszechnie stosowany podczas nawiązywania współpracy biznesowej między firmami, szczególnie w obszarze outsourcingu z wykorzystaniem systemów IT, dzieje się tak zwłaszcza wtedy, kiedy kooperacja opiera się na wspólnym rynku UE.

Firmy przeprowadzają audyt bezpieczeństwa w związku ze zmianą osób zarządzających i odpowiadających za bezpieczeństwo – jest to doskonała okazja do poznania przez nowego zarządzającego zastanego status quo, co pozwala na lepszą ocenę osiągnięć tego specjalisty po upływie określonego czasu. Innym ważnym powodem przeprowadzenia audytu jest wdrożenie nowego oprogramowania, co umożliwia sprawdzenie, czy system został prawidłowo skonfigurowany i wdrożony oraz czy spełnia wymagania bezpieczeństwa przedsiębiorstwa.

Powszechną tendencją obserwowaną wśród polskich firm jest decydowanie się na audyt bezpieczeństwa informatycznego w celu uzyskania jednego z certyfikatów poświadczających odpowiedni poziom bezpieczeństwa.

"Coraz częściej przedsiębiorstwa starają się o certyfikat zgodny z normą ISO 27000. Standard ten stanowi podstawę organizacji procesu zarządzania bezpieczeństwem informacji w firmie. Firma starająca się o taki certyfikat musi zaplanować cykl audytów. Audyt zerowy przeprowadza się w celu wykrycia obszarów, które nie spełniają wymagań normy, a jego wyniki służą do wskazania elementów, które wymagają poprawy. Jeśli firma jest już gotowa na proces certyfikacji, licencjonowana firma przeprowadza audyt certyfikacyjny. Jeśli nie zostaną stwierdzone nieprawidłowości, firma otrzymuje certyfikat. Utrzymanie certyfikatu zgodnego z normą ISO 27000 wymaga przeprowadzania okresowych audytów, mających na celu potwierdzenie tego, że firma w dalszym ciągu spełnia określone wymagania" – mówi Mariusz Pawłowski, Partner Zarządzający w firmie Optima Partners. -"Uzyskanie takiego certyfikatu ma na celu nie tylko zwiększenie poziomu bezpieczeństwa informatycznego w przedsiębiorstwie, ma także wymiar prestiżowy i wiąże się ze wzmocnieniem pozycji firmy w środowisku biznesowym" – wyjaśnia Mariusz Pawłowski.

Pomimo ogromu zagrożeń polskie firmy zdają się je bagatelizować. Według polskiej edycji badania na temat bezpieczeństwa informacji w Internecie firmy Deloitte i portalu Gazeta.pl z 2009 roku, Polscy przedsiębiorcy oszczędzają na bezpieczeństwie w czasie kryzysu. Można zaobserwować jedynie minimalny wzrost budżetu przeznaczonego na ten cel w obszarze IT, znacznie mniejszy niż w innych sektorach związanych z IT.

Dlaczego polscy biznesmeni nie dostrzegają korzyści, jakie płyną z inwestowania w zabezpieczenia, w tym w audyty bezpieczeństwa informatycznego? Być może dlatego, że korzyści te są trudne do oceny w krótkiej perspektywie – wszak dopóki firma nie padnie ofiarą przestępców internetowych lub nieuważnych pracowników, nie jest łatwo oszacować, jakie straty powstaną po zmniejszeniu budżetu przeznaczonego na bezpieczeństwo IT.