Autor: Krzysztof Deręgowski – Opiekun klienta ds. bezpieczeństwa IT

 

Jeśli masz samochód, to przynajmniej raz w roku jedziesz na przegląd. Dbasz o zdrowie, więc regularnie chodzisz do lekarzy. Więc dlaczego nie robić okresowych samokontroli swojego biznesu? I nie chodzi o to, żebyś sprawdzał wszystko na raz, ale żebyś wyznaczył poszczególne obszary i regularnie je badał. Audyt informatyczny pomoże Ci to zrobić w przypadku sfery IT.

Zobacz także: Kopia zapasowa danych w firmie – jak powinna wyglądać?

Na czym polega audyt informatyczny?

Audyt informatyczny to nic innego, jak przegląd systemu IT w Twojej firmie. Specjalista sprawdza wszystkie urządzenia i systemy, z których korzysta Twój zespół i dokonuje ich oceny. Analizuje poziom zabezpieczeń, sprawdza aktualność oprogramowania i identyfikuje potencjalne luki bezpieczeństwa.

Inżynier IT przeprowadza audyt stacjonarnie – w siedzibie Twojej firmy. Sprawdza komputery, aplikacje, sieć, serwery i wiele innych elementów systemu. Na podstawie zebranych informacji tworzy przejrzysty raport z najważniejszymi wnioskami. Dokument zawiera też propozycje modyfikacji i usprawnień, dzięki temu wiesz, co zrobić dalej.

Audyt informatyczny daje Ci odpowiedź na kluczowe pytania:

  • W jakiej kondycji jest Twój system IT?
  • Czy istnieją w nim krytyczne luki bezpieczeństwa?
  • Jakie zmiany są potrzebne, żeby infrastruktura IT działała wydajniej i była lepiej zabezpieczona?
  • Które zmiany wprowadzić w pierwszej kolejności?

Całość nie kończy się na przygotowaniu raportu. Po audycie odbywają się konsultacje, na których inżynier IT omawia z Tobą wyniki audytu i odpowiada na wszystkie Twoje pytania. To tak, jakbyś omawiał wyniki swoich badań na konsultacji u lekarza. Możesz zapytać o wątpliwe kwestie i dowiedzieć się, jakie powinny być Twoje następne kroki.

Czego dowiesz się z audytu IT?

Wyniki audytu są dla niektórych firm naprawdę zaskakujące. Mieliśmy taką sytuacje, że system monitoringu u Klienta nie miał żadnych zabezpieczeń i można go było wykorzystać, żeby dostać się do firmowej sieci. Nikt nie miał o tym pojęcia. Innym razem okazało się, że backup nie działa prawidłowo. Klient miał urządzenia do kopii zapasowej, ale w ciągu kilku lat backup nie wykonał się ani razu. Przyczyną była nieprawidłowa konfiguracja i tu ponownie nikt nie wiedział, że coś jest nie tak.

Jakie nieprawidłowości występują najczęściej?

To oczywiście wierzchołek góry lodowej. Podczas audytu wykrywamy dziesiątki innych niepokojących sytuacji i ustawień systemu. Na podstawie naszych doświadczeń podzieliłem je na 5 obszarów, w których najczęściej wykrywamy nieprawidłowości.

Są to:

  • Niezabezpieczona poczta – bez ochrony antyspamowej i dwuetapowej weryfikacji przy logowaniu. To stwarza ryzyko przejęcia skrzynki i kradzieży danych.
  • Przestarzały i niewydajny sprzęt – komputery nie są przystosowane do zastosowań biznesowych, a serwery nie mają wsparcia i gwarancji.
  • Niezabezpieczona sieć – brak zabezpieczeń oraz brak systemu do centralnego zarządzania zasobami sieci tworzy ryzyko, że ktoś niepowołany się do niej dostanie.
  • Niewspierane oprogramowanie – aplikacje od dawna nie dostają aktualizacji, a to oznacza luki w zabezpieczeniach i „otwarte furtki” dla hakerów.
  • Brak kopii zapasowych – to oznacza brak możliwości odzyskania danych w przypadku awarii czy ataku ransomware. To ryzyko trwałej utraty kluczowych informacji.

Jaki jest zakres audytu IT?

Audyt informatyczny obejmuje szeroki zakres działań, dzięki czemu masz pewność, że Twoja infrastruktura IT jest dokładnie prześwietlona.

Specjaliści analizują zarówno sprzęt, jak i oprogramowanie, w tym komputery, serwery, urządzenia sieciowe czy sprzęt mobilny. Sprawdzają konfiguracje systemów operacyjnych, zabezpieczenia sieci, polityki dostępu oraz zgodność z najlepszymi praktykami bezpieczeństwa. Ważnym elementem audytu jest także analiza kopii zapasowych, procedur odzyskiwania danych oraz monitorowanie logów systemowych.

