Audyt bezpieczeństwa informatycznego

Infrastruktura informatyczna każdej firmy jest stale narażona na penetrację. Aż w 80 proc. przypadków dane z firmy wyciekały w wyniku świadomego działania bądź niefrasobliwości jej pracowników. Audyt informatyczny pozwala stworzyć sieć teleinformatyczną zabezpieczoną przed każdą formą penetracji.

Zarówno sieci otwarte, z nieskrępowanym dostępem do Internetu, jak i sieci firmowe mające tylko jeden punkt dostępu do sieci globalnej czy wydzielone sieci typu VPN są zagrożone penetracją dokładnie w takim samym stopniu. Bezpieczeństwo sieci oznacza bowiem nie tylko budowanie murów ochronnych przed agresorem z zewnątrz, ale także stworzenie takich warunków, aby każdemu stanowisku pracy wewnątrz firmy przyporządkowane były ścisłe reguły dostępu do zasobów sieciowych. Konieczne jest skonstruowanie reguł i hierarchii, które będą opisywać każde stanowisko pracy i zarazem całą sieć. Jest to kompleksowa polityka bezpieczeństwa, która nie zamyka się w zabezpieczeniach technicznych, ale obejmuje również procedury działania pracowników podczas pracy z danymi oraz sposoby postępowania w razie incydentów i naruszeń bezpieczeństwa.

– Każdy pracownik musi być odpowiedzialny za wykonywane działania w sieci teleinformatycznej. Zarządzanie bezpieczeństwem jest scentralizowane w organizacji, ale odpowiedzialność jest rozproszona – twierdzi Radosław Kaczorek z Deloitte.

Usługą, która pozwala na sprawdzenie całej sieci teleinformatycznej, ustalenie jej słabych punktów i usunięcie ich, jest audyt bezpieczeństwa informacyjnego. Jego część obejmująca jedynie badanie i tworzenie procedur dla infrastruktury technicznej nosi nazwę audytu bezpieczeństwa informatycznego.

Kompleksowy audyt całej infrastruktury nie jest zwykle zamawiany przez małe i średnie firmy, ale zdarzają się wyjątki. Robią to na przykład firmy brokerskie, parające się produkcją specjalną, wykonujące ważne zlecenia z zakresu projektowania (np. pracownie informatyczne czy designerskie) lub będące podwykonawcami w wielkich projektach. Zakres audytu może być bardzo różny. Dlatego także niewielkie firmy mogą go zamówić. Oczywiście koszt audytu nie może być wyższy od kosztu potencjalnie utraconych danych.

STANDARDOWE ZABEZPIECZENIA NIE WYSTARCZĄ

Audyt bezpieczeństwa informatycznego jest zamówioną w zewnętrznej firmie niezależną analizą infrastruktury sieciowej przedsiębiorstwa. Uchroni to dane firmowe przed zniszczeniem, ujawnieniem bądź modyfikacją. Nie jest to usługa jednorazowa – stan zabezpieczeń systemu IT każdej firmy powinien podlegać okresowej weryfikacji.

W polskich firmach najpopularniejszy jest audyt sprawdzający system informatyczny. Analizie poddaje się serwery dostępowe (www i FTP), urządzenia sieciowe realizujące połączenia (routery, switche), stacje robocze pracowników etc. Mimo że w wielu małych i średnich firmach nie ma jeszcze zwyczaju sprawdzania poziomu bezpieczeństwa infrastruktury IT, rosnąca ilość prób uzyskania dostępu do firmowych sieci i coraz bardziej widoczne, wymierne straty sprawiają, że sytuacja ta powoli się zmienia. Rośnie też liczba firm oferujących tego typu usługi.

Koszty pełnego audytu są zazwyczaj wysokie. Wynoszą od 20 tys. nawet do ponad 100 tys. euro w zależności od stopnia skomplikowania i rozmiarów sieci przedsiębiorstwa. Jednak nawet niewielkie firmy mogą zamówić przeprowadzenie audytu. Niedrogie usługi sprawdzające infrastrukturę w cenie od kilkudziesięciu dolarów wprowadza m.in. Qumak-Sekom. Trudno je co prawda nazwać pełnym audytem, ale dla małej firmy stanowią dobrą podstawę budowy własnej strategii bezpieczeństwa informatycznego.

Tak naprawdę nie wystarcza jednak zbudowanie w miarę sprawnego systemu bezpieczeństwa w firmie, wprowadzenie do sieci firewalla zabezpieczającego firmowe serwery i desktopy, używanie stale aktualizowanego oprogramowania antywirusowego oraz instalowanie publikowanych przez producentów oprogramowania łat.

Niebezpieczeństwo grozi bowiem nie tylko z zewnątrz. Jak wykazują raporty RSA Security i Verisign, aż 80 proc. incydentów związanych z bezpieczeństwem informacji ma miejsce wewnątrz firmy. Ze stanowiska użytkownika można doprowadzić do nadużyć, takich jak: nielegalne zwiększanie uprawnień dostępu, podszywanie się pod innych użytkowników, podsłuchiwanie informacji przesłanych przez sieć, sabotaż, wykradanie danych.

