Kluczowymi elementami planowania audytu informatycznego są: znajomość środowiska informatycznego, zrozumienie ryzyk informatycznych oraz określenie zasobów niezbędnych do przeprowadzenia prac. Omówimy każdy z nich po kolei.

Środowisko IT – Ocena środowiska IT wynika ze zrozumienia wewnętrznych procedur i operacji IT w badanej organizacji. Bez tego podstawowego zrozumienia istnieje duże prawdopodobieństwo, że prace kontrolne zostaną źle ukierunkowane, co zwiększy ryzyko wyciągnięcia nieodpowiednich lub nieprawidłowych wniosków. Te wstępne prace badawcze powinny obejmować przegląd procedur informatycznych i środowiska kontroli na wysokim poziomie, skupiając się na podstawowych zasadach bezpieczeństwa informatycznego, którymi są poufność, integralność i dostępność. Jako minimum, obszary objęte tym etapem to:

• Zarządzanie zmianą, tj. kontrole zmian wokół aktualizacji oprogramowania i sprzętu w systemach krytycznych;
• Bezpieczeństwo dostępu, tj. kontrole dostępu do systemów, zarówno wewnętrzne, jak i zewnętrzne;
• Ciągłość działania i przywracanie sprawności operacyjnej po awarii, czyli zdolność przedsiębiorstwa do ochrony zasobów informacyjnych przed nieprzewidzianymi zagrożeniami lub katastrofami oraz do szybkiego przywracania sprawności operacyjnej po takich awariach.

Posiadanie takiego poziomu zrozumienia umożliwi audytorowi IT efektywne i skuteczne zaplanowanie swojej pracy.

Ryzyka IT – Podobnie jak w przypadku innych rodzajów profesjonalnie przeprowadzanych prac audytowych, obecnie większość audytorów IT stosuje podejście oparte na ryzyku w planowaniu i wykonywaniu swojej pracy. Wiąże się to z identyfikacją najważniejszych ryzyk, powiązaniem ich z celami kontroli oraz określeniem konkretnych mechanizmów kontrolnych w celu ograniczenia tych ryzyk. W tym zakresie standardy/wytyczne audytu IT (np. ISO 27001 i COBIT 5) mogą być wykorzystane przez audytora IT do identyfikacji lub doradztwa w zakresie kontroli, które zredukują zidentyfikowane ryzyka do akceptowalnego poziomu.

Wymagane zasoby – Ostatnim ważnym elementem w układance planowania audytu jest ocena nakładu pracy, w tym zapotrzebowania na specjalistyczną wiedzę. Biorąc pod uwagę, że czas i dostępność odpowiednich zasobów ludzkich do przeprowadzenia audytu IT jest zazwyczaj wyzwaniem, prawidłowe wykonanie tego kroku powinno zaowocować wyższą jakością i niższymi kosztami audytu.

Po zdefiniowaniu mechanizmów kontroli, które powinny być wdrożone, audytor IT zbiera dowody w celu ustalenia, czy określone kontrole są zaprojektowane i działają skutecznie. Może to wymagać subiektywnego osądu ze strony audytora i jest to obszar, w którym doświadczenie audytora IT może wnieść prawdziwą wartość do zadania.  Niedoskonałości kontroli powinny być udokumentowane i ujęte jako ustalenia w raporcie dla osób odpowiedzialnych za zarządzanie.

Jednym z największych błędów podczas przeprowadzania audytu IT jest przeoczenie nieistniejących lub starych polityk. W BlueEnergy szukamy wszelkich niespójności w procedurach bezpieczeństwa, a następnie niezwłocznie sugerujemy odpowiednie aktualizacje i rekomendujemy rozwiązania chroniące przed potencjalnymi zagrożeniami. Raport z audytu teleinformatycznego nie może zawierać żadnych nieprawdziwych informacji na temat polityki organizacji. Aktualne polityki nie tylko chronią firmę przed zagrożeniami internetowymi, ale także pomagają utrzymać płynność pracy.

Audytorzy IT muszą zawsze zakładać, że system jest podatny na ataki, nawet jeśli jest zaktualizowany. Bez względu na to, jak bardzo odporna jest sieć, w pewnym momencie może zawieść, z uwagi na to należy w porę wprowadzić odpowiednie poprawki. Można się do tego przygotować przeprowadzając skanowanie podatności lub testy penetracyjne. Można wybrać pomiędzy testami automatycznymi i ręcznymi lub obydwoma dla uzyskania lepszych rezultatów. Testy penetracyjne jako część audytu IT mogą ujawnić kilka problemów z architekturą sieci i\lub systemów. Na podstawie wyników można naprawić możliwe punkty wejścia dla hakerów, aby uniemożliwić im obejście zabezpieczeń.