Symulacja ataku hakerskiego na Twoją firmę

Jeśli chcesz, to audyt IT możesz rozszerzyć o testy phishingowe i szkolenia z cyberbezpieczeństwa. Testy phishingowe to symulacja ataku hakerskiego, odbywająca się w kontrolowanych warunkach. Twoi pracownicy otrzymują fałszywego maila, który ma wyłudzić ich dane. Ty to wszystko kontrolujesz i sprawdzasz, kto się nabrał. Dzięki temu wiesz, czy Twój zespół potrafi rozpoznać zagrożenie i odpowiednio zareagować.

Po wszystkim odbywają się szkolenia z cyberbezpieczeństwa. Twoi pracownicy dowiadują się, jak chronić firmowe dane na co dzień – na przykład jak tworzyć silne hasła albo po czym rozpoznać ataki hakerskie? W efekcie zyskujesz nie tylko lepiej zabezpieczoną infrastrukturę IT, ale także świadomy zespół, który jest przecież pierwszą linią obrony przed cyberatakami.

Co ile robić audyt informatyczny?

Najlepiej, jeśli Twoja firma będzie przeprowadzać audyt informatyczny raz w roku. W tym czasie sporo może się zmienić. Jeśli zatrudniasz nowe osoby, to w ciągu roku w systemie pojawią się nowe urządzenia, a co za tym idzie – potencjalne nowe luki bezpieczeństwa. To tak, jak z profilaktycznymi wizytami u lekarza, o których pisałem wcześniej. Przynajmniej raz w roku jesteś u dentysty i sprawdzasz swoje zęby. Dlatego przynajmniej raz w roku powinieneś sprawdzić, czy nowe „choroby” nie zaatakowały Twojego systemu IT.

Ile trwa audyt informatyczny?

Czas realizacji audytu IT zależy od złożoności systemu, ale najczęściej jest to kwestia kilku dni roboczych. Zakładając, że Twoja firma działa w dwóch biurach, masz serwer, backup i kilkanaście komputerów, to inżynier IT będzie potrzebować 3-4 dni robocze. W tym czasie pojawi się w Twojej firmie, aby przeanalizować zasoby Twojego systemu IT, a następnie opracuje raport z rekomendacjami i dokumentacją zdjęciową. Oczywiście im większa firma, tym czas trwania audytu będzie dłuższy. Możesz to ustalić z wykonawcami.

Audyt informatyczny – ile kosztuje?

Koszt audytu informatycznego zależy przede wszystkim od wielkości firmy, liczby użytkowników oraz złożoności infrastruktury IT. Podstawowy audyt w małej lub średniej organizacji to zazwyczaj wydatek od kilku do kilkunastu tysięcy złotych. W większych firmach, gdzie infrastruktura obejmuje wiele lokalizacji, serwerów czy specjalistycznych aplikacji, cena może być odpowiednio wyższa. Na koszt wpływa także zakres działań – czy audyt obejmuje tylko przegląd systemów i sprzętu, czy również testy penetracyjne i symulacje ataków.

Jak przygotować firmę do audytu IT?

Nie musisz się specjalnie przygotowywać do przeprowadzania audytu. Mimo to jest kilka kroków, które powinieneś wykonać, żeby całość przebiegła sprawnie. My sugerujemy naszym Klientom, aby:

  1. Przygotować dane dostępowe – dzięki temu możemy dostać się do konkretnych zasobów w systemie i dokonać ich analizy,
  2. Przygotować dokumentację IT – jeśli firma posiada np. schemat sieci IT, raport z inwentaryzacji sprzętu albo polityki i procedury, to będą to cenne dane wejściowe do przeprowadzenia audytu,
  3. Poinformować zespół o planowanym audycie – tak, aby wiedzieli, czego się spodziewać i jak współpracować z audytorem.

Reszta należy do firmy przeprowadzającej audyt. Jeśli będzie taka konieczność, to dostaniesz dodatkowe wskazówki, jak przygotować firmę do audytu.

Bezpłatna konsultacja IT

O audycie to już wszystko. Jeśli w Twojej firmie zdarzają się problemy z wydajnością systemu, masz wątpliwości co do bezpieczeństwa danych lub chcesz zoptymalizować infrastrukturę IT, to mam dla Ciebie propozycję. Skorzystaj z bezpłatnej konsultacji IT, podczas której przeanalizujemy Twoje potrzeby, wskażemy potencjalne zagrożenia i podpowiemy, jakie działania warto podjąć.

To dobra okazja, żeby otrzymać cenne wskazówki prosto od specjalistów IT. Na konsultację zapiszesz się, klikając w poniższy przycisk:

Bezpłatna konsultacja IT