Audyt bezpieczeństwa IT

Audyt bezpieczeństwa informatycznego, testy penetracyjne, testy kontrolne, analiza zabezpieczeń, wykrywanie śladów włamań, zabezpieczenie systemu operacyjnego, symulacja włamań, weryfikacja konfiguracji systemu.

Na początku postraszmy trochę właścicieli firm:

8 proc. – tyle przedsiębiorstw jest „dojrzałych pod względem bezpieczeństwa informacji”,

82 proc. – tyle firm zanotowało w ubiegłym roku przynajmniej jedno naruszenie bezpieczeństwa (co czwarte aż dziesięć),

44 proc. – tyle firm poniosło w 2017 r. straty finansowe przez cyberataki (to 9 proc. więcej niż w 2016 r.),

46 proc. – aż tyle spółek nie posiada przygotowanych procedur reakcji na incydenty naruszenia bezpieczeństwa,

62 proc. – tyle spółek odnotowało zakłócenia i przestoje funkcjonowania,

3 proc. – taką część budżetu IT stanowią średnio w firmach wydatki na bezpieczeństwo i jak szacują eksperci jest to przynajmniej trzy raz za mało.

audyt bezpieczeństwa systemu informatycznego w firmie
cel audytu bezpieczeństwa informatycznego

W celu utrzymania profesjonalnego i wysokiego poziomu bezpieczeństwa infrastruktury informatycznej i zasobów IT w przedsiębiorstwie czy instytucji osoby odpowiedzialne za ten obszar powinny na stałe monitorować zasoby. Ważnym elementem są również okresowe testy i badania stanu zabezpieczeń systemu.

Praktyka wskazuje, że najbardziej wyrafinowane systemy ochrony informatycznej czy bezpieczeństwa IT, nie będąc poddawanymi okresowym ocenom i analizom tracą swoją wartość i same w sobie mogą stanowić spore zagrożenie informatyczne dla organizacji.

W dzisiejszych realiach w grę wchodzą bardzo często duże straty finansowe, utrata danych, która niejednokrotnie może doprowadzić do tych samych strat oraz utrata dobrego wizerunku na rynku.

Przy dzisiejszych zagrożeniach informatycznych oraz nagminnych atakach cybernetycznych wskazane jest wdrożenie w organizacji systemów szybkiego identyfikowania i sygnalizowania wszelkiego rodzaju nieprawidłowości działania zabezpieczeń informatycznych. Równie ważna jest realizacja okresowych audytów bezpieczeństwa.

Mając na uwadze prawidłowo przeprowadzony i kompleksowy audyt bezpieczeństwa IT musimy pamiętać o jego podstawowych wymiarach:

  1. Kompleksowa analiza systemowa zabezpieczeń (czyli teoretyczna ocena bezpieczeństwa systemu informatycznego)
  2. Testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu),
  3. Testy penetracyjne (identyfikacja słabych elementów systemu zabezpieczeń informatycznych, symulacja włamań),
  4. Zabezpieczenia aplikacji (kontrola dostępu do operacji, szyfrowanie danych aplikacji),
  5. Zabezpieczenia bazy danych (np. kontrola dostępu do bazy danych),
  6. Zabezpieczenia systemu operacyjnego ( kontrola dostępu do plików, logi systemowe),
  7. Zabezpieczenia sieciowe,
  8. Zabezpieczenia wspomagające (np. serwery kontroli zawartości, serwery uwierzytelniania, PKI).
  9. Kontrola wersji systemu operacyjnego i oprogramowania użytkowego,
  10. Weryfikacja poprawności konfiguracji systemu,
  11. Wykrywanie śladów włamań i nadużyć użytkowników,
  12. Weryfikacja poziomu bezpieczeństwa systemu kontroli dostępu.

