Biuro: ul. Indiry Gandhi 23, 02-776 Warszawa

509-545-000 [email protected]

Audyt IT – wszystko co powinieneś wiedzieć

2023-12-01

exigo audyt informatyczny - wpis blogowy

Jak podaje Wikipedia: „Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią (…), utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji (…)”

Prostymi słowami:

Dzisiaj większość potrzebnych nam informacji gromadzimy w postaci cyfrowej: zdjęcia, dokumenty, informacje o stanie zdrowia. Dane te przetwarzane są przez różne systemy informatyczne: naszą prywatną chmurę, oprogramowanie ERP naszego pracodawcy, ewidencje urzędowe. Systemy te powinny spełniać określone wymagania w zakresie bezpieczeństwa, niezawodności i wydajności. Dlatego stworzono wzorce kontrolne inaczej nazywane normami, które regulują w jaki sposób informatyczne systemy przetwarzania danych mają działać.
Takie sprawdzenie systemu IT z wymaganiami norm nazywamy audytem IT.

Definicja

Audyt IT to sprawdzenie  czy system informatyczny spełnia określone normy i wymagania

Normy i standardy

Najczęściej czynności audytowe wykonuje się w oparciu o następujące wzorce:

  • ISO/IEC 20000, COBIT – zarządzanie procesami
  • ISO 9001 – zarządzanie jakością
  • ISO/IEC 27001, PCI DSS, FIPS – bezpieczeństwo systemów informatycznych

Rodzaje Audytu IT

  • Audyt legalności oprogramowania –  sprawdzenie czy oprogramowanie używane na urządzeniu spełnia warunki umowy licencyjnej (EULA – End User License Agreement) i pochodzi z legalnego źródła
  • Audyt sprzętu – informuje o stanie urządzeń, ich konfiguracji i parametrach
  • Audyt bezpieczeństwa – sprawdza czy system informatyczny jest podatny na zagrożenia wewnętrzne i zewnętrzne, np. dostęp osób nieuprawnionych.

Kto wykonuje czynności audytowe

Audyt informatyczny w zależności od zakresu i  wielkości kontrolowanych systemów wykonują pojedyncze osoby lub zespoły osób posiadających odpowiednie kwalifikacje.
Najbardziej znanym i cenionym certyfikatem poświadczającym kwalifikacje audytora systemów informatycznych jest CISA (Certified Information Systems Auditor) wydawany przez organizację  Information Systems Audit and Control Association (ISACA)

Dla kogo i po co?

Zazwyczaj audytom informatycznym poddają się duże firmy i organizacje, które zobowiązane są do okresowych kontroli systemów IT np. jednostki budżetowe, spółki skarbu państwa, międzynarodowe korporacje. W mniejszych firmach zazwyczaj czynności audytowe przeprowadza się na wniosek partnera biznesowego np: duża firma konsultignowa, która współpracuje z zewnętrznym biurem tłumaczeń, chce mieć pewność, że zlecone do tłumaczenia dokumenty będą przetwarzane zgodnie z ich standardami.

Najczęściej audyty systemów informatycznych mają na celu sprawdzenie następujących obszarów:

  • Poufność – czy informacje niejawne są zabezpieczone przed dostępem osób nieuprawnionych
  • Spójność – czy zmian w systemach dokonuje się w sposób uwierzytelniony i udokumentowany
  • Dostępność – czy użytkownicy systemu posiadają odpowiednie uprawnienia dostępu do informacji

Dobra praktyka

Nawet w niewielkich firmach i organizacjach warto zadbać o bezpieczeństwo IT. I nie musi to się wiązać z zatrudnieniem kosztownych specjalistów, którzy dokonają szczegółowej weryfikacji i oceny naszych systemów . Na początek warto zapytać samych siebie czy spełniamy podstawowe wymagania dobrej praktyki IT

  • Legalne oprogramowanie – czy korzystamy z oprogramowania zgodnie z prawem i czy pochodzi ono z legalnego źródła?
  • Zabezpieczenie antywirusowe – czy wszystkie nasze komputery posiadają aktualne oprogramowanie antywirusowe?
  • Ograniczony dostęp – czy dostęp do naszego komputera i sieci WiFi jest chroniony hasłem?
  • Kopie bezpieczeństwa – czy wykonujemy regularne kopie naszych najważniejszych danych?
  • Wsparcie IT – czy mamy zaufaną osobę/firmę, do której możemy się zwrócić w przypadku awarii komputera, serwera, systemu?

Audyt IT staje się najpopularniejszą formą zebrania informacji o infrastrukturze IT Klienta podczas zlecania obsługi informatycznej firmom zewnętrznym zajmujących się Outsourcingiem IT. Przed lub na początku współpracy firma informatyczna dokonuje oceny infrastruktury Klienta, inwentaryzuje sprzęt, sprawdza poświadczenia i jeśli to konieczne rekomenduje ewentualne zmiany lub ulepszenia. Na stronie audyt IT dowiesz się jak robimy to u nas.