Jak podaje Wikipedia: „Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią (…), utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji (…)”
Prostymi słowami:
Dzisiaj większość potrzebnych nam informacji gromadzimy w postaci cyfrowej: zdjęcia, dokumenty, informacje o stanie zdrowia. Dane te przetwarzane są przez różne systemy informatyczne: naszą prywatną chmurę, oprogramowanie ERP naszego pracodawcy, ewidencje urzędowe. Systemy te powinny spełniać określone wymagania w zakresie bezpieczeństwa, niezawodności i wydajności. Dlatego stworzono wzorce kontrolne inaczej nazywane normami, które regulują w jaki sposób informatyczne systemy przetwarzania danych mają działać.
Takie sprawdzenie systemu IT z wymaganiami norm nazywamy audytem IT.
Definicja
Audyt IT to sprawdzenie czy system informatyczny spełnia określone normy i wymagania
Normy i standardy
Najczęściej czynności audytowe wykonuje się w oparciu o następujące wzorce:
- ISO/IEC 20000, COBIT – zarządzanie procesami
- ISO 9001 – zarządzanie jakością
- ISO/IEC 27001, PCI DSS, FIPS – bezpieczeństwo systemów informatycznych
Rodzaje Audytu IT
- Audyt legalności oprogramowania – sprawdzenie czy oprogramowanie używane na urządzeniu spełnia warunki umowy licencyjnej (EULA – End User License Agreement) i pochodzi z legalnego źródła
- Audyt sprzętu – informuje o stanie urządzeń, ich konfiguracji i parametrach
- Audyt bezpieczeństwa – sprawdza czy system informatyczny jest podatny na zagrożenia wewnętrzne i zewnętrzne, np. dostęp osób nieuprawnionych.
Kto wykonuje czynności audytowe
Audyt informatyczny w zależności od zakresu i wielkości kontrolowanych systemów wykonują pojedyncze osoby lub zespoły osób posiadających odpowiednie kwalifikacje.
Najbardziej znanym i cenionym certyfikatem poświadczającym kwalifikacje audytora systemów informatycznych jest CISA (Certified Information Systems Auditor) wydawany przez organizację Information Systems Audit and Control Association (ISACA)
Dla kogo i po co?
Zazwyczaj audytom informatycznym poddają się duże firmy i organizacje, które zobowiązane są do okresowych kontroli systemów IT np. jednostki budżetowe, spółki skarbu państwa, międzynarodowe korporacje. W mniejszych firmach zazwyczaj czynności audytowe przeprowadza się na wniosek partnera biznesowego np: duża firma konsultignowa, która współpracuje z zewnętrznym biurem tłumaczeń, chce mieć pewność, że zlecone do tłumaczenia dokumenty będą przetwarzane zgodnie z ich standardami.
Najczęściej audyty systemów informatycznych mają na celu sprawdzenie następujących obszarów:
- Poufność – czy informacje niejawne są zabezpieczone przed dostępem osób nieuprawnionych
- Spójność – czy zmian w systemach dokonuje się w sposób uwierzytelniony i udokumentowany
- Dostępność – czy użytkownicy systemu posiadają odpowiednie uprawnienia dostępu do informacji
Dobra praktyka
Nawet w niewielkich firmach i organizacjach warto zadbać o bezpieczeństwo IT. I nie musi to się wiązać z zatrudnieniem kosztownych specjalistów, którzy dokonają szczegółowej weryfikacji i oceny naszych systemów . Na początek warto zapytać samych siebie czy spełniamy podstawowe wymagania dobrej praktyki IT
- Legalne oprogramowanie – czy korzystamy z oprogramowania zgodnie z prawem i czy pochodzi ono z legalnego źródła?
- Zabezpieczenie antywirusowe – czy wszystkie nasze komputery posiadają aktualne oprogramowanie antywirusowe?
- Ograniczony dostęp – czy dostęp do naszego komputera i sieci WiFi jest chroniony hasłem?
- Kopie bezpieczeństwa – czy wykonujemy regularne kopie naszych najważniejszych danych?
- Wsparcie IT – czy mamy zaufaną osobę/firmę, do której możemy się zwrócić w przypadku awarii komputera, serwera, systemu?
Audyt IT staje się najpopularniejszą formą zebrania informacji o infrastrukturze IT Klienta podczas zlecania obsługi informatycznej firmom zewnętrznym zajmujących się Outsourcingiem IT. Przed lub na początku współpracy firma informatyczna dokonuje oceny infrastruktury Klienta, inwentaryzuje sprzęt, sprawdza poświadczenia i jeśli to konieczne rekomenduje ewentualne zmiany lub ulepszenia. Na stronie audyt IT dowiesz się jak robimy to u nas.