Praktyczne testy zabezpieczeń, realizowane są przy pomocy dedykowanego oprogramowania, umożliwiającego dokonanie wiarygodnej oceny poziomu bezpieczeństwa zasobów systemu informatycznego. W dużych organizacjach, posiadających rozległą infrastrukturę z przyczyn technicznych, organizacyjnych lub finansowych praktyczne testy zabezpieczeń mogą być wykonywane tylko dla wybranych części infrastruktury informatycznej.

Zakres audytu bezpieczeństwa

Ogólnie,     można     wyróżnić    10     podstawowych    kategorii     zagrożeń     systemów komputerowych:

  1. Zagrożenia sieciowe (np. włamania i penetracje, ataki dDoS),
  2. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie),
  3. Zagrożenia pod kątem transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji),
  4. Zagrożenia komunikacyjne (np. przeciążenia sieci),
  5. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania),
  6. Błędy ludzkie (np. błędy użytkowników, administratorów, ataki socjotechniczne),
  7. Zagrożenie fizyczne (kradzież, zalanie, pożar),
  8. Zagrożenia kryptograficzne (np. nieaktualne lub utracone klucze szyfrujące),
  9. Wyciek informacji (np. w przypadku stanowisk z informacjami niejawnymi).
  10. Ulot elektromagnetyczny

Kategorie zagrożeń informatycznych obszarów od 1 do 7 są powszechnymi w większości systemów informatycznych każdej organizacji. Z zagrożeniami kryptograficznymi mamy na ogół do czynienia głównie w bankach czy instytucjach finansowych. Wyciek informacji ze stanowisk niejawnych oraz ulot magnetyczny to powszechne zagrożenia w systemach rządowych i wojskowych.

Analiza i testy zabezpieczeń

Celem oceny bezpieczeństwa systemu pod kątem szczelności i odporności na nieautoryzowane ingerencje są analizy i badania praktyczne pod kątem:

W zakresie testów penetracyjnych:

  1. Identyfikacja systemu za pomocą dostępnych serwisów sieciowych. Identyfikacji są poddawane wszystkie adresy IP podane przez Zleceniodawcę.
  2. Analiza dostępnych urządzeń komputerowych i urządzeń sieciowych, rodzaju i wersji ich systemów operacyjnych oraz występującego na nich oprogramowania użytkowego pod kątem wykrywania luk bezpieczeństwa.
  3. Podstawowa penetracja systemu za pomocą skanerów portów TCP i UDP oraz skanerów zabezpieczeń.
  4. Testy zabezpieczeń systemu za pomocą profesjonalnych skanerów zabezpieczeń
  5. Analiza otrzymanych w ten sposób wyników badań pod kątem przygotowania symulacji włamań.
  6. Symulacja włamań do systemu (zawsze realizowana w czasie i zakresie zaakceptowanym przez Zleceniodawcę), której celem jest ustalenie zagrożeń pod kątem uzyskania nieupoważnionego dostępu do usług i danych sieci prywatnej.
  7. Ocena odporności zabezpieczeń systemu na ataki cybernetyczne przy pomocy narzędzi powszechnie wykorzystywanych przez hakerów.
  8. Analiza uzyskanych wyników testu penetracyjnego pod kątem oceny zagrożenia możliwości dostępu do danych firmy przez osoby nieupoważnione.
  9. Raport końcowy dla zleceniodawcy, zawierający proponowane rozwiązania i propozycje podjęcia działań zabezpieczających.

Polityka bezpieczeństwa

Integralną i kluczową częścią bezpieczeństwa informatycznego systemu w organizacji jest „Polityka bezpieczeństwa systemu informatycznego”. Ma ona realny wpływ na zapewnienie wysokiego poziomu bezpieczeństwa. Stanowi również jasne wytyczne dla osób kluczowych w organizacji pod kątem przedsięwzięć i działań. „Dokument polityki bezpieczeństwa systemu informatycznego powinien być aktualizowany na bieżąco wraz z rozwojem systemu