Istnieje także niebezpieczeństwo ataku zewnętrznego, np. zadziałania nieznanej dotychczas luki w systemach operacyjnych lub aplikacjach czy też zainstalowania przez przypadek konia trojańskiego, który stworzy w firmowej sieci „tylne drzwi” (backdoors) umożliwiające zdalne przejęcie kontroli nad zasobami informatycznymi w firmie.

KTO DO AUDYTU

Przeprowadzenie audytu jest konieczne, jeśli trzeba sprawdzić poziom bezpieczeństwa sieci (serwerów sieciowych i firewalli), np. przed wprowadzeniem zmian w sieci czy też udostępnieniem nowych usług sieciowych użytkownikom wewnętrznym i zewnętrznym. Jest to niezbędne także wtedy, gdy stwierdzono próby włamań do sieci. Sam sprzęt nie gwarantuje jeszcze pełnej szczelności sieci. Istotne jest jego optymalne skonfigurowanie. W takim wypadku wykryte zostaną błędy konfiguracyjne i zostanie podane, jak je naprawić.

Typowa analiza poziomu bezpieczeństwa składa się z kilku etapów: zewnętrznych i wewnętrznych testów penetracyjnych, analizy infrastruktury technicznej i przepływu informacji, oceny stanu aktualnego i zaleceń, jak go poprawić.

Testy penetracyjne są kontrolowanymi próbami wejścia do sieci, czyli po prostu symulacją włamania. Audyt bezpieczeństwa ma na celu wyznaczenie aktualnego poziomu bezpieczeństwa środowiska informatycznego w firmie i określenie, czy stosowane zabezpieczenia są wystarczające, czy istnieją w nich luki wymagające naprawienia oraz jakie informacje można wydobyć od użytkowników sieci w firmie.

Audyt bezpieczeństwa informatycznego w przedsiębiorstwie może być wykonany nie tylko całościowo, ale i cząstkowo. Siłą rzeczy usługa cząstkowa jest tańsza.

Kompleksowe badanie bezpieczeństwa informatycznego zawiera wiele osobnych analiz i testów. Według działającej w tym sektorze firmy Unizeto, w jego skład wchodzi m.in. zebranie informacji o strukturze organizacyjnej przedsiębiorstwa oraz infrastrukturze sieci, używanych mediach, urządzeniach aktywnych i pasywnych, systemach zabezpieczeń fizycznych i logicznych oraz analiza ruchu sieciowego, testowanie sieci, analiza systemów ochrony zasobów sieciowych i powiadamiania o zagrożeniach, weryfikacja administracji siecią wraz z metodami kontroli dostępu, analiza ochrony kryptograficznej, zasobów ludzkich (wiedza personelu IT), bezpieczeństwa fizycznego, polityki dostępu do zasobów internetowych, kontroli antywirusowej, procedur odzyskiwania danych. Audytor przygotowuje raport z przeprowadzonych analiz, zawierający m.in. określenie błędów wraz ze sposobami ich naprawy.

Tego typu audyt przydaje się nie tylko po to, by ocenić i naprawić stan bezpieczeństwa IT w firmie. Będzie pomocny także wtedy, gdy firma zechce ubezpieczyć się od ryzyka informatycznego. Warto to zrobić choćby dlatego, że ubezpieczenie takie coraz częściej wymuszają na swoich podwykonawcach koncerny, dla których firmy te pracują. Ponadto jeśli firma dowiedzie, że przestrzega procedur, ma opracowaną politykę bezpieczeństwa i odpowiednią infrastrukturę, towarzystwa ubezpieczeniowe proponują niższe ceny polis obejmujących ryzyko informatyczne.

Usługi audytorskie świadczą zarówno międzynarodowe firmy (np. Deloitte&Touche czy PricewaterhouseCoopers), jak i krajowe firmy teleinformatyczne, np. Altkom, Comarch, Unizeto, oraz niewielkie spółki, dla których audyty są uzupełnieniem podstawowej działalności.

Wybierając firmę audytorską, jeśli nie jest to spółka międzynarodowa o ustalonej renomie, warto sprawdzić kompetencje audytorów, choć na ogół o referencje jest trudno. Klienci nie zawsze życzą sobie występować na listach referencyjnych firm audytorskich choćby dlatego, że oznaczałoby to przyznanie się do prac przy systemie bezpieczeństwa. Natomiast łatwo można dowiedzieć się, czy konkretni audytorzy dysponują kwalifikacjami potwierdzonymi stosownymi certyfikatami, takimi jak certyfikat CISA (Certified Information System Auditor), który ma niewielu audytorów w kraju, czy CIA (Certified Internal Auditor).

Firma ma prawo zażądać wykazu zatrudnionych audytorów i certyfikatów, które posiadają.

Warto też zapoznać się ze stosowaną przez potencjalnego audytora metodologią i dowiedzieć się, czy jest zgodna z powszechnie uznawanymi standardami, takimi jak ISO 17799.

Konieczność przeprowadzenia audytów nawet w małych firmach ma uzasadnienie, bowiem – jak wykazują raporty Europejskiego Instytutu Zarządzania – jeden udany atak na zasoby informatyczne firmy może spowodować straty długofalowe (utrata baz danych, informacji o wyrobach), sięgające nawet 50 proc. jej rocznego zysku.

Więcej na stronach Rzeczpospolitej