Jeśli nadal nie używasz dwuskładnikowego uwierzytelniania, trudno będzie potwierdzić, kto korzysta z Twojej sieci. Ponieważ coraz więcej firm pozwala pracownikom na pracę zdalną, wzrasta również ryzyko narażenia na naruszenie danych i inne ataki. Silne hasło pomaga, ale zaradny haker może użyć technik takich jak socjotechnika, aby je uzyskać lub złamać. Dwuskładnikowe uwierzytelnianie zapobiega takiemu scenariuszowi, a audyt IT powinien zalecić najlepszy typ zabezpieczenia dla organizacji. Kody wysyłane na smartfony są najbardziej powszechną metodą uwierzytelniania dwuskładnikowego, ale można również używać urządzeń token i kart inteligentnych jako alternatywy dla uwierzytelniania inicjowanego przez urządzenia mobilne.

Wiele organizacji błędnie uważa, że posiadanie jednego zasobu IT wystarczy, aby zająć się wszystkim. Wręcz przeciwnie, specjaliści IT są jak lekarze. Każdy z nich może mieć pokrywającą się wiedzę i umiejętności, ale ich doświadczenie będzie się różnić w zależności od dziedziny praktyki. Aby zapewnić bezpieczeństwo sieci, powinna istnieć co najmniej jedna osoba lub jeden zespół, który skupia się wyłącznie na zgodności i zadaniach związanych z bezpieczeństwem, a jego rola powinna być niezależna od innych pracowników IT. Przeprowadzenie audytu informatycznego przez stronę trzecią jest najlepszym krokiem do wzmocnienia bezpieczeństwa sieci.

Czy Twój dostawca IT oferuje rozwiązania jeszcze przed wystąpieniem problemów? Czy istnieje aktualny i skuteczny plan awaryjny gwarantujący nieprzerwaną pracę firmy? Jeśli do tej pory nie spotkałeś się z zagrożeniami online, nie jest to oczywisty znak, że Twoja sieć jest odporna. Raport z audytu IT nie tylko daje wgląd w bezpieczeństwo sieci i systemów, ale także zawiera zalecenia, jak przygotować się na atak. Pomoże Ci przetestować plan odzyskiwania danych po awarii lub plan ciągłości działania i na bieżąco go aktualizować.

Każdy audyt IT powinien być odpowiednio udokumentowany. Nowoczesny, scentralizowany system logów powinien w idealnym przypadku posiadać wspólne funkcje, takie jak zbieranie, przyjmowanie i agregacja. Na systemie operacyjnym (OS) i innych platformach można zainstalować agentów zbierających, którzy będą strumieniowo pobierać pliki dziennika z dowolnego katalogu. Agregacja logów będzie prawdziwie i skutecznie scentralizowana, gdy będzie działać automatycznie i w czasie rzeczywistym.

Dobrze utrzymany IPS monitoruje ruch sieciowy i powstrzymuje przestępców przed wprowadzeniem złośliwej aplikacji lub oprogramowania. Działa jako usługa dodatkowa do firewalla. Alarmuje administratorów sieci o potencjalnych zagrożeniach, blokuje ruch ze zidentyfikowanego źródła, resetuje połączenie internetowe i usuwa złośliwe pakiety, jeśli haker już zainicjował atak. Większość zagrożeń online wymaga połączenia z Internetem, więc wykwalifikowani hakerzy muszą mieć fizyczny dostęp do Twoich komputerów i serwerów, zanim będą mogli przeprowadzić zaawansowane ataki. Należy jednak skupić się bardziej na zapobieganiu zagrożeniom wewnętrznym niż intruzom z nieuprawnionym dostępem do pomieszczeń organizacji. Audyt IT może pomóc w zidentyfikowaniu potencjalnych sprawców naruszenia danych nawet wtedy, gdy system nie jest online.

Audyt IT przeprowadzony przez zewnętrzną firmę oceni przestrzeganie przez pracowników protokołów DLP. Utrata danych może nastąpić zarówno w wyniku błędu ludzkiego, jak i interwencji pracowników o złych zamiarach. Prawda jest taka, że Twoi pracownicy są większym zagrożeniem niż cyberprzestępcy, dlatego zawsze uwzględniamy sprawdzenie planu utraty danych i kontroli danych na punktach końcowych, jak również w poczcie elektronicznej lub krytycznych aplikacjach.

Audyt IT może pomóc w ustaleniu, jak zarządzać i monitorować poprawki lub kiedy nadszedł czas, aby wycofać poprawki w przypadku, gdy sprawy nie potoczą się zgodnie z oczekiwaniami.

Audyty bezpieczeństwa sieciowego często oceniają architekturę systemu, ale jakość audytu IT staje się wątpliwa, gdy nie posiadasz kompletnego diagramu sieciowego dla zasobów sprzętowych i programowych. W Blue Energy stosujemy ramy zgodności i bezpieczeństwa dla audytów, aby uniknąć niedopatrzeń. Ramy te mogą mieć różne funkcje, takie jak identyfikacja, ochrona, wykrywanie, reakcja i środki odzyskiwania.